Updates en patches voor uw VM's beheren
Software-updates in Azure Automation Updatebeheer biedt een set hulpprogramma's en resources waarmee u de complexe taak van het bijhouden en toepassen van software-updates op machines in Azure en de hybride cloud kunt beheren. Een effectief beheerproces voor software-updates is nodig om operationele efficiëntie te behouden, beveiligingsproblemen op te lossen en de risico's van verhoogde bedreigingen voor de cyberbeveiliging te verminderen. Wegens de veranderende aard van technologie en het permanent opduiken van nieuwe veiligheidsbedreigingen, vergt effectief beheer van software-updates consistente en continue aandacht.
Notitie
Updatebeheer ondersteuning voor de implementatie van eigen updates en het vooraf downloaden ervan. Deze ondersteuning vereist wijzigingen in de systemen die worden bijgewerkt. Zie Configure Windows Update settings (Instellingen Windows bijwerken) voor Azure Automation Updatebeheer informatie over het configureren van deze instellingen op uw systemen.
Voordat u updates voor uw VM's gaat beheren, moet u ervoor zorgen dat u deze Updatebeheer hebt ingeschakeld met behulp van een van deze methoden:
- Een Updatebeheer vanuit een Automation-account inschakelen
- Schakel Updatebeheer in door op de Azure Portal
- Updatebeheer vanuit een runbook inschakelen
- Updatebeheer inschakelen vanaf een virtuele Azure-machine
Het bereik voor de implementatie beperken
Updatebeheer maakt gebruik van een bereikconfiguratie binnen de werkruimte om de computers te richten op het ontvangen van updates. Zie Limiet voor Updatebeheer implementatiebereik voor meer informatie.
Nalevingsevaluatie
Voordat u software-updates implementeert op uw computers, bekijkt u de resultaten van de evaluatie van de update-naleving voor ingeschakelde machines. Voor elke software-update wordt de nalevingstoestand vastgelegd en nadat de evaluatie is voltooid, wordt deze bulksgewijs verzameld en doorgestuurd naar Azure Monitor logboeken.
Op een Windows wordt de nalevingsscan standaard elke 12 uur uitgevoerd en wordt binnen 15 minuten na het opnieuw opstarten van de Log Analytics-agent Windows gestart. De evaluatiegegevens worden vervolgens doorgestuurd naar de werkruimte en de tabel Updates wordt vernieuwd. Vóór en na de installatie van de update wordt een compatibiliteitsscan voor updates uitgevoerd om ontbrekende updates te identificeren, maar de resultaten worden niet gebruikt om de evaluatiegegevens in de tabel bij te werken.
Het is belangrijk om onze aanbevelingen te bekijken voor het configureren van de Windows Update-client met Updatebeheer om problemen te voorkomen die verhinderen dat deze correct wordt beheerd.
Voor een Linux-computer wordt de nalevingsscan standaard elk uur uitgevoerd. Als de Log Analytics-agent voor Linux opnieuw wordt gestart, wordt binnen vijftien minuten een nalevingsscan gestart.
De nalevingsresultaten worden weergegeven in Updatebeheer voor elke geëvalueerde machine. Het kan tot 30 minuten duren voordat op het dashboard bijgewerkte gegevens worden weergegeven van een nieuwe computer die is ingeschakeld voor beheer.
Bekijk Software-updates bewaken voor meer informatie over het weergeven van nalevingsresultaten.
Updates implementeren
Nadat de nalevingsresultaten zijn beoordeeld, is de implementatiefase van software-updates het proces van het implementeren van software-updates. Als u updates wilt installeren, moet u een implementatie plannen die aansluit bij uw releaseplanning en servicevenster. U kunt kiezen welke typen updates moeten worden opgenomen in de implementatie. Zo kunt u belangrijke updates of beveiligingsupdates opnemen en updatepakketten uitsluiten.
Bekijk Software-updates implementeren voor meer informatie over het plannen van een update-implementatie.
Updates uitsluiten
Bij sommige Linux-varianten, zoals Red Hat Enterprise Linux, kunnen upgrades op besturingssysteemniveau plaatsvinden via pakketten. Dit kan leiden tot Updatebeheer uitvoeringen waarin het versienummer van het besturingssysteem verandert. Omdat Updatebeheer dezelfde methoden gebruikt om pakketten bij te werken die een beheerder lokaal op een Linux-computer gebruikt, is dit gedrag opzettelijk.
Als u wilt voorkomen dat de versie van het besturingssysteem Updatebeheer implementaties, gebruikt u de functie Uitsluiting.
In Red Hat Enterprise Linux is de pakketnaam die moet worden redhat-release-server.x86_64 uitgesloten.
Linux-updateclassificaties
Wanneer u updates implementeert op een Linux-computer, kunt u updateclassificaties selecteren. Met deze optie worden de updates gefilterd die voldoen aan de opgegeven criteria. Dit filter wordt lokaal op de computer toegepast wanneer de update wordt geïmplementeerd.
Omdat Updatebeheer update-verrijking uitvoert in de cloud, kunt u sommige updates in Updatebeheer markeren als een beveiligingsimpact, ook al heeft de lokale computer die informatie niet. Als u essentiële updates op een Linux-computer toe passen, zijn er mogelijk updates die niet zijn gemarkeerd als een beveiligingsimpact op die computer en daarom niet worden toegepast. Het is Updatebeheer dat de computer nog steeds als niet-compatibel wordt rapporteert, omdat deze aanvullende informatie over de relevante update heeft.
Het implementeren van updates op updateclassificatie werkt niet op RTM-versies van CentOS. Als u updates voor CentOS op de juiste manier wilt implementeren, selecteert u alle classificaties om ervoor te zorgen dat updates worden toegepast. Als u voor SUSE ALLEEN andere updates als classificatie selecteert, kunt u eerst enkele andere beveiligingsupdates installeren als ze zijn gerelateerd aan zypper (pakketbeheer) of de bijbehorende afhankelijkheden. Dit gedrag is een beperking van zypper. In sommige gevallen moet u mogelijk de update-implementatie opnieuw en vervolgens de implementatie controleren via het updatelogboek.
Update-implementaties controleren
Nadat de implementatie is voltooid, controleert u het proces om het succes van de update-implementatie per computer of doelgroep te bepalen. Zie Implementatiestatus controleren voor meer informatie over hoe u de implementatiestatus kunt bewaken.
Volgende stappen
Zie Waarschuwingen maken voor meer informatie over het maken van waarschuwingen om u op de hoogte te stellen van de resultaten van de update-Updatebeheer.
U kunt query'Azure Monitor om update-evaluaties, implementaties en andere gerelateerde beheertaken te analyseren. Het bevat vooraf gedefinieerde query's om u op weg te helpen.