Общие сведения о службе "Управление обновлениями"
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Внимание
- служба автоматизации Azure управление обновлениями будет прекращено 31 августа 2024 года. Следуйте рекомендациям по миграции в Диспетчер обновлений Azure.
- Агент Azure Log Analytics, также известный как Microsoft Monitoring Agent (MMA), будет прекращен в августе 2024 года. служба автоматизации Azure решение управления обновлениями использует этот агент и может столкнуться с проблемами после выхода агента на пенсию, так как он не работает с агентом мониторинга Azure (AMA). Поэтому, если вы используете решение управления обновлениями служба автоматизации Azure, рекомендуется перейти в Диспетчер обновлений Azure для ваших потребностей в обновлении программного обеспечения. Все возможности решения управления обновлениями служба автоматизации Azure будут доступны в Диспетчере обновлений Azure до даты выхода на пенсию. Следуйте инструкциям по перемещению компьютеров и расписаний из службы "Управление обновлениями службы автоматизации" в Диспетчер обновлений Azure.
С помощью Управления обновлениями в службе автоматизации Azure можно управлять обновлениями операционной системы для виртуальных машин Windows и Linux в Azure, а также физических компьютеров или виртуальных машин в локальных средах и других облачных средах. Вы сможете быстро оценить состояние доступных обновлений и управлять установкой необходимых обновлений на компьютерах, обслуживаемых Управлением обновлениями.
Как поставщик услуг вы можете подключить несколько клиентов к Azure Lighthouse. Управление обновлениями можно использовать для оценки и планирования развертываний обновлений на компьютерах в нескольких подписках в одном клиенте Microsoft Entra или между клиентами с помощью Azure Lighthouse.
Корпорация Майкрософт предлагает другие возможности по управлению обновлениями для виртуальных машин Azure и масштабируемых наборов виртуальных машин Azure, которые следует учесть в рамках общей стратегии управления обновлениями.
Если вы заинтересованы в автоматической оценке и обновлении виртуальных машин Azure для обеспечения соответствия безопасности критически важным обновлениям и обновлениям системы безопасности , выпущенным каждый месяц, просмотрите автоматическое исправление гостевой виртуальной машины. Это альтернативное решение по управлению обновлениями для виртуальных машин Azure, включая виртуальные машины в группе доступности, которое позволяет автоматически обновлять их в нерабочее время, а не управлять развертыванием обновлений на этих виртуальных машинах из Управления обновлениями в службе автоматизации Azure.
Если вы управляете масштабируемыми наборами виртуальных машин Azure, ознакомьтесь с автоматизацией обновления образа ОС, чтобы безопасно и автоматически обновлять диск операционной системы для всех экземпляров в масштабируемом наборе.
Прежде чем развертывать Управление обновлениями и включать управление на машинах, убедитесь, что вы ознакомились со сведениями в следующих разделах.
Об Управлении обновлениями
На следующей схеме показано, как Управление обновлениями оценивает и применяет обновления системы безопасности ко всем подключенным серверам Windows Server и Linux.
Управление обновлениями интегрируется с журналами Azure Monitor для хранения оценок обновлений и результатов обновлений развертывания в виде данных журнала, получаемых от назначенных виртуальных машин Azure и компьютеров, не относящихся к Azure. Для сбора этих данных учетная запись службы автоматизации привязывается к рабочей области Log Analytics, а на компьютере требуется установить агент Log Analytics для Windows и Linux и затем настроить его для передачи сведений в эту рабочую область.
Управление обновлениями поддерживает сбор сведений об обновлениях системы из агентов в группе управления System Center Operations Manager, подключенной к рабочей области. Регистрация компьютера для Управления обновлениями в нескольких рабочих областях Log Analytics (которая также называется множественной адресацией) не поддерживается.
