预定义和自定义补丁基准 - Amazon Systems Manager
预定义基准自定义基准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

预定义和自定义补丁基准

Patch Manager(Amazon Systems Manager 中的一项工具)为Patch Manager支持的每个操作系统提供预定义补丁基准。您可以按照当前配置的方式使用这些基准(无法自定义它们),也可以创建您自己的自定义补丁基准。自定义补丁基准允许您更好地控制在您的环境下批准或拒绝哪些补丁。此外,预定义基准会为使用这些基准安装的所有补丁分配 Unspecified 合规性级别。对于要分配的合规性值,您可以创建预定义基准的副本,并指定要分配给补丁的合规性值。有关更多信息,请参阅自定义基准使用自定义补丁基准

注意

无论您使用哪种方法或类型的配置进行修补操作,本主题中的信息均适用:

  • Quick Setup 中配置的补丁策略

  • Quick Setup 中配置的主机管理选项

  • 运行补丁 ScanInstall 任务的维护时段

  • 按需 Patch now(立即修补)操作

预定义基准

下表介绍了 Patch Manager 提供的预定义补丁基准。

有关 Patch Manager 支持各操作系统的哪些版本的信息,请参阅 Patch Manager 先决条件

名称 支持的操作系统 详细信息

AWS-AlmaLinuxDefaultPatchBaseline

AlmaLinux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹
AWS-AmazonLinux2DefaultPatchBaseline Amazon Linux 2 批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“缺陷修正”的所有补丁。补丁将在发布后 7 天自动批准。¹
AWS-AmazonLinux2023DefaultPatchBaseline Amazon Linux 2023

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。补丁将在发布后七天自动批准。在发布 7 天后还批准分类为“缺陷修正”的所有补丁。
AWS-DebianDefaultPatchBaseline Debian Server 立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。
AWS-MacOSDefaultPatchBaseline macOS 批准分类为“Security”的所有操作系统补丁。同时批准具有当前更新的所有软件包。
AWS-OracleLinuxDefaultPatchBaseline Oracle Linux 批准分类为“Security”且严重性等级为“重要”或“中等”的所有操作系统补丁。在发布 7 天后还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-RedHatDefaultPatchBaseline

Red Hat Enterprise Linux (RHEL)

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-RockyLinuxDefaultPatchBaseline

Rocky Linux

批准分类为“Security”且严重性等级为“关键”或“重要”的所有操作系统补丁。还批准分类为“Bugfix”的所有补丁。补丁将在发布或更新后 7 天自动批准。¹

AWS-UbuntuDefaultPatchBaseline

Ubuntu Server

立即批准优先级为“Required”、“Important”、“Standard”、“Optional”或“Extra”的与操作系统安全相关的所有补丁。由于存储库中未提供可靠的发布日期,因此批准之前无需等待。
AWS-DefaultPatchBaseline

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布或更新后 7 天自动批准。²
AWS-WindowsPredefinedPatchBaseline-OS

Windows Server

批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有 Windows Server 操作系统补丁。补丁将在发布或更新后 7 天自动批准。²
AWS-WindowsPredefinedPatchBaseline-OS-Applications Windows Server 对于 Windows Server 操作系统,批准分类为“CriticalUpdates”或“SecurityUpdates”且 MSRC 严重性为“严重”或“重要”的所有补丁。对于 Microsoft 发布的应用程序,批准所有补丁。在发布或更新后 7 天自动批准操作系统和应用程序的补丁。²

¹ 对于 Amazon Linux 2,补丁自动批准前的 7 天等待时间根据 updateinfo.xml 中的 Updated Date 值,而不是 Release Date 值计算。有多种因素会影响 Updated Date 值。其他操作系统处理发布和更新日期的方式有所不同。有关帮助您避免自动批准延迟的意外结果的信息,请参阅 如何计算软件包发布日期和更新日期

² 对于 Windows Server,默认基准包括 7 天的自动批准延迟。要在发布后 7 天内安装补丁,您必须创建自定义基准。

自定义基准

使用以下信息来帮助您创建自定义补丁基准以符合修补目标。

在自定义基准中使用自动批准

如果您创建自己的补丁基准,则可使用以下类别选择自动批准哪些补丁。

  • 操作系统:受支持的 Windows Server、Amazon Linux、Ubuntu Server 等版本。

  • 产品名称(对于操作系统):例如,RHEL 7.5、Amazon Linux 2023 2023.8.20250808、Windows Server 2012、Windows Server 2012 R2 等。

  • 产品名称(仅对于 Windows Server 上 Microsoft 发布的应用程序):例如,Word 2016、BizTalk 服务器等。

  • 分类:例如,关键更新、安全更新等。

  • 严重性:例如,关键、重要等。

对于您创建的每个批准规则,您可以选择指定自动批准延迟或指定补丁批准截止日期。

注意

由于无法可靠地确定 Ubuntu Server 的更新程序包的发布日期,因此此操作系统不支持自动批准选项。

自动批准延迟是发布或最后更新补丁后到自动批准补丁用于修补前等待的天数。例如,如果您使用 CriticalUpdates 分类创建一条规则并将其自动批准延迟配置为 7 天,则将在 7 月 14 日自动批准 7 月 7 日发布的新关键补丁。

如果 Linux 存储库未提供软件包的发布日期信息,Patch Manager 会将软件包的构建时间用作符合 Amazon Linux 2 和 Red Hat Enterprise Linux(RHEL)自动批准日期规范的日期。如果无法确定软件包的构建时间,Patch Manager 会使用默认日期 1970 年 1 月 1 日。这将导致 Patch Manager 绕过补丁基准(配置为批准 1970 年 1 月 1 日之后任一日期发布的补丁)中的所有自动批准日期规范。

