Informazioni sull'applicazione di patch rilasciata da Microsoft in Windows Server - AWS Systems Manager

Informazioni sull'applicazione di patch rilasciata da Microsoft in Windows Server

Utilizzare le informazioni in questo argomento per preparare patch alle applicazioni in Windows Servertramite Patch Manager, una funzionalità di AWS Systems Manager.

Applicazione di patch alle applicazioni Microsoft

Il supporto per l'applicazione di patch per le applicazioni sulle istanze gestite da Windows Server è limitato alle applicazioni rilasciate da Microsoft.

Applicazioni di base per applicare patch alle applicazioni rilasciate da Microsoft

Per Windows Server, vengono fornite tre baseline di patch predefinite. Le basi di patch AWS-DefaultPatchBaseline e AWS-WindowsPredefinedPatchBaseline-OS supportano solo gli aggiornamenti del sistema operativo Windows stesso. AWS-DefaultPatchBaselineViene utilizzato come base di patch predefinita per istanze Windows Server a meno che non si specifichi una base di patch diversa. Le impostazioni di configurazione in queste due linee di base delle patch sono le stesse. Il più recente dei due, AWS-WindowsPredefinedPatchBaseline-OS, è stato creato per distinguerlo dalla terza linea di base della patch predefinita per Windows Server. Quella base di patch, AWS-WindowsPredefinedPatchBaseline-OS-Applications, può essere utilizzata per applicare patch sia nel sistema operativo Windows Server che nelle applicazioni supportate rilasciate da Microsoft.

È anche possibile creare una base di patch personalizzata per aggiornare le applicazioni Microsoft su macchine Windows Server

Supporto per l'applicazione di patch alle applicazioni rilasciate da Microsoft nelle macchine virtuali e istanze locali

Per applicare patch alle applicazioni rilasciate da Microsoft nelle macchine virtuali (VM) e istanze locali, devi attivare il piano istanze avanzate. Viene addebitato un costo per l'utilizzo del livello delle istanze avanzate. Non è previsto alcun costo aggiuntivo per le applicazioni di patch rilasciate da Microsoft sulle istanze Amazon Elastic Compute Cloud (Amazon EC2). Per ulteriori informazioni, consulta Attivazione del piano istanze avanzate.

Opzione di aggiornamento di Windows per “altri prodotti Microsoft”

Affinché Patch Manager possa applicare patch alle applicazioni rilasciate da Microsoft sulle tue istanze gestite da Windows Server, l'opzione Windows UpdateInviami aggiornamenti per altri prodotti Microsoft quando aggiorno Windows deve essere attivata sull'istanza.

Per informazioni sull'abilitazione di questa opzione su una singola istanza, vedere Aggiornare Office con Microsoft Update nel sito Web del Support Microsoft.

Per un parco istanze che esegue Windows Server 2016 e versioni successive, è possibile utilizzare un oggetto Criteri di gruppo (GPO) per attivare l'impostazione. Nell'Editor Gestione Criteri di gruppo, accedere a Configurazione computer, Modelli amministrativi, Componenti di Windows, Aggiornamenti di Windows e scegliere Installare gli aggiornamenti per altri prodotti Microsoft.

Per un parco istanze che esegue Windows Server 2012 o 2012 R2, è possibile attivare l'opzione utilizzando uno script, come descritto in Attivazione e disattivazione di Microsoft Update in Windows 7 tramite Script nel sito web Microsoft Docs Blog. Ad esempio, puoi eseguire le operazioni seguenti:

  1. Salvare lo script dal post del blog in un file.

  2. Caricare il file in un bucket Amazon Simple Storage Service (Amazon S3) o in un'altra posizione accessibile.

  3. UtilizzareRun Command, una funzionalità di AWS Systems Manager, per eseguire lo script sulle istanze utilizzando il documento di Systems Manager (documento SSM) AWS-RunPowerShellScript con un comando simile al seguente.

    Invoke-WebRequest ` -Uri "http://s3.amazonaws.com/DOC-EXAMPLE-BUCKET/script.vbs" ` -Outfile "C:\script.vbs" cscript c:\script.vbs

Requisiti minimi dei parametri

Per includere le applicazioni rilasciate da Microsoft nella base di patch personalizzata, è necessario almeno specificare il prodotto a cui si desidera applicare le patch. Il comando AWS Command Line Interface (AWS CLI) seguente mostra i requisiti minimi per l'applicazione di patch a un prodotto, ad esempio Microsoft Office 2016:

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

Se si specifica la famiglia di prodotti applicativi Microsoft, ogni prodotto specificato deve essere un membro supportato della famiglia di prodotti selezionata. Ad esempio, per l'applicazione di patch al prodotto "Active Directory Rights Management Services Client 2.0", è necessario specificare la famiglia di prodotti come "Active Directory" e non, ad esempio "Office" o "SQL Server". Il comando AWS CLI seguente dimostra una corrispondenza tra famiglia di prodotti e prodotto.

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Nota

Se viene visualizzato un messaggio di errore relativo a un prodotto e una famiglia non corrispondenti, consulta Problema: famiglia di prodotti/coppie di prodotti non corrispondenti per assistenza nella risoluzione del problema.