Gambaran umum Manajemen Pembaruan

Anda dapat menggunakan Manajemen Pembaruan di Azure Automation untuk mengelola pembaruan sistem operasi untuk komputer virtual Windows dan Linux Anda di Azure, fisik atau VM di lingkungan lokal, dan di lingkungan cloud lainnya. Anda dapat dengan cepat menilai status pembaruan yang tersedia dan mengelola proses penginstalan pembaruan yang diperlukan untuk komputer Anda yang melaporkan ke Manajemen Pembaruan.

Sebagai penyedia layanan, Anda mungkin telah melakukan onboarding beberapa penyewa pelanggan ke Azure Lighthouse. Manajemen Pembaruan dapat digunakan untuk menilai dan menjadwalkan penyebaran pembaruan ke komputer pada beberapa langganan di penyewa Azure Active Directory (Microsoft Azure AD) yang sama, atau di seluruh penyewa menggunakan Azure Lighthouse.

Microsoft menawarkan kemampuan lain untuk membantu Anda mengelola pembaruan untuk Azure VM atau set skala komputer virtual Azure yang harus Anda pertimbangkan sebagai bagian dari strategi manajemen pembaruan keseluruhan Anda.

  • Jika Anda tertarik untuk menilai dan memperbarui komputer virtual Azure secara otomatis untuk menjaga kepatuhan keamanan dengan pembaruan Kritis dan Keamanan yang dirilis setiap bulan, tinjau Patching tamu VM otomatis. Ini adalah solusi manajemen pembaruan alternatif untuk Azure VM Anda guna memperbaruinya secara otomatis di luar jam sibuk, termasuk VM dalam set ketersediaan, dibandingkan dengan mengelola penyebaran pembaruan ke VM tersebut dari Manajemen Pembaruan di Azure Automation.

  • Jika Anda mengelola set skala komputer virtual Azure, tinjau cara melakukan peningkatan gambar OS otomatis untuk meningkatkan disk OS secara aman dan otomatis untuk semua instans dalam set skala.

Sebelum menyebarkan Manajemen Pembaruan dan mengaktifkan komputer Anda untuk manajemen, pastikan Anda memahami informasi di bagian berikut.

Tentang Manajemen Pembaruan

Diagram berikut ini menggambarkan bagaimana Manajemen Pembaruan menilai dan menerapkan patch keamanan untuk semua server Windows Server dan Linux yang tersambung.

Alur kerja Manajemen Pembaruan

Manajemen Pembaruan terintegrasi dengan Azure Monitor Logs untuk menyimpan penilaian pembaruan dan memperbarui hasil penyebaran sebagai data log, dari komputer Azure dan non-Azure yang ditetapkan. Untuk mengumpulkan data ini, Akun Automation dan ruang kerja Log Analytics ditautkan bersama-sama, dan agen Log Analytics untuk Windows dan Linux diperlukan di komputer dan dikonfigurasi untuk melaporkan ke ruang kerja ini.

Manajemen Pembaruan mendukung pengumpulan informasi tentang pembaruan sistem dari agen dalam grup manajemen System Center Operations Manager yang terhubung ke ruang kerja. Memiliki komputer yang terdaftar untuk Manajemen Pembaruan di lebih dari satu ruang kerja Analitik Log (juga disebut sebagai multihoming) tidak didukung.

Tabel berikut ini meringkas sumber tersambung yang didukung dengan Manajemen Pembaruan.

Sumber yang tersambung Didukung Deskripsi
Windows Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan sistem dari komputer Windows dengan agen Log Analytics dan instalasi pembaruan yang diperlukan.
Mesin perlu melapor ke Microsoft Update atau Windows Server Update Services (WSUS).
Linux Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan sistem dari komputer Linux dengan agen Log Analytics dan instalasi pembaruan yang diperlukan pada distribusi yang didukung.
Mesin perlu melapor ke repositori lokal atau jarak jauh.
Grup manajemen Operations Manager Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan perangkat lunak dari agen dalam grup manajemen yang tersambung.

Koneksi langsung dari agen Operations Manager ke log Azure Monitor tidak diperlukan. Data log diteruskan dari grup manajemen ke ruang kerja Log Analytics.

