Statuswerte der Patch-Compliance - AWS Systems Manager
Patch-Compliance-Werte für Debian Server, Raspberry Pi OS und Ubuntu ServerPatch-Compliance-Werte für andere Betriebssysteme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Statuswerte der Patch-Compliance

Zu den Informationen über Patches für einen verwalteten Knoten gehört ein Bericht über den Zustand oder den Status jedes einzelnen Patches.

Tipp

Wenn Sie einem verwalteten Knoten einen bestimmten Patch-Compliance-Status zuweisen möchten, können Sie den Befehl put-compliance-items AWS Command Line Interface (AWS CLI) oder die PutComplianceItemsAPI-Operation verwenden. Das Zuweisen eines Compliance-Zustands wird in der Konsole nicht unterstützt.

Verwenden Sie die Informationen in den folgenden Tabellen, um zu ermitteln, warum ein verwalteter Knoten möglicherweise nicht die Patch-Compliance erfüllt.

Patch-Compliance-Werte für Debian Server, Raspberry Pi OS und Ubuntu Server

Für Debian Server, Raspberry Pi OS und Ubuntu Server erläutert die folgende Tabelle die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände.

Anmerkung

Beachten Sie bei der Auswertung der Werte INSTALLEDINSTALLED_OTHER, und MISSING Status Folgendes: Wenn Sie bei der Erstellung oder Aktualisierung einer Patch-Baseline das Kontrollkästchen Nicht sicherheitsrelevante Updates einbeziehen nicht aktivieren, sind Patchkandidatenversionen auf Patches in den folgenden Repositorys beschränkt:.

  • Ubuntu Server 14.04 LTS: trusty-security

  • Ubuntu Server 16.04 LTS: xenial-security

  • Ubuntu Server 18.04 LTS: bionic-security

  • Ubuntu Server 20.04 LTS: focal-security

  • Ubuntu Server 20.10 STR: groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server 23.04 (lunar-security)

  • Ubuntu Server23.10 () mantic-security

  • Ubuntu Server24,04 LTS () noble-security

  • Ubuntu Server24,10 () oracular-security

  • Ubuntu Server25,04 () plucky-security

  • debian-security (Debian Server und Raspberry Pi OS)

Wenn Sie die Option Nicht sicherheitsrelevante Aktualisierungen einschließen auswählen, werden auch Patches aus anderen Repositorys berücksichtigt.

Patch-Status Beschreibung Compliance status (Compliance-Status)

INSTALLED

Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, wenn das AWS-RunPatchBaseline-Dokument auf dem verwalteten Knoten ausgeführt wurde.

 Konform

INSTALLED_OTHER

Der Patch ist nicht in der Baseline enthalten oder wird von der Baseline nicht genehmigt, ist aber auf dem verwalteten Knoten installiert. Der Patch wurde möglicherweise manuell installiert, das Paket könnte eine erforderliche Abhängigkeit von einem anderen genehmigten Patch sein, oder der Patch war möglicherweise Teil eines InstallOverrideList Vorgangs. Wenn Sie Block nicht als die Zurückgewiesene Patches-Aktion angeben, schließt INSTALLED_OTHER auch installiert, aber abgelehnte Patches ein.

Konform

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT kann eines von zwei Dingen bedeuten:

  • Der Install-Vorgang von Patch Manager hat den Patch zwar auf den verwalteten Knoten angewendet, aber der Knoten wurde seit dem Anwenden des Patches nicht mehr neu gestartet. Dies bedeutet in der Regel, dass für den Parameter RebootOption die Option NoReboot ausgewählt wurde, als das AWS-RunPatchBaseline-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde.

    Weitere Informationen finden Sie unter Parametername: RebootOption.

  • Seit dem letzten Neustart des verwalteten Knotens wurde ein Patch außerhalb von Patch Manager installiert.

In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart erfordert, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde.

