Tentang dasar patch yang telah ditetapkan dan kustom - AWS Systems Manager
Tentang baseline yang telah ditetapkanTentang baseline kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentang dasar patch yang telah ditetapkan dan kustom

Patch Manager, kemampuan AWS Systems Manager, menyediakan garis dasar patch yang telah ditentukan untuk masing-masing sistem operasi yang didukung oleh. Patch Manager Anda dapat menggunakan baseline ini karena mereka saat ini telah dikonfigurasi (Anda tidak dapat menyesuaikannya) atau Anda dapat membuat dasar patch kustom Anda sendiri. Dasar patch kustom memungkinkan Anda untuk memiliki kendali yang lebih besar atas patch yang disetujui atau ditolak untuk lingkungan Anda. Selain itu, baseline yang telah ditetapkan akan menetapkan tingkat kepatuhan Unspecified ke semua patch yang diinstal menggunakan baseline tersebut. Agar nilai kepatuhan ditetapkan, Anda dapat membuat salinan dari baseline yang telah ditetapkan dan menentukan nilai kepatuhan yang ingin Anda tetapkan ke patch. Untuk informasi lebih lanjut, lihat Tentang baseline kustom dan Bekerja dengan dasar patch kustom.

catatan

Informasi dalam topik ini berlaku tidak peduli metode atau jenis konfigurasi yang Anda gunakan untuk operasi penambalan Anda:

  • Kebijakan tambalan yang dikonfigurasi di Quick Setup

  • Opsi Manajemen Host yang dikonfigurasi di Quick Setup

  • Jendela pemeliharaan untuk menjalankan tambalan Scan atau Install tugas

  • Patch sesuai permintaan sekarang beroperasi

Tentang baseline yang telah ditetapkan

Tabel berikut menjelaskan garis dasar patch yang telah ditentukan yang disediakan. Patch Manager

Untuk informasi tentang versi masing-masing sistem operasi yang Patch Manager didukung, lihatPrasyarat Patch Manager.

Nama Sistem operasi yang didukung Detail

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹

AWS-AmazonLinuxDefaultPatchBaseline

Amazon Linux 1

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga secara otomatis menyetujui semua tambalan dengan klasifikasi “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹
AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan dengan klasifikasi “Bugfix”. Patch disetujui secara otomatis 7 hari setelah rilis.¹
AWS-AmazonLinux2022DefaultPatchBaseline Amazon Linux 2022

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Patch disetujui secara otomatis tujuh hari setelah rilis. Juga menyetujui semua patch dengan klasifikasi "Bugfix" tujuh hari setelah rilis.
AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Patch disetujui secara otomatis tujuh hari setelah rilis. Juga menyetujui semua patch dengan klasifikasi "Bugfix" tujuh hari setelah rilis.
AWS-CentOSDefaultPatchBaseline CentOS dan CentOS Stream Menyetujui semua pembaruan 7 hari setelah tersedia, termasuk pembaruan non-keamanan.
AWS-DebianDefaultPatchBaseline Debian Server Segera menyetujui semua patch terkait keamanan sistem operasi yang memiliki prioritas "Wajib", "Penting", "Standar", "Opsional", atau "Ekstra." Tidak perlu menunggu sebelum persetujuan karena tanggal rilis yang andal tidak tersedia di repositori.
AWS-MacOSDefaultPatchBaseline macOS Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan". Juga menyetujui semua paket dengan pembaruan saat ini.
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Penting" atau "Sedang". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix” 7 hari setelah rilis. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹
AWS-DefaultRaspbianPatchBaseline Raspberry Pi OS Segera menyetujui semua patch terkait keamanan sistem operasi yang memiliki prioritas "Wajib", "Penting", "Standar", "Opsional", atau "Ekstra." Tidak perlu menunggu sebelum persetujuan karena tanggal rilis yang andal tidak tersedia di repositori.

