Creazione di una patch di base personalizzata (Windows)

Utilizzare la procedura seguente per creare una linea di base di patch personalizzata per i nodi gestiti di Windows inPatch Manager, una funzionalità di AWS Systems Manager.

Per informazioni sulla creazione di una patch di base per i nodi gestiti Linux, vedi Creazione di una patch di base personalizzata (Linux). Per informazioni sulla creazione di una patch di base per i nodi gestiti macOS, vedi Creazione di una patch di base personalizzata (macOS).

Per un esempio di creazione di una patch di base limitata solo all'installazione di Windows Service Pack, consulta Tutorial: per creare una patch di base per l'installazione di Windows Service Pack (console).

Creazione di una patch di base personalizzata (Windows)

1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Patch Manager.

3. Scegli la scheda Patch di base e quindi Crea patch di base.

   oppure

   Se è la prima volta che accedi a Patch Manager nella Regione AWS corrente, scegli Inizia da una panoramica, scegli la scheda Patch di base e quindi Crea una base di patch.

4. Nel campo Nome inserisci il nome della nuova patch di base, ad esempio MyWindowsPatchBaseline.

5. (Facoltativo) Per Descrizione, inserisci una descrizione per questa patch di base.

6. Per Sistema operativo, seleziona Windows.

7. Se desideri cominciare a utilizzare subito la patch di base appena creata come impostazione predefinita per Windows, seleziona Rendi predefinita questa patch di base per le istanze di Windows Server.

   Nota

   Questa opzione è disponibile solo se hai effettuato l'accesso per la prima volta a Patch Manager prima del rilascio delle policy di patch del 22 dicembre 2022.

   Per informazioni sull'impostazione di una patch di base esistente come predefinita, consulta Impostare una base di patch esistente come predefinita.

8. Nella sezione Regole di approvazione per i sistemi operativi, utilizza i campi per creare una o più regole di approvazione automatica.

   • Prodotti: la versione del sistema operativo a cui si applica la regola di approvazione, ad esempio WindowsServer2012. L'opzione predefinita è All.

   • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio CriticalUpdates, Drivers e Tools. L'opzione predefinita è All.

     Suggerimento

     È possibile includere le installazioni di Windows Service Pack nelle regole di approvazione includendo ServicePacks o scegliendo All nell'elenco Classificazione. Per vedere un esempio, consulta Tutorial: per creare una patch di base per l'installazione di Windows Service Pack (console).

   • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

   • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

     • Approva le patch dopo un determinato numero di giorni: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

     • Approva le patch rilasciate fino a una data specifica: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se si specifica il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

   • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla base, ad esempio High.

     Nota

     Se specifichi un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

9. (Facoltativo) Nella sezione Regole di approvazione per le applicazioni, utilizza i campi per creare una o più regole di approvazione automatica.

   Nota

   Anziché specificare le regole di approvazione, è possibile specificare elenchi di patch approvate e rifiutate come eccezioni di patch. Vedere i passaggi 10 e 11.

   • Famiglia di prodotti: la famiglia di prodotti Microsoft generale per cui si desidera specificare una regola, ad esempio Office o Exchange Server.

   • Prodotti: la versione dell'applicazione a cui si applica la regola di approvazione, ad esempio Office 2016 o Active Directory Rights Management Services Client 2.0 2016. L'opzione predefinita è All.

   • Classificazione: il tipo di patch a cui si applica la regola di approvazione, ad esempio CriticalUpdates. L'opzione predefinita è All.

   • Gravità: il valore di gravità delle patch a cui si applica la regola, ad esempio Critical. L'opzione predefinita è All.

   • Approvazione automatico: il metodo per selezionare le patch per l'approvazione automatica.

     • Approva le patch dopo un determinato numero di giorni: il numero di giorni in cui Patch Manager Patch Manager deve attendere dopo il rilascio o l'aggiornamento di una patch prima che una patch venga approvata automaticamente. È possibile inserire qualsiasi numero intero da zero (0) a 360. Per la maggior parte degli scenari, consigliamo di attendere non più di 100 giorni.

     • Approva le patch rilasciate fino a una data specifica: la data di rilascio delle patch per la quale Patch Manager applica automaticamente tutte le patch rilasciate o aggiornate prima di tale data (inclusa). Ad esempio, se specifichi il 7 luglio 2023, nessuna patch rilasciata o aggiornata a partire dall'8 luglio 2023 verrà installata automaticamente.

   • (Facoltativo) Report di conformità: il livello di gravità da assegnare alle patch approvate dalla linea di base, ad esempio Critical o High.

     Nota

     Se si specifica un livello di report di conformità e lo stato delle patch approvate viene riportato come Missing, la gravità di conformità complessiva riportata dalla patch di base corrisponde al livello di gravità specificato.

10. (Facoltativo) Per approvare esplicitamente qualsiasi patch anziché selezionare patch in base alle regole di approvazione, completa la procedura seguente nella sezione Eccezioni di patch:

    • In Patch approvate, inserisci un elenco separato da virgole delle patch che desideri approvare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • (Facoltativo) In Livello di conformità patch approvate, assegna un livello di conformità alle patch dell'elenco.

11. Per rifiutare esplicitamente qualsiasi patch oltre che comunque soddisfano le regole di approvazione, procedere come segue nella sezione Eccezioni patch:

    • In Patch rifiutate, inserisci un elenco separato da virgole delle patch che desideri rifiutare.

      Nota

      Per informazioni sui formati accettati per gli elenchi delle patch approvate e di quelle rifiutate, consulta Informazioni sui formati dei nomi dei pacchetti per gli elenchi delle patch approvate e rifiutate.

    • In Operazione patch rifiutate, seleziona l'operazione che Patch Manager effettuerà sulle patch incluse nell'elenco Patch rifiutate.

      • Consenti come dipendenza: un pacchetto dell'elenco Patch rifiutate viene installato solo se è incluso automaticamente in un altro pacchetto. È considerato conforme alla linea di base della patch e il suo stato è riportato come. InstalledOther Si tratta dell'operazione predefinita se non viene specificata alcuna opzione.

      • Blocco: i pacchetti nell'elenco delle patch rifiutate e i pacchetti che li includono come dipendenze non vengono installati da in nessun caso. Patch Manager Se un pacchetto è stato installato prima di essere aggiunto all'elenco delle patch rifiutate o viene installato in un Patch Manager secondo momento, viene considerato non conforme alla linea di base delle patch e il suo stato viene riportato come. InstalledRejected

12. (Facoltativo) In Gestisci tag, applica una o più coppie valore-nome di chiave di tag alla patch di base.

    I tag sono metadati facoltativi assegnati a una risorsa. Consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare tag a una patch di base per identificare il livello di gravità delle patch che specifica, la famiglia del sistema operativo a cui si applica e il tipo di ambiente. In questo caso è possibile specificare tag simili alle coppie valore-nome di chiave seguenti:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

13. Scegli Crea una base di patch.