关于修补由微软在 Windows Server 发布的应用程序 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

关于修补由微软在 Windows Server 发布的应用程序

使用本主题中的信息可帮助您准备好在 Windows Server 使用 Patch Manager ( Amazon Systems Manager 的一个功能)来修补应用程序。

Microsoft 应用程序修补

对 Windows Server 托管式节点上应用程序的修补支持,仅限于 Microsoft 发布的应用程序。

注意

在某些情况下,Microsoft 会为可能未明确指定更新日期和时间的应用程序发布补丁。在这些情况下,系统会默认提供 01/01/1970 的更新日期和时间。

修补 Microsoft 发布的应用程序的补丁基准

适用于 Windows Server,提供三个预定义的补丁基准。补丁基准 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统本身的操作系统更新。除非您指定了其他补丁基准,AWS-DefaultPatchBaseline 用作 Windows Server 托管式节点的默认补丁基准。这两个补丁基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS 被创建来区分它和 Windows Server 的第三个预定义补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将补丁应用到 Windows Server 操作系统和 Microsoft 发布的受支持的应用程序。

您也可以创建自定义补丁基准,用来在 Windows Server 计算机上更新 Microsoft 发布的应用程序。

支持在虚拟机 (VM) 和托管式节点上修补由 Microsoft 发布的应用程序

要在虚拟机 (VM) 和托管式节点上修补 Microsoft 发布的应用程序,必须打开高级实例层。使用高级实例套餐需支付费用。修补 Microsoft 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例上发布的应用程序不需要支付额外费用。有关更多信息,请参阅打开高级实例套餐

“其他微软产品”的 Windows 更新选项

为了让 Patch Manager 能够在 Windows Server 托管式节点上修补 Microsoft 发布的应用程序,必须在托管式节点上启用 Windows 更新选项 Give me updates for other Microsoft products when I update Windows(更新 Windows 时向我提供其他 Microsoft 产品的更新)。

有关在单个托管式节点上允许此选项的信息,请参阅 Microsoft 支持网站上的使用 Microsoft 更新更新 Office

对于运行 Windows Server 2016 及更高版本的托管式节点机群,您可以使用组策略对象 (GPO) 打开设置。在组策略管理编辑器中,转到计算机配置管理模板Windows 组件Windows 更新,然后选择安装其他 Microsoft 产品的更新

对于运行 Windows Server 2012 或 2012 R2 的托管式节点机群,您可以使用脚本打开该选项,如 Microsoft 文档博客网站上的通过脚本在 Windows 7 中启用和禁用 Microsoft 更新中所述。例如,可以:

  1. 将脚本从博客文章保存在文件中。

  2. 将文件上传到 Amazon Simple Storage Service (Amazon S3) 存储桶或其他可访问的位置。

  3. 使用 Run Command(Amazon Systems Manager 的一项功能),通过 Systems Manager 文档(SSM 文档)AWS-RunPowerShellScript 在托管式节点上运行脚本,所使用的命令类似于以下内容。

    Invoke-WebRequest `
    -Uri "http://s3.amazonaws.com/DOC-EXAMPLE-BUCKET/script.vbs" `
    -Outfile "C:\script.vbs" cscript c:\script.vbs

最低参数要求

要在自定义补丁基准中包括 Microsoft 发布的应用程序,您必须至少指定要修补的产品。下面的 Amazon Command Line Interface (Amazon CLI) 命令演示了修补产品(如 Microsoft Office 2016)的最低要求:

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT,Values='Office 2016'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"

如果您指定了 Microsoft 应用程序产品系列,您指定的每个产品都必须是所选产品系列的受支持的成员产品。例如,要修补产品“Active Directory Rights Management Services Client 2.0”,您必须将其产品系列指定为“Active Directory”,而不是“Office”或“SQL Server”(举例)。下面的 Amazon CLI 命令演示了一对匹配的产品系列和产品。

Linux & macOS
aws ssm create-patch-baseline \
    --name "My-Windows-App-Baseline" \
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
Windows
aws ssm create-patch-baseline ^
    --name "My-Windows-App-Baseline" ^
    --approval-rules "PatchRules=[{PatchFilterGroup={PatchFilters=[{Key=PRODUCT_FAMILY,Values='Active Directory'},{Key=PRODUCT,Values='Active Directory Rights Management Services Client 2.0'},{Key=PATCH_SET,Values='APPLICATION'}]},ApproveAfterDays=5}]"
注意

如果收到有关产品和系列配对不匹配的错误消息,请参阅 问题:产品系列/产品对不匹配 以获取帮助解决问题。