Gerir atualizações e patches para os seus VMs

As atualizações de software em Automatização do Azure Update Management fornecem um conjunto de ferramentas e recursos que podem ajudar a gerir a complexa tarefa de rastrear e aplicar atualizações de software a máquinas em Azure e nuvem híbrida. Um processo eficaz de gestão de atualização de software é necessário para manter a eficiência operacional, superar problemas de segurança e reduzir os riscos de aumento de ameaças à segurança cibernética. No entanto, devido à natureza evolutiva da tecnologia e ao aparecimento contínuo de novas ameaças de segurança, a gestão eficiente das atualizações de software exige uma atenção consistente e contínua.

Nota

A Update Management suporta a implementação de atualizações de primeira parte e o pré-download das mesmos. Este suporte requer alterações nos sistemas que estão a ser atualizados. Consulte configurar Windows Update configurações para Automatização do Azure Gestão de Atualização para aprender a configurar estas definições nos seus sistemas.

Antes de tentar gerir atualizações para os seus VMs, certifique-se de que ativou a Gestão de Atualização sobre eles utilizando um destes métodos:

Limitar o âmbito de implantação

A Atualização Management utiliza uma configuração de âmbito dentro do espaço de trabalho para direcionar os computadores para receber atualizações. Para obter mais informações, consulte o âmbito de implementação da Gestão de Atualização de Limites.

Avaliação de conformidade

Antes de implementar atualizações de software para as suas máquinas, reveja os resultados da avaliação da conformidade da atualização para máquinas ativadas. Para cada atualização de software, o seu estado de conformidade é registado e, após a conclusão da avaliação, é recolhido e reencaminhado a granel para os registos do Azure Monitor.

Numa máquina Windows, a verificação de conformidade é executada a cada 12 horas por defeito, e é iniciada dentro de 15 minutos do agente Log Analytics para Windows é reiniciada. Os dados de avaliação são então encaminhados para o espaço de trabalho e atualizam a tabela De Atualizações . Antes e depois da instalação de atualização, é realizada uma verificação de conformidade de atualização para identificar as atualizações em falta, mas os resultados não são utilizados para atualizar os dados de avaliação na tabela.

É importante rever as nossas recomendações sobre como configurar o Windows Update cliente com a Update Management para evitar quaisquer problemas que impeçam a sua gestão correta.

Para uma máquina Linux, a verificação de conformidade é efetuada de hora em hora por defeito. Se o agente Log Analytics do Linux for reiniciado, é iniciado um exame de conformidade dentro de 15 minutos.

Os resultados de conformidade são apresentados na Gestão de Atualização para cada máquina avaliada. Pode levar até 30 minutos para o painel de instrumentos apresentar dados atualizados a partir de uma nova máquina ativada para a gestão.

Reveja as atualizações de software para saber como visualizar os resultados de conformidade.

Implementar atualizações

Depois de rever os resultados da conformidade, a fase de implementação da atualização do software é o processo de implementação de atualizações de software. Para instalar atualizações, marque uma implementação que se alinhe com o seu horário de lançamento e janela de serviço. Pode escolher quais os tipos de atualização a incluir na implementação. Por exemplo, pode incluir atualizações de segurança ou críticas e excluir update rollups.

Reveja as atualizações de software para saber como agendar uma implementação de atualização.

Excluir atualizações

Em algumas variantes do Linux, como Red Hat Enterprise Linux, as atualizações ao nível do SO podem ocorrer através de pacotes. Isto pode levar a execuções de Gestão de Atualização em que o número de versão OS muda. Como a Update Management utiliza os mesmos métodos para atualizar pacotes que um administrador utiliza localmente numa máquina Linux, este comportamento é intencional.

Para evitar atualizar a versão OS através de implementações de Gestão de Atualização, utilize a função Exclusão .

Na Red Hat Enterprise Linux, o nome do pacote a excluir é redhat-release-server.x86_64.

Classificações de atualização de Linux

Quando implementar atualizações para uma máquina Linux, pode selecionar classificações de atualização. Esta opção filtra as atualizações que satisfazem os critérios especificados. Este filtro é aplicado localmente na máquina quando a atualização é implementada.

Como a Update Management realiza o enriquecimento de atualização na nuvem, pode sinalizar algumas atualizações na Gestão de Atualizações como tendo um impacto de segurança, mesmo que a máquina local não tenha essa informação. Se aplicar atualizações críticas a uma máquina Linux, pode haver atualizações que não estão marcadas como tendo um impacto de segurança nessa máquina e, portanto, não são aplicadas. No entanto, a Update Management pode ainda reportar que a máquina não é conforme porque tem informações adicionais sobre a atualização relevante.

Implementar atualizações por classificação de atualização não funciona nas versões RTM do CentOS. Para implementar corretamente atualizações para o CentOS, selecione todas as classificações para garantir que as atualizações são aplicadas. Para a SUSE, selecionar APENAS Outras atualizações , uma vez que a classificação pode instalar outras atualizações de segurança se estiverem relacionadas com o zypper (gestor de pacotes) ou as suas dependências forem necessárias primeiro. Este comportamento é uma limitação de zypper. Em alguns casos, poderá ser necessário refazer a implementação da atualização e, em seguida, verificar a implementação através do registo de atualização.

Rever implementações de atualização

Após a implementação estar concluída, reveja o processo para determinar o sucesso da implementação da atualização por máquina ou grupo alvo. Consulte o estado de implementação da revisão para saber como pode monitorizar o estado de implantação.

Passos seguintes