Správa aktualizací a oprav pro virtuální počítače

  • Článek

Aktualizace softwaru v Azure Automation Update Management poskytují sadu nástrojů a prostředků, které můžou pomoct spravovat komplexní úlohu sledování a použití aktualizací softwaru na počítačích v Azure a hybridním cloudu. Efektivní proces správy aktualizací softwaru je nezbytný pro zachování provozní efektivity, překonání problémů se zabezpečením a snížení rizik zvýšených kybernetických bezpečnostních hrozeb. Ale kvůli měnící se povaze technologie a neustálému výskytu nových hrozeb zabezpečení vyžaduje účinná správa aktualizací softwaru důslednou a nepřetržitou pozornost.

Poznámka

Update Management podporuje nasazení aktualizací od první strany a jejich předběžné stažení. Tato podpora vyžaduje změny v aktualizovaných systémech. Informace o konfiguraci těchto nastavení v systémech najdete v tématu Konfigurace nastavení služba Windows Update pro Azure Automation Update Management.

Než se pokusíte spravovat aktualizace pro virtuální počítače, ujistěte se, že jste na nich povolili řešení Update Management pomocí jedné z těchto metod:

Omezení rozsahu nasazení

Update Management používá konfiguraci oboru v rámci pracovního prostoru k cílení na počítače, aby dostávaly aktualizace. Další informace najdete v tématu Omezení rozsahu nasazení řešení Update Management.

Posouzení dodržování předpisů

Před nasazením aktualizací softwaru do počítačů si projděte výsledky posouzení dodržování předpisů aktualizací pro povolené počítače. U každé aktualizace softwaru se zaznamená její stav dodržování předpisů a po dokončení vyhodnocení se tento stav shromažďuje a hromadně předává do protokolů služby Azure Monitor.

Na počítači s Windows se kontrola dodržování předpisů ve výchozím nastavení spouští každých 12 hodin a zahájí se do 15 minut od restartování agenta Log Analytics pro Windows. Data posouzení se pak předávají do pracovního prostoru a aktualizují Aktualizace tabulku. Před a po instalaci aktualizace se provede kontrola dodržování předpisů aktualizací, která identifikuje chybějící aktualizace, ale výsledky se nepoužívají k aktualizaci dat posouzení v tabulce.

Je důležité si projít naše doporučení ke konfiguraci klienta služba Windows Update pomocí řešení Update Management, abyste se vyhnuli problémům, které brání jeho správné správě.

Na počítači s Linuxem se kontrola dodržování předpisů ve výchozím nastavení provádí každou hodinu. Pokud se agent Log Analytics pro Linux restartuje, během 15 minut se zahájí kontrola dodržování předpisů.

Výsledky dodržování předpisů se zobrazují v řešení Update Management pro každý hodnocený počítač. Může trvat až 30 minut, než se na řídicím panelu zobrazí aktualizovaná data z nového počítače s povolenou správou.

Informace o tom, jak zobrazit výsledky dodržování předpisů, najdete v tématu Monitorování aktualizací softwaru .

Nasazení aktualizací

Po kontrole výsledků dodržování předpisů je fáze nasazení aktualizace softwaru procesem nasazení aktualizací softwaru. Pokud chcete nainstalovat aktualizace, naplánujte nasazení, které odpovídá vašemu plánu vydávání verzí a časovému období služby. Můžete zvolit typy aktualizací, které budou součástí nasazení. Můžete například zahrnout důležité aktualizace nebo aktualizace zabezpečení a vyloučit kumulativní aktualizace.

Projděte si téma nasazení aktualizací softwaru , kde se dozvíte, jak naplánovat nasazení aktualizací.

Vyloučit aktualizace

U některých variant Linuxu, jako je Red Hat Enterprise Linux, může k upgradům na úrovni operačního systému docházet prostřednictvím balíčků. To může vést ke spuštění řešení Update Management, ve kterém se změní číslo verze operačního systému. Vzhledem k tomu, že Update Management používá k aktualizaci balíčků stejné metody, které správce používá místně na počítači s Linuxem, je toto chování záměrné.

Pokud se chcete vyhnout aktualizaci verze operačního systému prostřednictvím nasazení Update Management, použijte funkci Vyloučení .

V Red Hat Enterprise Linuxu je redhat-release-server.x86_64název balíčku, který se má vyloučit, .

Klasifikace aktualizací v Linuxu

Při nasazování aktualizací na počítač s Linuxem můžete vybrat klasifikace aktualizací. Tato možnost filtruje aktualizace, které splňují zadaná kritéria. Tento filtr se použije místně na počítači při nasazení aktualizace.

Vzhledem k tomu, že Update Management provádí rozšiřování aktualizací v cloudu, můžete některé aktualizace v řešení Update Management označit jako aktualizace, které mají dopad na zabezpečení, i když místní počítač tyto informace nemá. Pokud na počítač s Linuxem použijete důležité aktualizace, můžou existovat aktualizace, které nejsou označené jako aktualizace, které nemají vliv na zabezpečení daného počítače, a proto se nepoužijí. Update Management ale může i nadále hlásit tento počítač jako nevyhovující, protože obsahuje další informace o příslušné aktualizaci.

Nasazení aktualizací podle klasifikace aktualizací nefunguje ve verzích RTM centOS. Pokud chcete správně nasadit aktualizace pro CentOS, vyberte všechny klasifikace a ujistěte se, že se aktualizace použijí. V případě SUSE vyberte POUZE další aktualizace , protože klasifikace může nainstalovat některé další aktualizace zabezpečení, pokud souvisí se správcem balíčků zypper nebo jsou nejprve vyžadovány jeho závislosti. Toto chování je omezením zypperu. V některých případech může být nutné znovu spustit nasazení aktualizací a pak nasazení ověřit prostřednictvím protokolu aktualizací.

Kontrola nasazení aktualizací

Po dokončení nasazení zkontrolujte proces a určete úspěšnost nasazení aktualizace podle počítače nebo cílové skupiny. Informace o tom, jak monitorovat stav nasazení, najdete v tématu Kontrola stavu nasazení.

Další kroky