Gambaran umum Manajemen Pembaruan

Anda dapat menggunakan Manajemen Pembaruan di Azure Automation untuk mengelola pembaruan sistem operasi untuk komputer virtual Windows dan Linux Anda di Azure, fisik atau VM di lingkungan lokal, dan di lingkungan cloud lainnya. Anda dapat dengan cepat menilai status pembaruan yang tersedia dan mengelola proses penginstalan pembaruan yang diperlukan untuk komputer Anda yang melaporkan ke Manajemen Pembaruan.

Sebagai penyedia layanan, Anda mungkin telah melakukan onboarding beberapa penyewa pelanggan ke Azure Lighthouse. Manajemen Pembaruan dapat digunakan untuk menilai dan menjadwalkan penyebaran pembaruan ke komputer pada beberapa langganan di penyewa Azure Active Directory (Microsoft Azure AD) yang sama, atau di seluruh penyewa menggunakan Azure Lighthouse.

Microsoft menawarkan kemampuan lain untuk membantu Anda mengelola pembaruan untuk Azure VM atau set skala komputer virtual Azure yang harus Anda pertimbangkan sebagai bagian dari strategi manajemen pembaruan keseluruhan Anda.

  • Jika Anda tertarik untuk menilai dan memperbarui komputer virtual Azure secara otomatis untuk menjaga kepatuhan keamanan dengan pembaruan Kritis dan Keamanan yang dirilis setiap bulan, tinjau Penerapan patch tamu VM otomatis (pratinjau). Ini adalah solusi manajemen pembaruan alternatif untuk Azure VM Anda guna memperbaruinya secara otomatis di luar jam sibuk, termasuk VM dalam set ketersediaan, dibandingkan dengan mengelola penyebaran pembaruan ke VM tersebut dari Manajemen Pembaruan di Azure Automation.

  • Jika Anda mengelola set skala komputer virtual Azure, tinjau cara melakukan peningkatan gambar OS otomatis untuk meningkatkan disk OS secara aman dan otomatis untuk semua instans dalam set skala.

Sebelum menyebarkan Manajemen Pembaruan dan mengaktifkan komputer Anda untuk manajemen, pastikan Anda memahami informasi di bagian berikut.

Tentang Manajemen Pembaruan

Diagram berikut ini menggambarkan bagaimana Manajemen Pembaruan menilai dan menerapkan patch keamanan untuk semua server Windows Server dan Linux yang tersambung.

Alur kerja Manajemen Pembaruan

Manajemen Pembaruan terintegrasi dengan Azure Monitor Logs untuk menyimpan penilaian pembaruan dan memperbarui hasil penyebaran sebagai data log, dari komputer Azure dan non-Azure yang ditetapkan. Untuk mengumpulkan data ini, Akun Automation dan ruang kerja Log Analytics ditautkan bersama-sama, dan agen Log Analytics untuk Windows dan Linux diperlukan di komputer dan dikonfigurasi untuk melaporkan ke ruang kerja ini.

Manajemen Pembaruan mendukung pengumpulan informasi tentang pembaruan sistem dari agen dalam grup manajemen System Center Operations Manager yang terhubung ke ruang kerja. Memiliki komputer yang terdaftar untuk Manajemen Pembaruan di lebih dari satu ruang kerja Analitik Log (juga disebut sebagai multihoming) tidak didukung.

Tabel berikut ini meringkas sumber tersambung yang didukung dengan Manajemen Pembaruan.

Sumber yang tersambung Didukung Deskripsi
Windows Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan sistem dari komputer Windows dengan agen Log Analytics dan instalasi pembaruan yang diperlukan.
Mesin perlu melapor ke Microsoft Update atau Windows Server Update Services (WSUS).
Linux Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan sistem dari komputer Linux dengan agen Log Analytics dan instalasi pembaruan yang diperlukan pada distribusi yang didukung.
Mesin perlu melapor ke repositori lokal atau jarak jauh.
Grup manajemen Operations Manager Ya Manajemen Pembaruan mengumpulkan informasi tentang pembaruan perangkat lunak dari agen dalam grup manajemen yang tersambung.

Koneksi langsung dari agen Operations Manager ke log Azure Monitor tidak diperlukan. Data log diteruskan dari grup manajemen ke ruang kerja Log Analytics.