Komputer yang ditetapkan untuk Manajemen Pembaruan melaporkan seberapa baru pembaruan terkini mereka berdasarkan sumber yang mereka konfigurasikan untuk disinkronkan. Komputer Windows harus dikonfigurasi untuk melaporkan ke Windows Server Update Services atau Microsoft Update, dan komputer Linux harus dikonfigurasi untuk melaporkan ke repositori lokal atau publik. Anda juga dapat menggunakan Manajemen Pembaruan dengan Microsoft Configuration Manager, dan untuk mempelajari selengkapnya lihat Mengintegrasikan Manajemen Pembaruan dengan Windows Configuration Manager.

Jika Agen Windows Update (WUA) pada komputer Windows dikonfigurasi untuk melapor ke WSUS, tergantung pada kapan WSUS terakhir disinkronkan dengan Microsoft Update, hasilnya mungkin berbeda dari apa yang ditunjukkan Microsoft Update. Perilaku ini sama untuk komputer Linux yang dikonfigurasi untuk melapor ke repositori lokal, bukan ke repositori publik. Pada komputer Windows, pemindaian kepatuhan dijalankan setiap 12 jam secara default. Untuk komputer Linux, pemindaian kepatuhan dilakukan setiap jam secara default. Jika agen Analitik Log dimulai ulang, pemindaian kepatuhan dimulai dalam waktu 15 menit. Saat komputer menyelesaikan pemindaian untuk kepatuhan pembaruan, agen meneruskan informasi secara massal ke Azure Monitor Logs.

Anda dapat menyebarkan dan memasang pembaruan perangkat lunak pada komputer yang memerlukan pembaruan dengan membuat penyebaran terjadwal. Pembaruan yang diklasifikasikan sebagai Opsional tidak disertakan dalam cakupan penyebaran untuk komputer Windows. Hanya pembaruan yang diperlukan yang disertakan dalam cakupan penyebaran.

Penyebaran terjadwal menentukan komputer target mana yang menerima pembaruan yang berlaku. Hal itu juga dilakukan dengan menentukan komputer tertentu secara eksplisit atau dengan memilih grup komputer yang didasarkan pada penelusuran log dari set komputer tertentu (atau berdasarkan pada kueri Azure yang secara dinamis memilih Azure VM berbasis pada kriteria yang ditentukan). Grup ini berbeda dari konfigurasi cakupan, yang digunakan untuk mengontrol penargetan komputer yang menerima konfigurasi untuk mengaktifkan Manajemen Pembaruan. Hal ini mencegah mereka melakukan dan melaporkan kepatuhan pembaruan, dan memasang pembaruan yang diperlukan yang disetujui.

Saat menentukan penyebaran, Anda juga menentukan jadwal untuk menyetujui dan menetapkan periode waktu di mana pembaruan dapat dipasang. Periode ini disebut jendela pemeliharaan. Rentang 10 menit dari jendela pemeliharaan disediakan untuk reboot, dengan asumsi diperlukan dan Anda memilih opsi reboot yang sesuai. Jika patching membutuhkan waktu lebih lama dari yang diharapkan dan ada kurang dari 10 menit di jendela pemeliharaan, boot ulang tidak akan terjadi.

Setelah paket pembaruan dijadwalkan untuk penyebaran, dibutuhkan 2 hingga 3 jam agar pembaruan muncul untuk komputer Linux untuk penilaian. Untuk komputer Windows, dibutuhkan 12 hingga 15 jam agar pembaruan muncul untuk penilaian setelah dirilis. Sebelum dan sesudah penginstalan pembaruan, pemindaian untuk kepatuhan pembaruan dilakukan dan hasil data log diteruskan ke ruang kerja.

Pembaruan diinstal oleh runbook di Azure Automation. Anda tidak dapat melihat runbook ini, dan runbook tidak memerlukan konfigurasi apa pun. Saat penyebaran pembaruan dibuat, penyebaran membuat jadwal yang memulai runbook pembaruan utama pada waktu yang ditentukan untuk komputer yang disertakan. Master runbook memulai runbook turunan pada setiap agen yang memulai instalasi pembaruan yang diperlukan dengan agen Windows Update di Windows, atau perintah yang berlaku pada distro Linux yang didukung.

