關於在 Windows Server 上由 Microsoft 發行的修補應用程式 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

關於在 Windows Server 上由 Microsoft 發行的修補應用程式

使用本主題中的資訊來協助您準備使用 Patch Manager (AWS Systems Manager 功能) 修補 Windows Server。

Microsoft 應用程式修補

對 Windows Server 受管節點上應用程式的修補支援僅限於 Microsoft 發行的應用程式。

注意

在某些情況下,Microsoft 會針對未指定更新日期和時間的應用程式發佈修補程式。在這些情況下,預設會提供 01/01/1970 的更新日期和時間。

修補由 Microsoft 發行之應用程式的修補基準

對於 Windows Server,則會提供三個預先定義的修補基準。修補基準 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 僅支援 Windows 作業系統本身的作業系統更新。AWS-DefaultPatchBaseline 會用作 Windows Server 受管節點的預設修補基準,除非您指定了不同的修補基準。這兩個修補基準中的組態設定是相同的。兩者中較新的 AWS-WindowsPredefinedPatchBaseline-OS 是為了區分它與 Windows Server 第三方預先定義修補基準而建立的。修補基準 AWS-WindowsPredefinedPatchBaseline-OS-Applications 可用來將修補程式套用至 Windows Server 作業系統和 Microsoft 發行的支援應用程式。

您也可以建立自訂修補基準以在 Windows Server 電腦上更新 Microsoft 發行的應用程式。

對於 Microsoft 在內部部署伺服器、邊緣裝置、VM 和其他非 EC2 節點上發行之應用程式的修補支援

若要修補 Microsoft 在虛擬機器 (VM) 和其他非 EC2 受管節點上發行的應用程式,您必須開啟 advanced-instances 方案。使用 advanced-instance 方案會產生費用。但是,修補由 Microsoft 在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上發行的應用程式無須另外付費。如需詳細資訊,請參閱 設定執行個體方案

「其他 Microsoft 產品」的 Windows 更新選項

為了讓 Patch Manager 能夠在您的 Windows Server 受管節點上修補 Microsoft 發行的應用程式,必須在受管節點上啟用 Windows 更新選項 Give me updates for other Microsoft products when I update Windows (當我更新 Windows 時,為我提供其他 Microsoft 產品的更新)。

如需在單一受管節點上允許此選項的相關資訊,請參閱使用 Microsoft Update 更新 Office (位於 Microsoft Support 網站)。

針對執行 Windows Server 2016 及更新版本的受管節點機群,您可以使用群組政策物件 (GPO) 來開啟設定。在群組政策管理編輯器中,移至 Computer Configuration (電腦組態)、Administrative Templates (管理範本)、Windows Components (Windows 元件)、Windows Updates (Windows 更新),然後選擇 Install updates for other Microsoft products (為其他 Microsoft 產品安裝更新)。我們還建議您使用其他參數來設定 GPO,以防止 Patch Manager 之外的計劃外自動更新和重新開機。如需詳細資訊,請參閱 Microsoft 技術文件網站上的在非作用中目錄環境設定自動更新

針對執行 Windows Server 2012 或 2012 R2 的受管節點機群,您可以使用指令碼來開啟選項,如 Microsoft Docs 部落格網站上的透過指令碼啟用和停用 Windows 7 的 Microsoft 更新所述。例如,您可以執行下列操作:

  1. 將部落格文章中的指令碼儲存在檔案中。

  2. 將檔案上傳至 Amazon Simple Storage Service (Amazon S3) 儲存貯體或其他可存取的位置。

  3. 透過 Run Command (AWS Systems Manager 的功能),將 Systems Manager 文件 (SSM 文件) AWS-RunPowerShellScript 與類似以下內容的命令搭配使用,在受管節點上執行指令碼。

    Invoke-WebRequest `
    -Uri "https://s3.aws-api-domain/DOC-EXAMPLE-BUCKET/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs
最低參數要求

若要在自定修補基準中包含 Microsoft 發行的應用程式,您至少必須指定要修補的產品。以下 AWS Command Line Interface (AWS CLI) 命令示範修補產品的最低需求,例如 Microsoft Office 2016。

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

如果您指定了 Microsoft 應用程式產品系列,則您指定的每個產品都必須是所選產品系列的受支援成員。例如,若要修補產品「Active Directory Rights Management Services Client 2.0」,您必須指定其產品系列為「Active Directory」而非「Office」或「SQL Server」。以下 AWS CLI 命令示範了產品系列和產品的符合配對:

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows Server
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注意

如果您收到有關不相符產品與家庭配對的錯誤訊息,請參閱 問題:產品系列/產品配對不相符,以取得解決問題的協助。