Komputer yang ditetapkan untuk Manajemen Pembaruan melaporkan seberapa baru pembaruan terkini mereka berdasarkan sumber yang mereka konfigurasikan untuk disinkronkan. Komputer Windows harus dikonfigurasi untuk melaporkan ke Windows Server Update Services atau Microsoft Update, dan komputer Linux harus dikonfigurasi untuk melaporkan ke repositori lokal atau publik. Anda juga dapat menggunakan Manajemen Pembaruan dengan Microsoft Endpoint Configuration Manager, dan untuk mempelajari selengkapnya lihat Mengintegrasikan Manajemen Pembaruan dengan Windows Endpoint Configuration Manager.

Jika Agen Windows Update (WUA) pada komputer Windows dikonfigurasi untuk melapor ke WSUS, tergantung pada kapan WSUS terakhir disinkronkan dengan Microsoft Update, hasilnya mungkin berbeda dari apa yang ditunjukkan Microsoft Update. Perilaku ini sama untuk komputer Linux yang dikonfigurasi untuk melapor ke repositori lokal, bukan ke repositori publik. Pada komputer Windows, pemindaian kepatuhan dijalankan setiap 12 jam secara default. Untuk komputer Linux, pemindaian kepatuhan dilakukan setiap jam secara default. Jika agen Analitik Log dimulai ulang, pemindaian kepatuhan dimulai dalam waktu 15 menit. Saat komputer menyelesaikan pemindaian untuk kepatuhan pembaruan, agen meneruskan informasi secara massal ke Azure Monitor Logs.

Anda dapat menyebarkan dan memasang pembaruan perangkat lunak pada komputer yang memerlukan pembaruan dengan membuat penyebaran terjadwal. Pembaruan yang diklasifikasikan sebagai Opsional tidak disertakan dalam cakupan penyebaran untuk komputer Windows. Hanya pembaruan yang diperlukan yang disertakan dalam cakupan penyebaran.

Penyebaran terjadwal menentukan komputer target mana yang menerima pembaruan yang berlaku. Hal itu juga dilakukan dengan menentukan komputer tertentu secara eksplisit atau dengan memilih grup komputer yang didasarkan pada penelusuran log dari set komputer tertentu (atau berdasarkan pada kueri Azure yang secara dinamis memilih Azure VM berbasis pada kriteria yang ditentukan). Grup ini berbeda dari konfigurasi cakupan, yang digunakan untuk mengontrol penargetan komputer yang menerima konfigurasi untuk mengaktifkan Manajemen Pembaruan. Hal ini mencegah mereka melakukan dan melaporkan kepatuhan pembaruan, dan memasang pembaruan yang diperlukan yang disetujui.

Saat menentukan penyebaran, Anda juga menentukan jadwal untuk menyetujui dan menetapkan periode waktu di mana pembaruan dapat dipasang. Periode ini disebut jendela pemeliharaan. Rentang 20 menit dari jendela pemeliharaan disediakan untuk boot ulang, dengan asumsi satu diperlukan dan Anda memilih opsi boot ulang yang sesuai. Jika patching memakan waktu lebih lama dari yang diharapkan dan waktu kurang dari 20 menit di jendela pemeliharaan, boot ulang tidak akan terjadi.

Setelah paket pembaruan dijadwalkan untuk penyebaran, dibutuhkan 2 hingga 3 jam agar pembaruan muncul untuk komputer Linux untuk penilaian. Untuk komputer Windows, dibutuhkan 12 hingga 15 jam agar pembaruan muncul untuk penilaian setelah dirilis. Sebelum dan sesudah penginstalan pembaruan, pemindaian untuk kepatuhan pembaruan dilakukan dan hasil data log diteruskan ke ruang kerja.

Pembaruan diinstal oleh runbook di Azure Automation. Anda tidak dapat melihat runbook ini, dan runbook tidak memerlukan konfigurasi apa pun. Saat penyebaran pembaruan dibuat, penyebaran membuat jadwal yang memulai runbook pembaruan utama pada waktu yang ditentukan untuk komputer yang disertakan. Master runbook memulai runbook turunan pada setiap agen yang memulai instalasi pembaruan yang diperlukan dengan agen Windows Update di Windows, atau perintah yang berlaku pada distro Linux yang didukung.