В следующей таблице перечислены подключенные источники, поддерживаемые Управлением обновлениями.
| Подключенный источник | Поддерживается | Description |
|---|---|---|
| Windows | Да | Управление обновлениями собирает сведения об обновлениях системы с компьютеров с Windows, на которых установлен агент Log Analytics, и запускает установку требуемых обновлений. Компьютеры должны сообщать службам Центра обновления Майкрософт или Службам обновления Windows Server (WSUS). |
| Linux | Да | Управление обновлениями собирает сведения об обновлениях системы с компьютеров Linux, на которых установлен агент Log Analytics, и запускает установку требуемых обновлений в поддерживаемых дистрибутивах. Компьютеры должны сообщать локальному или удаленный репозиторий. |
| Группа управления Operations Manager | Да | Управление обновлениями собирает сведения об обновлениях ПО с агентов, состоящих в подключенной группе управления. Прямое подключение агента Operations Manager к журналам Azure Monitor не требуется. Данные журнала пересылаются из группы управления в рабочую область Log Analytics. |
Компьютеры, назначенные для Управления обновлениями, сообщают о том, насколько актуальны их системы, в зависимости от того, с каким источником для них настроена синхронизация. Компьютеры Windows должны быть настроены для отправки отчетов службам Центра обновления Windows Server или Центру обновления Майкрософт, а компьютеры Linux должны быть настроены для отправки отчетов локальному или общедоступный репозиторий. Вы можете также использовать Управление обновлениями с Microsoft Configuration Manager. Дополнительные сведения см. в статье Интеграция Управления обновлениями с Microsoft Configuration Manager.
Если на компьютере с Windows настроен агент Центра обновления Windows (WUA) для взаимодействия с Windows Server Update Services (WSUS), то, в зависимости от времени последней синхронизации WSUS с Центром обновления Майкрософт, состояние в Центре обновления Майкрософт может быть недостоверным. Это поведение касается компьютеров Linux, на которых настроена отправка отчета в локальный, а не общедоступный репозиторий. На компьютере с Windows проверка на соответствие по умолчанию выполняется каждые 12 часов. На компьютере с Linux проверка на соответствие по умолчанию выполняется каждый час. При перезапуске агента Log Analytics проверка соответствия запускается в течение 15 минут. После того как компьютер выполнит проверку соответствия обновлениям, агент переадресовывает сведения в журналы Azure Monitor в пакетном режиме.
Вы можете развернуть и установить обновления программного обеспечения на компьютерах, требующих установки обновлений с помощью запланированного развертывания. Необязательные обновления не включены в область развертывания для компьютеров с Windows. В область развертывания включаются только необходимые обновления.
При запланированном развертывании определяются целевые компьютеры, которые получают применимые обновления. Их можно задать, явно указав определенные компьютеры или выбрав группу компьютеров, сформированную на основе результатов поиска по журналам определенного набора компьютеров (или запроса Azure, который динамически выбирает виртуальные машины Azure в соответствии с указанными критериями). Эти группы отличаются от конфигурации области, которая используется для управления выбором целевых компьютеров с конфигурацией, поддерживающей включение Управления обновлениями. Это не позволяет им выполнять проверку соответствия обновлений требованиям, сообщать о ее результатах и устанавливать необходимые утвержденные обновления.
При определении развертывания вы также можете указать расписание для назначения и подтверждения периода времени, в течение которого могут быть установлены обновления. Он называется периодом обслуживания. 10-минутный интервал периода обслуживания зарезервирован для перезагрузки, если он необходим, и вы выбрали соответствующий параметр перезагрузки. Если исправление занимает больше времени, чем ожидалось, и для периода обслуживания останется меньше 10 минут, перезагрузка не будет выполнена.
После добавления развертывания пакета обновления в расписание это обновление станет доступным для оценки компьютеров Linux через 2–3 часа. Обновление для оценки компьютеров с Windows станет доступным через 12–15 часов после выпуска. До и после установки обновления выполняется проверка соответствия обновлений, и полученные данные журнала пересылаются в рабочую область.
