建立自訂修補基準 (Windows) - AWS Systems Manager

建立自訂修補基準 (Windows)

請使用下列程序來在 Patch Manager (AWS Systems Manager 的一項功能) 中建立 Windows 執行個體的自訂修補基準。

如需為 Linux 執行處理建立修補程式基準的資訊,請參閱建立自訂修補基準 (Linux)。如需為 macOS 執行個體建立修補程式基準的資訊,請參閱建立自訂修補基準 (macOS)

如需建立僅限於安裝 Windows Service Pack 之修補程式基準的範例,請參閱演練:建立修補程式基準用於安裝 Windows Service Pack (主控台)

建立自訂修補程式基準 (Windows)

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Patch Manager

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後選擇 Patch Manager

  3. 選擇 Patch baselines (修補基準) 索引標籤。

  4. 選擇 Create patch baseline (建立修補程式基準)

  5. Name (名稱) 中,為新的修補程式基準輸入一個名稱,例如 MyWindowsPatchBaseline

  6. (選用) 在 Description (描述) 中,輸入此修補程式基準的描述。

  7. Operating system (作業系統) 中,選擇 Windows

  8. 如果要在建立 Windows 時立即開始將此修補程式基準做為 Windows 的預設設定,請選擇 Set this patch baseline as the default patch baseline for Windows Server instances (將此修補程式基準設為 Windows Server 執行個體的預設修補程式基準)

    如果您選擇不立即使用此修補程式基準,則可以稍後再執行此操作。如需相關資訊,請參閱「將現有的修補基準設為預設值 (主控台)」。

  9. Approval rules for operating system (作業系統核准規則) 部分中,使用欄位來建立一或多個自動核准規則。

    • Product (產品):此核准規則適用的作業系統版本,例如 WindowsServer2012。預設的選取為 All

    • Classification (分類):此核准規則適用的修補程式類型,例如 CriticalUpdatesDriversTools。預設的選取為 All

      提示

      透過包含 ServicePacks 或在 Classification (分類) 清單中選擇 All,您可以在核准規則中包含 Windows Service Pack 安裝。如需範例,請參閱 演練:建立修補程式基準用於安裝 Windows Service Pack (主控台)

    • 核准規則 (嚴重性):此規則適用的修補程式嚴重性值,例如 Critical。預設的選取為 All

    • Auto-approval (自動核准):選取修補程式以進行自動核准的方法。

      • Approve patches after a specified number of days (指定天數之後核准修補程式):修補程式發佈之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。

      • Approve patches released up to a specific date (核准特定日期前發佈的修補程式):Patch Manager 會自動套用在此發佈日期當天或之前發佈的所有修補程式。例如,如果您指定 2020 年 7 月 7 日,則不會自動安裝在 2020 年 7 月 8 日或之後發佈的修補程式。

    • (選用) Compliance reporting (合規報告):您要指派給基準所核准之修補程式的嚴重性等級,例如 High

      注意

      如果核准的修補程式回報為遺失,您在 Compliance reporting (合規報告) 中選擇的選項,例如 CriticalMedium,將決定違反合規的嚴重性。

  10. (選用) 在 Approval rules for applications (應用程式的核准規則) 區段中,使用這些欄位建立一個或多個自動核准規則。

    注意

    您可以將已核准和已拒絕修補程式清單指定為修補程式例外狀況,而不是指定核准規則。請參閱步驟 10 和 11。

    • Product family (產品系列):您想指定規則的一般 Microsoft 產品系列,例如 OfficeExchange Server

    • Product (產品):核准規則適用的應用程式版本,例如 Office 2016Active Directory Rights Management Services Client 2.0 2016。預設的選取為 All

    • Classification (分類):此核准規則適用的修補程式類型,例如 CriticalUpdates。預設的選取為 All

    • 核准規則 (嚴重性):此規則適用的修補程式嚴重性值,例如 Critical。預設的選取為 All

    • Auto-approval (自動核准):選取修補程式以進行自動核准的方法。

      • Approve patches after a specified number of days (指定天數之後核准修補程式):修補程式發佈之後,Patch Manager 自動核准修補程式之前的等待天數。您可以輸入零 (0) 到 360 的任何整數。在大部分情形下,建議等候不要超過 100 天。

      • Approve patches released up to a specific date (核准特定日期前發佈的修補程式):Patch Manager 會自動套用在此發佈日期當天或之前發佈的所有修補程式。例如,如果您指定 2020 年 7 月 7 日,則不會自動安裝在 2020 年 7 月 8 日或之後發佈的修補程式。

    • (選用) Compliance reporting (合規報告):您要指派給基準所核准之修補程式的嚴重性等級,例如 High

      注意

      如果核准的修補程式回報為遺失,您在 Compliance reporting (合規報告) 中選擇的選項,例如 CriticalMedium,將決定違反合規的嚴重性。

  11. (選用) 如果您想要明確核准任何修補程式,而非依據核准規則選取修補程式,請在 Patch exceptions (修補程式例外狀況) 區段中進行以下操作:

    • Approved patches (核准的修補程式),輸入您要核准之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

    • (選用) 在 Approved patches compliance level (核准的修補程式合規層級)中,將合規層級指派至清單中的修補程式。

  12. 如果您要明確拒絕任何符合核准規則之修補程式,請在 Patch exceptions (修補程式例外狀況) 部分執行下列動作:

    • Rejected patches (拒絕的修補程式) 中,輸入您要拒絕之修補程式的逗號分隔清單。

      注意

      如需已核准修補程式和已拒絕修補程式清單之可接受格式的相關資訊,請參閱 關於核准與拒絕修補程式清單的套件名稱格式

    • Rejected patches action (已拒絕修補程式動作) 中,選擇要讓 Patch Manager在 Rejected patches (已拒絕修補程式) 清單所包含之修補程式上執行的動作。

      • Allow as dependency (當做相依性允許):只有當套件是其他套件的相依性時,才會安裝 Rejected patches (已拒絕修補程式) 清單中的套件。這被視為符合修補基準,其狀態回報為 InstalledOther。若未指定選項,此為預設動作。

      • Block (封鎖):Rejected patches (已拒絕修補程式) 清單中的套件,以及將這些套件都當做相依性而包含在內的套件,在任何情況下都無法安裝。如果在套件新增至 Rejected patches (已拒絕修補程式) 清單之前安裝該套件,會被視為不符合修補基準,其狀態將回報為 InstalledRejected (InstalledRejected)。

  13. (選用) 對於 Manage tags (管理標籤),請套用一或多個索引鍵名稱/值對至修補程式基準。

    標籤是您指派給資源的選用性中繼資料。標籤允許您以不同的方式 (例如用途、擁有者或環境) 將資源分類。例如,您可能希望標記修補程式基準,以識別其指定的修補程式的嚴重性等級、其適用的作業系統系列,以及環境類型。在這種情況下,您可以指定類似以下索引鍵名稱/值對的標籤:

    • Key=PatchSeverity,Value=Critical

    • Key=OS,Value=RHEL

    • Key=Environment,Value=Production

  14. 選擇 Create patch baseline (建立修補程式基準)