Pada tanggal dan waktu yang ditentukan dalam penyebaran pembaruan, komputer target menjalankan penyebaran secara paralel. Sebelum instalasi, pemindaian dijalankan untuk memverifikasi bahwa pembaruan masih diperlukan. Untuk komputer klien WSUS, jika pembaruan tidak disetujui di WSUS, penyebaran pembaruan gagal.

Batas

Untuk batas yang berlaku untuk Manajemen Pembaruan, lihat Batas layanan Azure Automation.

Izin

Untuk membuat dan mengelola penyebaran pembaruan, Anda memerlukan izin tertentu. Untuk mempelajari tentang izin ini, lihat Akses berbasis peran - Manajemen Pembaruan.

Komponen Manajemen Pembaruan

Manajemen Pembaruan menggunakan sumber daya yang dijelaskan di bagian ini. Sumber daya ini secara otomatis ditambahkan ke akun Automation Anda saat Anda mengaktifkan Manajemen Pembaruan.

Grup Hybrid Runbook Worker

Setelah Anda mengaktifkan Manajemen Pembaruan, setiap komputer Windows yang tersambung langsung ke ruang kerja Analitik Log Anda secara otomatis dikonfigurasi sebagai sistem Hybrid Runbook Worker untuk mendukung runbook yang mendukung Manajemen Pembaruan.

Setiap komputer Windows yang dikelola oleh Manajemen Pembaruan dicantumkan dalam panel grup Hybrid worker sebagai Grup pekerja hibrid sistem untuk akun Automation. Grup menggunakan Hostname FQDN_GUID konvensi penamaan. Anda tidak dapat menargetkan grup ini dengan runbook di akun Anda. Jika Anda mencoba, upaya akan gagal. Grup ini dimaksudkan untuk hanya mendukung Manajemen Pembaruan. Untuk mempelajari selengkapnya tentang melihat daftar komputer Windows yang dikonfigurasi sebagai Hybrid Runbook Worker, lihat Tampilan Hybrid Runbook Worker.

Anda dapat menambahkan komputer Windows ke grup Hybrid Runbook Worker pengguna di akun Automation Anda untuk mendukung runbook Automation jika Anda menggunakan akun yang sama untuk Manajemen Pembaruan dan keanggotaan grup Hybrid Runbook Worker. Fungsionalitas ini ditambahkan di versi 7.2.12024.0 dari Hybrid Runbook Worker.

Dependensi eksternal

Manajemen Pembaruan Azure Automation bergantung pada dependensi eksternal berikut untuk memberikan pembaruan perangkat lunak.

  • Windows Server Update Services (WSUS) atau Microsoft Update diperlukan untuk paket pembaruan perangkat lunak dan untuk pemindaian penerapan pembaruan perangkat lunak pada komputer berbasis Windows.
  • Klien Windows Update Agent (WUA) diperlukan pada komputer berbasis Windows sehingga mereka dapat terhubung ke server WSUS atau Microsoft Update.
  • Repositori lokal atau jarak jauh untuk mengambil dan menginstal pembaruan OS pada komputer berbasis Linux.

Paket manajemen

Paket manajemen berikut ini diinstal pada komputer yang dikelola oleh Manajemen Pembaruan. Jika grup manajemen Operations Manager Anda tersambung ke ruang kerja Log Analytics, paket manajemen ini diinstal di grup manajemen Operations Manager. Anda tidak perlu mengonfigurasi atau mengelola paket manajemen ini.

  • Paket Kecerdasan Penilaian Pembaruan Microsoft System Center Advisor (Microsoft.IntelligencePacks.UpdateAssessment)
  • Microsoft.IntelligencePack.UpdateAssessment.Configuration (Microsoft.IntelligencePack.UpdateAssessment.Configuration)
  • Memperbarui MP Penyebaran

Catatan

Jika Anda memiliki grup manajemen Operations Manager 1807 atau 2019 yang terhubung ke ruang kerja Log Analytics dengan agen yang dikonfigurasi dalam grup manajemen untuk mengumpulkan data log, Anda perlu mengambil alih parameter IsAutoRegistrationEnabled dan mengaturnya ke True dalam aturan Microsoft.IntelligencePacks.AzureAutomation.HybridAgent.Init.

Untuk mengetahui informasi selengkapnya tentang pembaruan untuk paket manajemen, lihat Menyambungkan Operations Manager ke log Azure Monitor.