Обновления устанавливаются с помощью Runbook в службе автоматизации Azure. Эти последовательности runbook нельзя просмотреть, и они не требуют настройки. При создании развертывания обновлений в нем создается расписание, по которому в указанное время для компьютеров, включенных в развертывание, запускается главная последовательность обновлений runbook. Основной runbook запускает дочерний runbook на каждом агенте, который инициирует установку необходимых обновлений с помощью агента Центра обновления Windows в Windows или с помощью подходящей команды в поддерживаемом дистрибутиве Linux.
Целевой компьютер будет параллельно выполнять развертывания согласно дате и времени, указанным в развертывании обновлений. Перед установкой выполняется проверка, чтобы убедиться, что обновления по-прежнему необходимы. Если обновления для клиентских компьютеров WSUS не утверждены службой WSUS, развертывание обновлений завершится сбоем.
Ограничения
Ограничения Управления обновлениями описаны в статье Ограничения службы автоматизации Azure.
Разрешения
Для создания развертываний обновлений и управления ими требуются определенные разрешения. Дополнительные сведения об этих разрешениях см. в разделе, посвященном управлению обновлениями с доступом на основе ролей.
Компоненты Управления обновлениями
Управление обновлениями использует ресурсы, описанные в этом разделе. Эти ресурсы автоматически добавляются в учетную запись службы автоматизации при включении Управления обновлениями.
Группы гибридных компонентов Runbook Worker
После включения функции "Управление обновлениями" любой подключенный к рабочей области Log Analytics компьютер с Windows будет автоматически настроен в качестве системы гибридной рабочей роли Runbook для поддержки последовательностей runbook, совместимых с этой функцией.
Для каждого компьютера с Windows, управляемого с помощью функции "Управление обновлениями", эти роли будут указаны в области групп гибридных рабочих ролей как группа гибридных рабочих ролей системы для учетной записи службы автоматизации. Для этих групп используется соглашение об именовании Hostname FQDN_GUID. Вы не можете выбрать эти группы с помощью модулей Runbook в своей учетной записи. Все такие попытки будут заканчиваться сбоем. Эти группы поддерживают только Управление обновлениями. Дополнительные сведения о просмотре списка компьютеров Windows, настроенных в качестве гибридной рабочей роли Runbook, см. в статье Просмотр гибридных рабочих ролей Runbook.
Вы можете добавить компьютеры с Windows в группу пользователей гибридных рабочих ролей Runbook в учетной записи службы автоматизации, чтобы обеспечить поддержку последовательностей runbook службы автоматизации, если вы используете одну и ту же учетную запись для Управления обновлениями и для участия в группе гибридных рабочих ролей Runbook. Эта функция добавлена в версии 7.2.12024.0 гибридной рабочей роли Runbook.
Внешние зависимости
служба автоматизации Azure управление обновлениями зависит от следующих внешних зависимостей для доставки обновлений программного обеспечения.
- Windows Server Update Services (WSUS) или Центр обновления Майкрософт необходим для пакетов обновлений программного обеспечения и для проверки применимости обновлений программного обеспечения на компьютерах под управлением Windows.
- Клиент агента Обновл. Windows (WUA) требуется на компьютерах под управлением Windows, чтобы они могли подключаться к серверу WSUS или Центру обновления Майкрософт.
- Локальная или удаленный репозиторий для получения и установки обновлений ОС на компьютерах под управлением Linux.
Пакеты управления
Ниже приведены пакеты управления, которые устанавливаются на компьютерах, обслуживаемых Управлением обновлениями. Если группа управления Operations Manager подключена к рабочей области Log Analytics, в группе управления Operations Manager будут установлены приведенные пакеты управления. Настраивать эти пакеты управления или управлять ими не требуется.
- Пакет аналитики оценки обновления Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment);
- Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration);
- Пакет управления развертыванием обновлений
Примечание.