Pada tanggal dan waktu yang ditentukan dalam penyebaran pembaruan, komputer target menjalankan penyebaran secara paralel. Sebelum instalasi, pemindaian dijalankan untuk memverifikasi bahwa pembaruan masih diperlukan. Untuk komputer klien WSUS, jika pembaruan tidak disetujui di WSUS, penyebaran pembaruan gagal.

Batas

Untuk batas yang berlaku untuk Manajemen Pembaruan, lihat Batas layanan Azure Automation.

Izin

Untuk membuat dan mengelola penyebaran pembaruan, Anda memerlukan izin tertentu. Untuk mempelajari tentang izin ini, lihat Akses berbasis peran - Manajemen Pembaruan.

Komponen Manajemen Pembaruan

Manajemen Pembaruan menggunakan sumber daya yang dijelaskan di bagian ini. Sumber daya ini secara otomatis ditambahkan ke akun Automation Anda saat Anda mengaktifkan Manajemen Pembaruan.

Grup Hybrid Runbook Worker

Setelah Anda mengaktifkan Manajemen Pembaruan, setiap komputer Windows yang tersambung langsung ke ruang kerja Analitik Log Anda secara otomatis dikonfigurasi sebagai sistem Hybrid Runbook Worker untuk mendukung runbook yang mendukung Manajemen Pembaruan.

Setiap komputer Windows yang dikelola oleh Manajemen Pembaruan dicantumkan dalam panel grup Hybrid worker sebagai Grup pekerja hibrid sistem untuk akun Automation. Grup menggunakan Hostname FQDN_GUID konvensi penamaan. Anda tidak dapat menargetkan grup ini dengan runbook di akun Anda. Jika Anda mencoba, upaya akan gagal. Grup ini dimaksudkan untuk hanya mendukung Manajemen Pembaruan. Untuk mempelajari selengkapnya tentang melihat daftar komputer Windows yang dikonfigurasi sebagai Hybrid Runbook Worker, lihat Tampilan Hybrid Runbook Worker.

Anda dapat menambahkan komputer Windows ke grup Hybrid Runbook Worker pengguna di akun Automation Anda untuk mendukung runbook Automation jika Anda menggunakan akun yang sama untuk Manajemen Pembaruan dan keanggotaan grup Hybrid Runbook Worker. Fungsionalitas ini ditambahkan di versi 7.2.12024.0 dari Hybrid Runbook Worker.

Dependensi eksternal

Manajemen Pembaruan Azure Automation bergantung pada dependensi eksternal berikut untuk memberikan pembaruan perangkat lunak.

  • Windows Server Update Services (WSUS) atau Microsoft Update diperlukan untuk paket pembaruan perangkat lunak dan untuk pemindaian penerapan pembaruan perangkat lunak pada komputer berbasis Windows.
  • Klien Windows Update Agent (WUA) diperlukan pada komputer berbasis Windows sehingga mereka dapat terhubung ke server WSUS atau Microsoft Update.
  • Repositori lokal atau jarak jauh untuk mengambil dan menginstal pembaruan OS pada komputer berbasis Linux.

Paket manajemen

Paket manajemen berikut ini diinstal pada komputer yang dikelola oleh Manajemen Pembaruan. Jika grup manajemen Operations Manager Anda tersambung ke ruang kerja Log Analytics, paket manajemen ini diinstal di grup manajemen Operations Manager. Anda tidak perlu mengonfigurasi atau mengelola paket manajemen ini.

  • Paket Kecerdasan Penilaian Pembaruan Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Memperbarui MP Penyebaran

Catatan

Jika Anda memiliki grup manajemen Operations Manager 1807 atau 2019 yang terhubung ke ruang kerja Log Analytics dengan agen yang dikonfigurasi dalam grup manajemen untuk mengumpulkan data log, Anda perlu mengambil alih parameter IsAutoRegistrationEnabled dan mengaturnya ke True dalam aturan Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.

Untuk mengetahui informasi selengkapnya tentang pembaruan untuk paket manajemen, lihat Menyambungkan Operations Manager ke log Azure Monitor.