当您指定自动批准截止日期时,Patch Manager 会自动应用在该日期或之前发布或最后更新的所有补丁。例如,如果将 2023 年 7 月 7 日指定为截止日期,系统都不会自动安装于 2023 年 7 月 8 日或之后发布或最后更新的所有补丁。

创建自定义补丁基准时,您可以为此补丁基准批准的补丁指定合规性严重性级别,例如 CriticalHigh。如果任何已批准补丁的补丁状态报告为 Missing,则补丁基准报告的总体合规性严重性级别就是您指定的严重级别。

有关创建补丁基准的其他信息

创建补丁基准时,请牢记以下信息:

  • Patch Manager 为每个受支持的操作系统提供一个预定义的补丁基准。这些预定义的补丁基准将被用作每个操作系统类型的默认补丁基准,除非您创建自己的补丁基准,并将其指定为相应操作系统类型的默认补丁基准。

    注意

    适用于 Windows Server,提供三个预定义的补丁基准。补丁基准 AWS-DefaultPatchBaselineAWS-WindowsPredefinedPatchBaseline-OS 仅支持 Windows 操作系统本身的操作系统更新。除非您指定了其他补丁基准,AWS-DefaultPatchBaseline 用作 Windows Server 托管式节点的默认补丁基准。这两个补丁基准中的配置设置是相同的。两者中较新的,AWS-WindowsPredefinedPatchBaseline-OS 被创建来区分它和 Windows Server 的第三个预定义补丁基准。补丁基准 AWS-WindowsPredefinedPatchBaseline-OS-Applications,可用于将补丁应用到 Windows Server 操作系统和 Microsoft 发布的受支持的应用程序。

  • 默认情况下,Windows Server 2019 和 Windows Server 2022 会移除由较新更新所取代的更新。因此,如果您在 Windows Server 补丁基准中使用 ApproveUntilDate 参数,但 ApproveUntilDate 参数中选择的日期早于最新补丁发布的日期,则在运行修补操作时,不会安装新的补丁。有关 Windows Server 修补规则的更多信息,请参阅 如何选择安全性补丁 中的 Windows Server 选项卡。

    这意味着托管节点在 Systems Manager 操作方面是合规的,即使可能未安装上个月的关键补丁亦是如此。使用 ApproveAfterDays 参数时也可能出现同样的情况。由于 Microsoft 取代的补丁行为,可以设置一个数字(通常大于 30 天),这样,如果 Microsoft 的最新可用补丁是在经过 ApproveAfterDays 中的天数之前发布的,则绝不会安装 Windows Server 的补丁。

  • 仅对于 Windows Server:未经补丁基准批准的可用安全更新补丁可以具有合规性值、CompliantNon-Compliant,如自定义补丁基准中所定义。

    创建或更新补丁基准时,需选择要分配给可用但尚未批准的安全补丁(这些补丁由于不符合补丁基准中指定的安装标准而未获批准)的状态。例如,如果您指定在补丁发布后等待较长时间再进行安装,则会跳过某些您可能希望安装的安全补丁。如果在您指定的等待期内发布了该补丁的更新版本,则该补丁的安装等待期将重新开始。如果等待期过长,则可能会发布多个版本的补丁,但不会进行安装。

    通过控制台创建或更新补丁基准,需在可用安全更新合规性状态字段中指定此选项。通过 Amazon CLI 运行 create-patch-baselineupdate-patch-baseline 命令时,需在 available-security-updates-compliance-status 参数中指定此选项。

  • 对于本地服务器和虚拟机 (VM),Patch Manager 尝试使用您的自定义默认补丁基准。如果不存在自定义默认补丁基准,系统将使用相应操作系统的预定义补丁基准。

  • 如果某个补丁在相同的补丁基准中同时被列为已批准和已拒绝,则该补丁将被拒绝。

  • 一个托管式节点只能有一个定义的补丁基准。

  • 可以添加到补丁基准的已批准补丁和已拒绝补丁列表中的软件包名称格式取决于您正在修补的操作系统的类型。

    有关已批准的补丁和已拒绝的补丁列表的已接受格式的信息,请参阅 已批准补丁和已拒绝补丁列表的程序包名称格式

  • 如果您在 Quick Setup 中使用补丁策略配置,则系统会每小时与 Quick Setup 同步一次您对自定义补丁基准所做的更新。

    如果删除了补丁策略中引用的自定义补丁基准,那么补丁策略的 Quick Setup Configuration details(配置详细信息)页面上会显示一个横幅。横幅将通知您,补丁策略引用的补丁基准已不存在,且后续的修补操作将失败。在这种情况下,返回 Quick Setup Configurations(配置)页面,选择 Patch Manager 配置,然后选择 Actions(操作),Edit configuration(编辑配置)。已删除的补丁基准名称将突出显示,您必须为受影响的操作系统选择新的补丁基准。

  • 当您创建包含多个 ClassificationSeverity 值的批准规则时,将根据补丁的可用属性对其进行批准。同时包含 ClassificationSeverity 属性的软件包将匹配两个字段的选定基准值。仅包含 Classification 属性的软件包仅匹配选定的基准 Classification 值。对于没有 Severity 属性的软件包,将忽略同一规则中的严重性要求。

有关创建补丁基准的信息,请参阅 使用自定义补丁基准教程:使用 Amazon CLI 修补服务器环境