Если у вас есть группа управления Operations Manager 1807 или 2019, подключенная к рабочей области Log Analytics, агенты которой настроены в этой группе для сбора данных журналов, необходимо переопределить параметр IsAutoRegistrationEnabled и присвоить ему значение True в правиле Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.
Дополнительные сведения об обновлении пакетов управления см. в статье Подключение Operations Manager к Azure Monitor.
Примечание.
Чтобы функция "Управление обновлениями" полностью управляла компьютерами с помощью агента Log Analytics, его необходимо обновить, установив агент Log Analytics для Windows или агент Log Analytics для Linux. Чтобы узнать, как обновить агент, см. эту статью. В средах, использующих System Center Operations Manager, должна быть установлена версия 2012 R2 UR 14 этого диспетчера или более поздняя.
Частота сбора данных
Функция "Управление обновлениями" проверяет управляемые компьютеры на наличие данных, используя следующие правила. Отображение обновленных данных с управляемых компьютеров на панели мониторинга может занять от 30 минут до 6 часов.
Управление обновлениями выполняет сканирование на каждом компьютере с Windows дважды в день.
Управление обновлениями выполняет сканирование на каждом компьютере с Linux каждый час.
Средний показатель использования данных журналами Azure Monitor для компьютера с Управлением обновлениями — примерно 25 МБ в месяц. Это приблизительное значение, которое может отличаться в зависимости от среды. Рекомендуется выполнять мониторинг среды, чтобы отслеживать точное использование. Дополнительные сведения об анализе использования данных журналов Azure Monitor см. в разделе о ценах на журналы Azure Monitor.
Классификации обновлений
В следующей таблице определены классификации, которые поддерживаются функцией "Управление обновлениями" для обновлений Windows.
| Классификация | Описание |
|---|---|
| критические обновления; | Обновление для конкретной проблемы, которая относится к критической, не связанной с безопасностью ошибке. |
| Обновления для системы безопасности | Обновление для ошибки, связанной с безопасностью конкретного продукта. |
| накопительные пакеты обновления; | Накопительный набор исправлений, упакованных в один пакет для удобства развертывания. |
| пакеты дополнительных компонентов; | Новые функции продукта, которые распространяются вне выпуска продукта. |
| пакеты обновления; | Накопительный набор исправлений, применяемых к приложению. |
| обновления определений; | Обновление для вирусов или других файлов определений. |
| Инструменты | Служебная программа или функция, которая помогает выполнить одну или несколько задач. |
| Обновления | Обновление приложения или файла, установленного в настоящее время. |
В следующей таблице описаны поддерживаемые классификации для обновлений Linux.
| Классификация | Описание |
|---|---|
| критические обновления и обновления для системы безопасности; | Обновления для конкретной проблемы или проблемы, связанной с безопасностью продукта. |
| Другие обновления | Все остальные обновления, которые не являются критическими или обновлениями для системы безопасности. |
Примечание.
Классификация обновлений для компьютеров Linux доступна только при использовании в поддерживаемых регионах общедоступного облака Azure. Не существует классификации обновлений Linux при использовании Управление обновлениями в следующих регионах национального облака:
- Azure – Правительство США
- 21Vianet в Китае
Вместо классификации обновления отображаются в категории другие обновления.
Управление обновлениями использует данные, опубликованные поддерживаемыми дистрибутивами, в частности, их файлы выпуска OVAL (открытый язык уязвимостей и оценки). Так как доступ к Интернету ограничен этими национальными облаками, Управление обновлениями не может получать доступ к файлам.
Классификация обновлений логики для Linux
Для оценки управление обновлениями классифицирует обновления в три категории: безопасность, критически важные или другие. Эта классификация обновлений соответствует данным из двух источников:
- Открытые файлы языка уязвимостей и оценки (OVAL) предоставляются поставщиком дистрибутива Linux, который включает данные о проблемах безопасности или уязвимостях, которые исправляет обновление.