Catatan

Agar Manajemen Pembaruan dapat mengelola sepenuhnya komputer dengan agen Analitik Log, Anda harus memperbarui ke agen Analitik Log untuk Windows atau agen Analitik Log untuk Linux. Untuk mempelajari cara memperbarui agen, lihat Cara meningkatkan agen Operations Manager. Di lingkungan yang menggunakan Operations Manager, Anda harus menjalankan Manajer Operasi Pusat Sistem 2012 R2 UR 14 atau yang lebih baru.

Frekuensi pengumpulan data

Manajemen Pembaruan memindai komputer terkelola untuk data menggunakan aturan berikut. Dibutuhkan waktu antara 30 menit dan 6 jam agar dasbor menampilkan data yang diperbarui dari komputer terkelola.

  • Setiap komputer Windows - Manajemen Pembaruan melakukan pemindaian dua kali per hari untuk setiap komputer.

  • Setiap komputer Linux - Manajemen Pembaruan melakukan pemindaian setiap jam.

Penggunaan data rata-rata oleh log Azure Monitor untuk komputer yang menggunakan Manajemen Pembaruan adalah sekitar 25 MB per bulan. Nilai ini hanya perkiraan dan dapat berubah, tergantung pada lingkungan Anda. Kami menyarankan agar Anda memantau lingkungan untuk melacak penggunaan yang tepat. Untuk informasi selengkapnya tentang menganalisis penggunaan data Log Azure Monitor, lihat Detail harga Log Azure Monitor.

Memperbarui klasifikasi

Tabel berikut ini menentukan klasifikasi yang didukung Manajemen Pembaruan untuk pembaruan Windows.

Klasifikasi Deskripsi
Pembaruan penting Pembaruan untuk masalah tertentu yang membahas bug penting yang tidak terkait dengan keamanan.
Pembaruan keamanan Pembaruan untuk masalah spesifik produk terkait keamanan.
Rollup pembaruan Sekumpulan perbaikan terbaru yang dipaketkan bersama-sama untuk kemudahan penyebaran.
Paket fitur Fitur produk baru yang didistribusikan di luar rilis produk.
Paket layanan Sekumpulan perbaikan yang diterapkan ke aplikasi.
Pemutakhiran definisi Pembaruan untuk virus atau file definisi lainnya.
Alat Utilitas atau fitur yang membantu menyelesaikan satu atau beberapa tugas.
Pembaruan Pembaruan untuk aplikasi atau file yang saat ini terpasang.

Tabel berikutnya menentukan klasifikasi yang didukung untuk pembaruan Linux.

Klasifikasi Deskripsi
Pembaruan penting dan keamanan Pembaruan untuk masalah tertentu atau khusus produk, masalah terkait keamanan.
Pembaruan lainnya Semua pembaruan lain yang umumnya tidak penting atau yang bukan penambal keamanan.

Catatan

Klasifikasi pembaruan untuk komputer Linux hanya tersedia saat digunakan di wilayah cloud publik Azure yang didukung. Tidak ada klasifikasi pembaruan Linux saat menggunakan Manajemen Pembaruan di wilayah cloud nasional berikut:

  • Azure US Government
  • 21Vianet di Tiongkok

Alih-alih diklasifikasikan, pembaruan dilaporkan di bawah kategori Pembaruan lainnya.

Manajemen Pembaruan menggunakan data yang diterbitkan oleh distribusi yang didukung, khususnya file OVAL (Open Vulnerability and Assessment Language) yang dirilis. Karena akses internet dibatasi dari cloud nasional ini, Manajemen Pembaruan tidak dapat mengakses file.

Logika untuk klasifikasi pembaruan Linux

  1. Untuk penilaian, Manajemen Pembaruan mengklasifikasikan pembaruan ke dalam tiga kategori: Keamanan, Kritis, atau Lainnya. Klasifikasi pembaruan ini sesuai data dari dua sumber:

    • File Open Vulnerability and Assessment Language (OVAL) disediakan oleh vendor distro Linux yang mencakup data tentang masalah keamanan atau kerentanan yang diperbaiki pembaruan.
    • Manajer paket di mesin Anda seperti YUM, APT, atau ZYPPER.
  2. Untuk patching, Manajemen Pembaruan mengklasifikasikan pembaruan ke dalam dua kategori: Kritis dan Keamanan atau Lainnya. Klasifikasi pembaruan ini hanya didasarkan pada data dari manajer paket seperti YUM, APT, atau ZYPPER.

