Updates en patches voor uw VM's beheren

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

Software-updates in Azure Automation UpdateBeheer bieden een set hulpprogramma's en resources waarmee u de complexe taak van het bijhouden en toepassen van software-updates op machines in Azure en hybride cloud kunt beheren. Een effectief proces voor software-updatebeheer is nodig om operationele efficiëntie te behouden, beveiligingsproblemen op te lossen en de risico's van verhoogde cyberbeveiligingsbedreigingen te verminderen. Vanwege de veranderende aard van technologie en het voortdurende uiterlijk van nieuwe beveiligingsrisico's, vereist effectief software-updatebeheer echter consistente en continue aandacht.

Notitie

Updatebeheer ondersteunt de implementatie van updates van derden en het vooraf downloaden ervan. Voor deze ondersteuning moeten wijzigingen in de systemen worden bijgewerkt. Raadpleeg Windows Update-instellingen voor Azure Automation Updatebeheer configureren voor informatie over het configureren van deze instellingen in uw systemen.

Voordat u updates voor uw VM's probeert te beheren, moet u ervoor zorgen dat u Updatebeheer hebt ingeschakeld met behulp van een van de volgende methoden:

• Updatebeheer inschakelen vanaf een Automation-account
• Updatebeheer inschakelen door te bladeren in de Azure-portal
• Updatebeheer inschakelen vanuit een runbook
• Updatebeheer inschakelen vanaf een virtuele Azure-machine

Het bereik voor de implementatie beperken

Updatebeheer maakt gebruik van een bereikconfiguratie in de werkruimte om de computers te richten op het ontvangen van updates. Zie Implementatiebereik updatebeheer beperken voor meer informatie.

Nalevingsevaluatie

Voordat u software-updates op uw computers implementeert, controleert u de resultaten van de updatenalevingsevaluatie voor ingeschakelde machines. Voor elke software-update wordt de nalevingsstatus vastgelegd en wordt de bijbehorende nalevingsstatus na voltooiing van de evaluatie verzameld en bulksgewijs doorgestuurd naar Azure Monitor-logboeken.

Op een Windows-computer wordt de nalevingsscan standaard elke 12 uur uitgevoerd en wordt binnen 15 minuten na het opnieuw opstarten van de Log Analytics-agent voor Windows gestart. De evaluatiegegevens worden vervolgens doorgestuurd naar de werkruimte en worden de tabel Updates vernieuwd. Vóór en na de installatie van de update wordt een updatenalevingsscan uitgevoerd om ontbrekende updates te identificeren, maar de resultaten worden niet gebruikt om de evaluatiegegevens in de tabel bij te werken.

Het is belangrijk om onze aanbevelingen te bekijken voor het configureren van de Windows Update-client met Updatebeheer om problemen te voorkomen die verhinderen dat deze correct worden beheerd.

Bij een Linux-computer wordt de nalevingsscan standaard elk uur uitgevoerd. Als de Log Analytics-agent voor Linux opnieuw wordt gestart, wordt binnen 15 minuten een nalevingsscan gestart.

De nalevingsresultaten worden weergegeven in Updatebeheer voor elke machine die wordt beoordeeld. Het kan tot 30 minuten duren voordat het dashboard bijgewerkte gegevens weergeeft van een nieuwe computer die is ingeschakeld voor beheer.

Controleer software-updates voor meer informatie over het weergeven van nalevingsresultaten.

Updates implementeren

Na het controleren van de nalevingsresultaten is de implementatiefase van de software-update het proces van het implementeren van software-updates. Als u updates wilt installeren, plant u een implementatie die overeenkomt met uw releaseschema en servicevenster. U kunt kiezen welke typen updates moeten worden opgenomen in de implementatie. Zo kunt u belangrijke updates of beveiligingsupdates opnemen en updatepakketten uitsluiten.

Bekijk de implementatie van software-updates voor meer informatie over het plannen van een update-implementatie.

Updates uitsluiten

Op sommige Linux-varianten, zoals Red Hat Enterprise Linux, kunnen upgrades op besturingssysteemniveau plaatsvinden via pakketten. Dit kan ertoe leiden dat Updatebeheer wordt uitgevoerd waarin het versienummer van het besturingssysteem wordt gewijzigd. Omdat Updatebeheer dezelfde methoden gebruikt om pakketten bij te werken die een beheerder lokaal op een Linux-computer gebruikt, is dit gedrag opzettelijk.

Gebruik de functie Uitsluiting om te voorkomen dat de versie van het besturingssysteem wordt bijgewerkt via updatebeheerimplementaties.

In Red Hat Enterprise Linux is redhat-release-server.x86_64de pakketnaam die moet worden uitgesloten.

Linux-updateclassificaties

Wanneer u updates implementeert op een Linux-computer, kunt u updateclassificaties selecteren. Met deze optie worden de updates gefilterd die voldoen aan de opgegeven criteria. Dit filter wordt lokaal toegepast op de computer wanneer de update wordt geïmplementeerd.

Omdat Updatebeheer updateverrijking uitvoert in de cloud, kunt u enkele updates in Updatebeheer markeren als een beveiligingsimpact, ook al heeft de lokale computer die informatie niet. Als u essentiële updates toepast op een Linux-computer, zijn er mogelijk updates die niet zijn gemarkeerd als een beveiligingsimpact op die computer en daarom niet worden toegepast. Updatebeheer kan echter nog steeds rapporteren dat de computer niet compatibel is, omdat deze aanvullende informatie over de relevante update bevat.

Het implementeren van updates op basis van updateclassificatie werkt niet in RTM-versies van CentOS. Als u updates voor CentOS correct wilt implementeren, selecteert u alle classificaties om ervoor te zorgen dat updates worden toegepast. Voor SUSE kunt u ALLEEN andere updates selecteren, omdat de classificatie enkele andere beveiligingsupdates kan installeren als ze zijn gerelateerd aan zypper (package manager) of de afhankelijkheden ervan eerst vereist zijn. Dit gedrag is een beperking van zypper. In sommige gevallen moet u de update-implementatie mogelijk opnieuw uitvoeren en vervolgens de implementatie controleren via het updatelogboek.

Update-implementaties controleren

Nadat de implementatie is voltooid, controleert u het proces om het succes van de update-implementatie per computer of doelgroep te bepalen. Bekijk de implementatiestatus voor meer informatie over hoe u de implementatiestatus kunt bewaken.

Volgende stappen

• Zie Waarschuwingen maken voor Updatebeheer voor meer informatie over het maken van waarschuwingen om u op de hoogte te stellen van de resultaten van de update-implementatie.

• U kunt query's uitvoeren op Azure Monitor-logboeken om update-evaluaties, implementaties en andere gerelateerde beheertaken te analyseren. Het bevat vooraf gedefinieerde query's om u te helpen aan de slag te gaan.