Catatan

Agar Manajemen Pembaruan dapat mengelola sepenuhnya komputer dengan agen Analitik Log, Anda harus memperbarui ke agen Analitik Log untuk Windows atau agen Analitik Log untuk Linux. Untuk mempelajari cara memperbarui agen, lihat Cara meningkatkan agen Operations Manager. Di lingkungan yang menggunakan Operations Manager, Anda harus menjalankan Manajer Operasi Pusat Sistem 2012 R2 UR 14 atau yang lebih baru.

Frekuensi pengumpulan data

Manajemen Pembaruan memindai komputer terkelola untuk data menggunakan aturan berikut. Dibutuhkan waktu antara 30 menit dan 6 jam agar dasbor menampilkan data yang diperbarui dari komputer terkelola.

  • Setiap komputer Windows - Manajemen Pembaruan melakukan pemindaian dua kali per hari untuk setiap komputer.

  • Setiap komputer Linux - Manajemen Pembaruan melakukan pemindaian setiap jam.

Penggunaan data rata-rata oleh log Azure Monitor untuk komputer yang menggunakan Manajemen Pembaruan adalah sekitar 25 MB per bulan. Nilai ini hanya perkiraan dan dapat berubah, tergantung pada lingkungan Anda. Kami menyarankan agar Anda memantau lingkungan untuk melacak penggunaan yang tepat. Untuk mengetahui informasi selengkapnya tentang menganalisis penggunaan data Azure Monitor Logs, lihat Mengelola penggunaan dan biaya.

Memperbarui klasifikasi

Tabel berikut ini menentukan klasifikasi yang didukung Manajemen Pembaruan untuk pembaruan Windows.

Klasifikasi Deskripsi
Pembaruan penting Pembaruan untuk masalah tertentu yang membahas bug penting yang tidak terkait dengan keamanan.
Pembaruan keamanan Pembaruan untuk masalah spesifik produk terkait keamanan.
Rollup pembaruan Sekumpulan perbaikan terbaru yang dipaketkan bersama-sama untuk kemudahan penyebaran.
Paket fitur Fitur produk baru yang didistribusikan di luar rilis produk.
Paket layanan Sekumpulan perbaikan yang diterapkan ke aplikasi.
Pemutakhiran definisi Pembaruan untuk virus atau file definisi lainnya.
Alat Utilitas atau fitur yang membantu menyelesaikan satu atau beberapa tugas.
Pembaruan Pembaruan untuk aplikasi atau file yang saat ini terpasang.

Tabel berikutnya menentukan klasifikasi yang didukung untuk pembaruan Linux.

Klasifikasi Deskripsi
Pembaruan penting dan keamanan Pembaruan untuk masalah tertentu atau khusus produk, masalah terkait keamanan.
Pembaruan lainnya Semua pembaruan lain yang umumnya tidak penting atau yang bukan penambal keamanan.

Catatan

Klasifikasi pembaruan untuk komputer Linux hanya tersedia saat digunakan di wilayah cloud publik Azure yang didukung. Tidak ada klasifikasi pembaruan Linux saat menggunakan Manajemen Pembaruan di wilayah cloud nasional berikut:

  • Azure US Government
  • 21Vianet di Tiongkok

Alih-alih diklasifikasikan, pembaruan dilaporkan di bawah kategori Pembaruan lainnya.

Manajemen Pembaruan menggunakan data yang diterbitkan oleh distribusi yang didukung, khususnya file OVAL (Open Vulnerability and Assessment Language) yang dirilis. Karena akses internet dibatasi dari cloud nasional ini, Manajemen Pembaruan tidak dapat mengakses file.

Untuk Linux, Manajemen Pembaruan dapat membedakan antara pembaruan penting dan penambal keamanan di cloud di bawah klasifikasi Keamanan dan Lainnya, sambil menampilkan data penilaian karena pengayaan data di cloud. Untuk patching, Manajemen Pembaruan bergantung pada data klasifikasi yang tersedia di komputer. Tidak seperti distribusi lain, CentOS tidak memiliki informasi ini tersedia dalam versi RTM. Jika Anda memiliki komputer CentOS yang dikonfigurasi untuk mengembalikan data keamanan perintah berikut, Manajemen Pembaruan dapat melakukan patch berdasarkan klasifikasi.

sudo yum -q --security check-update

Saat ini tidak ada dukungan metode untuk mengaktifkan ketersediaan data klasifikasi native di CentOS. Pada saat ini, dukungan terbatas diberikan kepada pelanggan yang mungkin telah mengaktifkan fitur ini sendiri.