CentOS - Tidak seperti distribusi lain, CentOS tidak memiliki data klasifikasi yang tersedia dari manajer paket. Jika Anda memiliki komputer CentOS yang dikonfigurasi untuk mengembalikan data keamanan perintah berikut, Manajemen Pembaruan dapat melakukan patch berdasarkan klasifikasi.

sudo yum -q --security check-update

Catatan

Saat ini tidak ada metode yang didukung untuk mengaktifkan ketersediaan data klasifikasi asli di CentOS. Saat ini, kami memberikan dukungan terbatas kepada pelanggan yang mungkin telah mengaktifkan fitur ini sendiri.

Redhat - Untuk mengklasifikasikan pembaruan pada Red Hat Enterprise versi 6, Anda harus menginstal plugin keamanan YUM. Di Red Hat Enterprise Linux 7, plugin sudah menjadi bagian dari YUM itu sendiri dan tidak perlu menginstal apa pun. Untuk mengetahui informasi lebih lanjut, lihat artikel pengetahuan Red Hat berikut ini.

Mengintegrasikan Manajemen Pembaruan dengan Configuration Manager

Pelanggan yang telah berinvestasi di Microsoft Configuration Manager untuk mengelola PC, server, dan perangkat seluler juga mengandalkan kekuatan dan kematangan Configuration Manager untuk membantu mengelola pembaruan perangkat lunak. Untuk mempelajari cara mengintegrasikan Manajemen Pembaruan dengan Configuration Manager, lihat Mengintegrasikan Manajemen Pembaruan dengan Windows Configuration Manager.

Pembaruan pihak ketiga pada Windows

Manajemen Pembaruan bergantung pada repositori pembaruan yang dikonfigurasi secara lokal untuk memperbarui sistem Windows yang didukung, baik WSUS atau Windows Update. Alat seperti Penerbit Pembaruan Pusat Sistem memungkinkan Anda mengimpor dan menerbitkan pembaruan kustom dengan WSUS. Skenario ini memungkinkan Manajemen Pembaruan untuk memperbarui komputer yang menggunakan Configuration Manager sebagai repositori pembaruan mereka dengan perangkat lunak pihak ketiga. Untuk mempelajari cara mengonfigurasi Penerbit Pembaruan, lihat Memasang Penerbit Pembaruan.

Memperbarui agen Analitik Log Windows ke versi terbaru

Manajemen Pembaruan memerlukan agen Analitik Log untuk fungsinya. Kami menyarankan Anda untuk memperbarui agen Analitik Log Windows (juga dikenal sebagai Windows Microsoft Monitoring Agent (MMA)) ke versi terbaru untuk mengurangi kerentanan keamanan dan mendapatkan manfaat dari perbaikan bug. Versi agen Analitik Log sebelum 10.20.18053 (bundel) dan 1.0.18053.0 (ekstensi) menggunakan metode penanganan sertifikat yang lebih lama dan karenanya tidak disarankan. Agen Analitik Log Windows yang lebih lama tidak akan dapat tersambung ke Azure dan Manajemen Pembaruan akan berhenti mengerjakannya.

Anda harus memperbarui agen Analitik Log ke versi terbaru, dengan mengikuti langkah-langkah di bawah ini:

  1. Periksa versi agen Log Analytics saat ini untuk komputer Anda: Buka jalur penginstalan - C:\ProgramFiles\Microsoft Monitoring Agent\Agent dan klik kanan pada HealthService.exe untuk memeriksa Properti. Di tab Detail , bidang Versi produk menyediakan nomor versi agen Log Analytics.

  2. Jika versi agen Analitik Log Anda sebelum 10.20.18053 (bundel) dan 1.0.18053.0 (ekstensi), tingkatkan ke versi terbaru agen Analitik Log Windows, ikuti panduan ini. 

Catatan

Selama proses peningkatan, jadwal manajemen pembaruan mungkin gagal. Pastikan untuk melakukan ini ketika tidak ada jadwal yang direncanakan.

Langkah berikutnya