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan yang memiliki tingkat kepelikan "Kritis" atau "Penting". Juga menyetujui semua tambalan yang diklasifikasikan sebagai “Bugfix”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹
AWS-SuseDefaultPatchBaseline SUSE Linux Enterprise Server (SLES) Menyetujui semua patch sistem operasi yang diklasifikasikan sebagai "Keamanan" dan dengan kepelikan "Kritis" atau "Penting". Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

Segera menyetujui semua patch terkait keamanan sistem operasi yang memiliki prioritas "Wajib", "Penting", "Standar", "Opsional", atau "Ekstra." Tidak perlu menunggu sebelum persetujuan karena tanggal rilis yang andal tidak tersedia di repositori.
AWS-DefaultPatchBaseline

Windows Server

Menyetujui semua tambalan sistem Windows Server operasi yang diklasifikasikan sebagai "" atau CriticalUpdates "SecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.²
AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

Menyetujui semua tambalan sistem Windows Server operasi yang diklasifikasikan sebagai "" atau CriticalUpdates "SecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Patch disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.²
AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server Untuk sistem Windows Server operasi, setujui semua tambalan yang diklasifikasikan sebagai "" atau "CriticalUpdatesSecurityUpdates" dan yang memiliki tingkat keparahan MSRC “Kritis” atau “Penting”. Untuk aplikasi yang dirilis oleh Microsoft, menyetujui semua patch. Patch untuk OS dan aplikasi disetujui secara otomatis 7 hari setelah dirilis atau diperbarui.²

¹ Untuk Amazon Linux 1 dan Amazon Linux 2, penantian 7 hari sebelum patch disetujui otomatis dihitung dari Updated Date nilaiupdateinfo.xml, bukan nilai. Release Date Berbagai faktor dapat mempengaruhi Updated Date nilai. Sistem operasi lain menangani tanggal rilis dan pembaruan secara berbeda. Untuk informasi yang membantu Anda menghindari hasil yang tidak terduga dengan penundaan persetujuan otomatis, lihat. Bagaimana tanggal rilis paket dan tanggal pembaruan dihitung

² UntukWindows Server, baseline default mencakup penundaan persetujuan otomatis 7 hari. Untuk menginstal patch dalam 7 hari setelah rilis, Anda harus membuat baseline kustom.

Tentang baseline kustom

Jika Anda membuat dasar patch Anda sendiri, Anda dapat memilih patch mana yang akan disetujui secara otomatis dengan menggunakan kategori berikut.

  • Sistem operasi:Windows Server, Amazon LinuxUbuntu Server, dan sebagainya.

  • Nama produk (untuk sistem operasi): Misalnya, RHEL 6.5, Amazon Linux 2014.09, Windows Server 2012, Windows Server 2012 R2, dan seterusnya.

  • Nama produk (untuk aplikasi yang dirilis oleh Microsoft Windows Server hanya): Misalnya, Word 2016, BizTalk Server, dan sebagainya.

  • Klasifikasi: Sebagai contoh, pembaruan kritis, pembaruan keamanan, dan sebagainya.

  • Kepelikan: Sebagai contoh, kritis, penting, dan sebagainya.

Untuk setiap aturan persetujuan yang Anda buat, Anda dapat memilih untuk menentukan penundaan persetujuan otomatis atau menentukan tanggal cutoff persetujuan patch.

catatan

Karena tidak mungkin menentukan tanggal rilis paket pembaruan secara andalUbuntu Server, opsi persetujuan otomatis tidak didukung untuk sistem operasi ini.

Penundaan persetujuan otomatis adalah jumlah hari untuk menunggu setelah tambalan dirilis atau terakhir diperbarui, sebelum tambalan secara otomatis disetujui untuk ditambal. Misalnya, jika Anda membuat aturan menggunakan CriticalUpdates klasifikasi dan mengonfigurasinya selama 7 hari penundaan persetujuan otomatis, maka patch kritis baru yang dirilis pada 7 Juli secara otomatis disetujui pada 14 Juli.

catatan

Jika repositori Linux tidak memberikan informasi tanggal rilis untuk paket, Systems Manager menggunakan waktu pembuatan paket sebagai penundaan persetujuan otomatis untuk Amazon Linux 1, Amazon Linux 2, RHEL dan CentOS. Jika sistem tidak dapat menemukan waktu build paket, Systems Manager memperlakukan penundaan persetujuan otomatis sebagai memiliki nilai nol.

