關於在 Windows Server 上由 Microsoft 發行的修補應用程式 - AWS Systems Manager

關於在 Windows Server 上由 Microsoft 發行的修補應用程式

使用本主題中的資訊來協助您準備使用 Patch Manager (AWS Systems Manager 功能) 修補 Windows Server。

Microsoft 應用程式修補

對 Windows Server 受管執行個體上應用程式的修補支援僅限於 Microsoft 發行的應用程式。

修補由 MicMicrosoft 發行之應用程式的修補基準

對於 Windows Server,則會提供三個預先定義的修補基準。修補基準 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 僅支援 Windows 作業系統本身的作業系統更新。AWS-DefaultPatchBaseline 會用作 Windows Server 執行個體的預設修補基準,除非您指定了不同的修補基準。這兩個修補基準中的組態設定是相同的。兩者中較新的 AWS-WindowsPredefinedPatchBaseline-OS 是為了區分它與 Windows Server 第三方預先定義修補基準而建立的。修補基準 AWS-WindowsPredefinedPatchBaseline-OS-Applications 可用來將修補程式套用至 Windows Server 作業系統和 Microsoft 發行的支援應用程式。

您也可以建立自訂修補基準以在 Windows Server 電腦上更新 Microsoft 應用程式。

支援在虛擬機器 (VM) 和內部部署執行個體上修補由 Microsoft 發行的應用程式

若要修補 Microsoft 在虛擬機器 (VM) 和內部部署執行個體上發行的應用程式,您必須開啟 advanced-instances 方案。使用 advanced-instances 方案會產生費用。修補由 Microsoft 在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上發行的應用程式無須另外付費。如需更多詳細資訊,請參閱 開啟 advanced-instances 方案

「其他 Microsoft 產品」的 Windows 更新選項

為了讓 Patch Manager 能夠在您的 Windows Server 受管執行個體上修補 Microsoft 發行的應用程式,必須在執行個體上啟用 Windows 更新選項 Give me updates for other Microsoft products when I update Windows (當我更新 Windows 時,為我提供其他 Microsoft 產品的更新)。

如需在單一執行個體上允許此選項的相關資訊,請參閱使用 Microsoft Update 更新 Office (位於 Microsoft Support 網站)。

針對執行 Windows Server 2016 及更新版本的執行個體機群,您可以使用群組政策物件 (GPO) 來開啟設定。在群組政策管理編輯器中,移至 Computer Configuration (電腦組態)、Administrative Templates (管理範本)、Windows Components (Windows 元件)、Windows Updates (Windows 更新),然後選擇 Install updates for other Microsoft products (為其他 MicMicrosoft 產品安裝更新)。

針對執行 Windows Server 2012 或 2012 R2 的執行個體機群,您可以使用指令碼來開啟選項,如 Microsoft Docs 部落格網站上的透過指令碼啟用和停用 Windows 7 的 Microsoft 更新所述。例如,您可以執行下列操作:

  1. 將部落格文章中的指令碼儲存在檔案中。

  2. 將檔案上傳至 Amazon Simple Storage Service (Amazon S3) 儲存貯體或其他可存取的位置。

  3. 透過 Run Command (AWS Systems Manager 功能),將 Systems Manager 文件 (SSM 文件) AWS-RunPowerShellScript 與類似以下內容的命令搭配使用,在執行個體上執行指令碼。

    Invoke-WebRequest ` -Uri "http://s3.amazonaws.com/DOC-EXAMPLE-BUCKET/script.vbs" ` -Outfile "C:\script.vbs" cscript c:\script.vbs

最低參數要求

若要在自定修補基準中包含 Microsoft 發佈的應用程式,您至少必須指定要修補的產品。以下 AWS Command Line Interface (AWS CLI) 命令示範修補產品的最低需求,例如 Microsoft Office 2016。

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

如果您指定了 Microsoft 應用程式產品系列,則您指定的每個產品都必須是所選產品系列的受支援成員。例如,若要修補產品「Active Directory Rights Management Services Client 2.0」,您必須指定其產品系列為「Active Directory」而非「Office」或「SQL Server」。以下 AWS CLI 命令示範了產品系列和產品的符合配對:

Linux & macOS
aws ssm create-patch-baseline \ --name "My-Windows-App-Baseline" \ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^ --name "My-Windows-App-Baseline" ^ --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注意

如果您收到有關不相符產品與家庭配對的錯誤訊息,請參閱 問題:產品系列/產品配對不相符,以取得解決問題的協助。