Updates en patches voor uw VM's beheren

Software-updates in Azure Automation Updatebeheer biedt een set hulpprogramma's en resources waarmee u de complexe taak voor het bijhouden en toepassen van software-updates op machines in Azure en hybride cloud kunt beheren. Een effectief proces voor software-updatebeheer is nodig om operationele efficiëntie te behouden, beveiligingsproblemen te overwinnen en de risico's van verhoogde bedreigingen voor cyberbeveiliging te verminderen. Wegens de veranderende aard van technologie en het permanent opduiken van nieuwe veiligheidsbedreigingen, vergt effectief beheer van software-updates consistente en continue aandacht.

Notitie

Updatebeheer ondersteunt de implementatie van updates van derden en het vooraf downloaden ervan. Voor deze ondersteuning moeten wijzigingen in de systemen worden bijgewerkt. Zie Instellingen voor Windows Update configureren voor Azure Automation Updatebeheer voor meer informatie over het configureren van deze instellingen op uw systemen.

Voordat u updates voor uw VM's probeert te beheren, moet u ervoor zorgen dat u Updatebeheer hebt ingeschakeld met behulp van een van de volgende methoden:

Het bereik voor de implementatie beperken

Updatebeheer maakt gebruik van een bereikconfiguratie binnen de werkruimte om de computers te richten op het ontvangen van updates. Zie Het implementatiebereik van Updatebeheer beperken voor meer informatie.

Nalevingsevaluatie

Voordat u software-updates op uw computers implementeert, bekijkt u de resultaten van de evaluatie van updatecompatibiliteit voor ingeschakelde machines. Voor elke software-update wordt de nalevingsstatus vastgelegd en vervolgens wordt de evaluatie verzameld en bulksgewijs doorgestuurd naar Azure Monitor-logboeken.

Op een Windows machine wordt de nalevingsscan standaard elke 12 uur uitgevoerd en wordt deze binnen 15 minuten na de Log Analytics-agent voor Windows opnieuw gestart. De evaluatiegegevens worden vervolgens doorgestuurd naar de werkruimte en vernieuwen de tabel Updates . Vóór en na de installatie van de update wordt een updatenalevingsscan uitgevoerd om ontbrekende updates te identificeren, maar de resultaten worden niet gebruikt om de evaluatiegegevens in de tabel bij te werken.

Het is belangrijk om onze aanbevelingen te bekijken over het configureren van de Windows Update-client met Updatebeheer om eventuele problemen te voorkomen die verhinderen dat deze correct worden beheerd.

Voor een Linux-machine wordt de nalevingsscan standaard elk uur uitgevoerd. Als de Log Analytics-agent voor Linux opnieuw wordt gestart, wordt binnen 15 minuten een nalevingsscan gestart.

De nalevingsresultaten worden weergegeven in Updatebeheer voor elke geëvalueerde machine. Het kan tot 30 minuten duren voordat het dashboard bijgewerkte gegevens weergeeft van een nieuwe computer die is ingeschakeld voor beheer.

Bekijk software-updates voor meer informatie over het weergeven van nalevingsresultaten.

Updates implementeren

Na het bekijken van de nalevingsresultaten is de implementatiefase van de software-update het proces van het implementeren van software-updates. Als u updates wilt installeren, plant u een implementatie die overeenkomt met uw releaseschema en servicevenster. U kunt kiezen welke typen updates moeten worden opgenomen in de implementatie. Zo kunt u belangrijke updates of beveiligingsupdates opnemen en updatepakketten uitsluiten.

Bekijk de implementatie van software-updates voor meer informatie over het plannen van een update-implementatie.

Updates uitsluiten

In sommige Linux-varianten, zoals Red Hat Enterprise Linux, kunnen upgrades op besturingssysteemniveau plaatsvinden via pakketten. Dit kan ertoe leiden dat Updatebeheer wordt uitgevoerd waarin het versienummer van het besturingssysteem wordt gewijzigd. Omdat Updatebeheer dezelfde methoden gebruikt om pakketten bij te werken die een beheerder lokaal op een Linux-computer gebruikt, is dit gedrag opzettelijk.

Gebruik de uitsluitingsfunctie om te voorkomen dat de versie van het besturingssysteem wordt bijgewerkt via updatebeheerimplementaties.

In Red Hat Enterprise Linux is redhat-release-server.x86_64de pakketnaam die moet worden uitgesloten.

Linux-updateclassificaties

Wanneer u updates implementeert op een Linux-computer, kunt u updateclassificaties selecteren. Met deze optie worden de updates gefilterd die voldoen aan de opgegeven criteria. Dit filter wordt lokaal toegepast op de computer wanneer de update wordt geïmplementeerd.

Omdat Updatebeheer updateverrijking uitvoert in de cloud, kunt u enkele updates in Updatebeheer markeren als beveiligingsimpact, ook al heeft de lokale computer die informatie niet. Als u essentiële updates toepast op een Linux-computer, zijn er mogelijk updates die niet zijn gemarkeerd als beveiligingsimpact op die computer en daarom niet worden toegepast. Updatebeheer kan echter nog steeds rapporteren dat de computer als niet-compatibel is, omdat deze aanvullende informatie over de relevante update bevat.

Het implementeren van updates op basis van updateclassificatie werkt niet in RTM-versies van CentOS. Als u updates voor CentOS goed wilt implementeren, selecteert u alle classificaties om ervoor te zorgen dat updates worden toegepast. Als u voor SUSE ALLEEN andere updates selecteert, omdat de classificatie enkele andere beveiligingsupdates kan installeren als deze zijn gerelateerd aan zypper (package manager) of de bijbehorende afhankelijkheden, zijn eerst vereist. Dit gedrag is een beperking van zypper. In sommige gevallen moet u de update-implementatie mogelijk opnieuw uitvoeren en vervolgens de implementatie controleren via het updatelogboek.

Update-implementaties controleren

Nadat de implementatie is voltooid, controleert u het proces om het succes van de update-implementatie per computer of doelgroep te bepalen. Bekijk de implementatiestatus voor meer informatie over hoe u de implementatiestatus kunt bewaken.

Volgende stappen