Saat Anda menentukan tanggal batas persetujuan otomatis, Patch Manager secara otomatis menerapkan semua tambalan yang dirilis atau terakhir diperbarui pada atau sebelum tanggal tersebut. Misalnya, jika Anda menentukan 7 Juli 2023 sebagai tanggal cutoff, tidak ada tambalan yang dirilis atau terakhir diperbarui pada atau setelah 8 Juli 2023 yang diinstal secara otomatis.

catatan

Saat membuat baseline patch kustom, Anda dapat menentukan tingkat keparahan kepatuhan untuk tambalan yang disetujui oleh baseline patch tersebut, seperti atau. Critical High Jika status tambalan dari tambalan yang disetujui dilaporkan sebagaiMissing, maka tingkat keparahan kepatuhan keseluruhan baseline patch yang dilaporkan adalah tingkat keparahan yang Anda tentukan.

Ingatlah hal-hal berikut ini saat Anda membuat dasar patch:

  • Patch Managermenyediakan satu baseline patch yang telah ditentukan untuk setiap sistem operasi yang didukung. Dasar patch yang telah ditetapkan ini digunakan sebagai dasar patch default untuk setiap jenis sistem operasi kecuali Anda membuat dasar patch Anda sendiri dan menunjuknya sebagai default untuk jenis sistem operasi yang sesuai.

    catatan

    Untuk Windows Server, disediakan tiga dasar patch yang telah ditetapkan. Garis dasar patch AWS-DefaultPatchBaseline dan hanya AWS-WindowsPredefinedPatchBaseline-OS mendukung pembaruan sistem operasi pada sistem operasi Windows itu sendiri. AWS-DefaultPatchBaselinedigunakan sebagai baseline patch default untuk node Windows Server terkelola kecuali Anda menentukan baseline patch yang berbeda. Pengaturan konfigurasi di dua dasar patch ini sama. Yang lebih baru dari keduanya, AWS-WindowsPredefinedPatchBaseline-OS, dibuat untuk membedakannya dari dasar patch ketiga yang telah ditetapkan untuk Windows Server. Dasar patch tersebut, AWS-WindowsPredefinedPatchBaseline-OS-Applications, dapat digunakan untuk menerapkan patch ke ke sistem operasi Windows Server dan aplikasi yang didukung yang dirilis oleh Microsoft.

  • Untuk server lokal dan mesin virtual (VM), Patch Manager mencoba menggunakan baseline patch default kustom Anda. Jika tidak tersedia dasar patch default kustom, sistem menggunakan dasar patch yang telah ditetapkan untuk sistem operasi yang sesuai.

  • Jika sebuah patch terdaftar sebagai disetujui dan ditolak dalam dasar patch yang sama, patch ditolak.

  • Node terkelola hanya dapat memiliki satu baseline patch yang ditentukan untuknya.

  • Format nama paket yang dapat Anda tambahkan ke daftar patch yang disetujui dan patch yang ditolak untuk dasar patch tergantung pada jenis sistem operasi yang Anda patching.

    Untuk informasi tentang format yang diterima untuk daftar patch yang disetujui dan patch yang ditolak, lihat Tentang format nama paket untuk daftar patch yang disetujui dan ditolak.

  • Jika Anda menggunakan konfigurasi kebijakan tambalanQuick Setup, pembaruan yang Anda buat ke baseline patch kustom disinkronkan dengan Quick Setup satu jam sekali.

    Jika baseline patch kustom yang direferensikan dalam kebijakan tambalan dihapus, spanduk akan ditampilkan di halaman Detail Quick Setup konfigurasi untuk kebijakan tambalan Anda. Spanduk memberi tahu Anda bahwa kebijakan tambalan mereferensikan baseline tambalan yang tidak ada lagi, dan operasi penambalan berikutnya akan gagal. Dalam hal ini, kembali ke halaman Quick Setup Konfigurasi, pilih Patch Manager konfigurasi, dan pilih Tindakan, Edit konfigurasi. Nama dasar patch yang dihapus disorot, dan Anda harus memilih baseline patch baru untuk sistem operasi yang terpengaruh.

Untuk informasi tentang membuat dasar patch, lihat Bekerja dengan dasar patch kustom dan Tutorial: Menambal lingkungan server (AWS CLI).