- Диспетчер пакетов на компьютере, например YUM, APT или ZYPPER.
Для исправления управление обновлениями классифицирует обновления в две категории: критически важные и важные и другие. Эта классификация обновлений основана исключительно на данных диспетчеров пакетов, таких как YUM, APT или ZYPPER.
CentOS — в отличие от других дистрибутивов, CentOS не имеет данных классификации, доступных в диспетчере пакетов. Если у вас есть компьютеры с CentOS, настроенные возвращать данные безопасности для следующей команды, Управление обновлениями сможет применять исправления на основе классификаций.
sudo yum -q --security check-update
Примечание.
В настоящее время нет поддерживаемого метода для включения доступности собственных данных классификации в CentOS. В настоящее время мы предоставляем ограниченную поддержку клиентам, которые могли бы включить эту функцию самостоятельно.
Redhat — чтобы классифицировать обновления в Red Hat Enterprise версии 6, необходимо установить подключаемый модуль безопасности YUM. В Red Hat Enterprise Linux 7 подключаемый модуль уже входит в состав YUM, поэтому ничего устанавливать не требуется. Дополнительные сведения см. в следующей статье базы знаний о Red Hat.
Интеграция Управления устройствами с Configuration Manager
Клиенты, которые инвестировали в Microsoft Configuration Manager для управления компьютерами, серверами и мобильными устройствами, также зависят от силы и зрелости Configuration Manager для управления обновлениями программного обеспечения. Сведения об интеграции управления обновлениями с Configuration Manager см. в статье Интеграции управления обновлениями с Windows Configuration Manager.
Сторонние обновления в Windows
Функция "Управление обновлениями" использует локально настроенный репозиторий обновлений для обновления поддерживаемых систем Windows (WSUS или Центр обновления Windows). Такие средства, как System Center Updates Publisher, позволяют импортировать и опубликовать пользовательские обновления в WSUS. Этот сценарий позволяет функции "Управление обновлениями" обновлять стороннее программное обеспечение на компьютерах, которые используют Configuration Manager в качестве своего репозитория обновлений. Чтобы узнать, как настроить Updates Publisher, см. статью Установка Updates Publisher.
Обновление агента Windows Log Analytics до последней версии
Для управления обновлениями для работы агента Log Analytics требуется агент Log Analytics. Мы рекомендуем обновить агент Windows Log Analytics (также известный как Windows Microsoft Monitoring Agent (MMA)) до последней версии, чтобы снизить уязвимости системы безопасности и воспользоваться исправлениями ошибок. Версии агента Log Analytics до версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение) используют старый метод обработки сертификатов, поэтому не рекомендуется. Старые агенты Windows Log Analytics не смогут подключаться к Azure и управлению обновлениями перестают работать над ними.
Чтобы обновить агент Log Analytics до последней версии, выполните следующие действия.
Проверьте текущую версию агента Log Analytics для компьютера: перейдите по пути установки — C:\ProgramFiles\Microsoft Monitoring Agent\Agent и щелкните правой кнопкой мыши HealthService.exe, чтобы проверка свойства. На вкладке "Сведения" поле "Версия продукта" предоставляет номер версии агента Log Analytics.
Если версия агента Log Analytics установлена до версии 10.20.18053 (пакет) и 1.0.18053.0 (расширение), выполните обновление до последней версии агента Windows Log Analytics, следуя этим рекомендациям.
Примечание.
Во время процесса обновления расписание управления обновлениями может завершиться ошибкой. Убедитесь, что это делается, если не запланировано расписание.
Следующие шаги
Перед включением и использованием Управления обновлениями ознакомьтесь с разделом Планирование развертывания Управления обновлениями.
Ознакомьтесь с часто задаваемыми вопросами об Управлении обновлениями в статье Часто задаваемые вопросы о службе автоматизации Azure.