Untuk mengklasifikasikan pembaruan pada Red Hat Enterprise versi 6, Anda harus menginstal plugin keamanan yum. Pada Red Hat Enterprise Linux 7, plugin sudah menjadi bagian dari yum, sehingga tidak perlu memasang apa pun. Untuk mengetahui informasi lebih lanjut, lihat artikel pengetahuan Red Hat berikut ini.

Saat Anda menjadwalkan pembaruan untuk berjalan pada komputer Linux, yang misalnya dikonfigurasi untuk menginstal hanya pembaruan yang cocok dengan klasifikasi Keamanan, pembaruan yang diinstal mungkin berbeda dari, atau merupakan subset pembaruan yang cocok dengan klasifikasi ini. Saat penilaian pembaruan OS yang tertunda untuk komputer Linux Anda dilakukan, file Open Vulnerability and Assessment Language (OVAL) yang disediakan oleh vendor distro Linux digunakan oleh Manajemen Pembaruan untuk klasifikasi.

Kategorisasi dilakukan untuk pembaruan Linux sebagai Keamanan atau Lainnya, berdasarkan file OVAL yang menyatakan pembaruan mengatasi masalah keamanan atau kerentanan. Namun, saat jadwal pembaruan dijalankan, pembaruan dijalankan di komputer Linux menggunakan manajer paket yang sesuai seperti YUM, APT, atau ZYPPER untuk menginstalnya. Manajer paket untuk distro Linux mungkin memiliki mekanisme yang berbeda untuk mengklasifikasikan pembaruan, di mana hasilnya mungkin berbeda dari yang diperoleh dari file OVAL oleh Manajemen Pembaruan. Untuk memeriksa komputer secara manual dan memahami pembaruan mana yang relevan dengan keamanan oleh manajer paket Anda, lihat Memecahkan masalah penyebaran pembaruan Linux.

Catatan

Menyebarkan pembaruan berdasarkan klasifikasi pembaruan mungkin tidak berfungsi dengan baik untuk Linux distros yang didukung oleh Manajemen Pembaruan. Hal ini adalah hasil dari masalah yang diidentifikasi dengan skema penamaan file OVAL dan hal ini mencegah Manajemen Pembaruan dari klasifikasi yang cocok dengan benar berdasarkan aturan pemfilteran. Karena logika berbeda yang digunakan dalam penilaian penambal keamanan, hasil mungkin berbeda dari penambal keamanan yang diterapkan selama penyebaran. Jika Anda telah menetapkan klasifikasi sebagai Kritis dan Keamanan, penyebaran pembaruan akan berfungsi seperti yang diharapkan. Hanya klasifikasi pembaruan selama penilaian yang terpengaruh.

Manajemen Pembaruan untuk komputer Windows Server tidak terdampak; klasifikasi pembaruan dan penyebaran tidak berubah.

Mengintegrasikan Manajemen Pembaruan dengan Configuration Manager

Pelanggan yang telah berinvestasi di Microsoft Endpoint Configuration Manager untuk mengelola PC, server, dan perangkat seluler juga mengandalkan kekuatan dan kematangan Configuration Manager untuk membantu mengelola pembaruan perangkat lunak. Untuk mempelajari cara mengintegrasikan Manajemen Pembaruan dengan Configuration Manager, lihat Mengintegrasikan Manajemen Pembaruan dengan Configuration Manager Titik Akhir Windows.

Pembaruan pihak ketiga pada Windows

Manajemen Pembaruan bergantung pada repositori pembaruan yang dikonfigurasi secara lokal untuk memperbarui sistem Windows yang didukung, baik WSUS atau Windows Update. Alat seperti Penerbit Pembaruan Pusat Sistem memungkinkan Anda mengimpor dan menerbitkan pembaruan kustom dengan WSUS. Skenario ini memungkinkan Manajemen Pembaruan untuk memperbarui komputer yang menggunakan Configuration Manager sebagai repositori pembaruan mereka dengan perangkat lunak pihak ketiga. Untuk mempelajari cara mengonfigurasi Penerbit Pembaruan, lihat Memasang Penerbit Pembaruan.

Langkah berikutnya