 Nicht konform

INSTALLED_REJECTED

Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der Rejected patches (Abgelehnte Patches) angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.

 Nicht konform

MISSING

Pakete, die über die Baseline gefiltert und noch nicht installiert sind.

 Nicht konform

FAILED

Pakete, die während des Patch-Vorgangs nicht installiert werden konnten.

 Nicht konform

Patch-Compliance-Werte für andere Betriebssysteme

Für alle Betriebssysteme außer Debian Server, Raspberry Pi OS und Ubuntu Server erläutert die folgende Tabelle die Regeln für die Paketklassifizierung in verschiedene Compliance-Zustände.

Patch-Status Beschreibung Compliancewert

INSTALLED

Der Patch wird in der Patch-Baseline aufgeführt und ist auf dem verwalteten Knoten installiert. Er könnte entweder manuell von einer Person oder automatisch von Patch Manager installiert worden sein, als das AWS-RunPatchBaseline-Dokument auf dem Knoten ausgeführt wurde.

 Konform

INSTALLED_OTHER¹

Der Patch befindet sich nicht an der Baseline, ist aber auf dem verwalteten Knoten installiert. Hierfür gibt es zwei mögliche Gründe:

  1. Der Patch wurde möglicherweise manuell installiert.

  2. Nur Linux: Das Paket wurde möglicherweise als erforderliche Abhängigkeit von einem anderen, genehmigten Patch installiert. Wenn Sie Allow as dependency als Abgelehnte Patches angeben, erhalten Patches, die als Abhängigkeiten installiert wurden, den Berichtsstatus INSTALLED_OTHER.

    Anmerkung

    Windows Server unterstützt das Konzept der Patch-Abhängigkeiten nicht. Informationen dazu, wie Patch Manager mit Patches in der Liste Abgelehnte Patches auf Windows Server umgeht, finden Sie unter Optionen für die Liste Abgelehnte Patches in benutzerdefinierten Patch-Baselines.

 Konform

INSTALLED_REJECTED

Der Patch wird auf dem verwalteten Knoten installiert, jedoch in einer Liste der abgelehnten Patches angegeben. Dies bedeutet normalerweise, dass der Patch installiert wurde, bevor er einer Liste der abgelehnten Patches hinzugefügt wurde.

 Nicht konform

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT kann eines von zwei Dingen bedeuten:

  • Der Install-Vorgang von Patch Manager hat den Patch zwar auf den verwalteten Knoten angewendet, aber der Knoten wurde seit dem Anwenden des Patches nicht mehr neu gestartet. Dies bedeutet in der Regel, dass für den Parameter RebootOption die Option NoReboot ausgewählt wurde, als das AWS-RunPatchBaseline-Dokument zuletzt auf dem verwalteten Knoten ausgeführt wurde.

    Weitere Informationen finden Sie unter Parametername: RebootOption.

  • Seit dem letzten Neustart des verwalteten Knotens wurde ein Patch außerhalb von Patch Manager installiert.

In keinem Fall bedeutet dies, dass ein Patch mit diesem Status einen Neustart erfordert, sondern nur, dass der Knoten seit der Installation des Patches nicht neu gestartet wurde.

 Nicht konform

MISSING

Der Patch wurde in der Baseline genehmigt, aber nicht auf dem verwalteten Knoten installiert. Wenn Sie die AWS-RunPatchBaseline-Dokumentaufgabe zum Scannen (nicht Installieren) konfigurieren, meldet das System diesen Status bei Patches, die beim Scan gefunden wurden, aber noch nicht installiert sind.

 Nicht konform

FAILED

Der Patch wurde an der Baseline genehmigt, konnte aber nicht installiert werden. Zum Beheben dieses Problems überprüfen Sie die Befehlsausgabe auf Informationen, die Ihnen helfen, das Problem zu verstehen.

 Nicht konform

NOT_APPLICABLE¹

Dieser Konformitätsstatus wird nur für Windows Server Betriebssysteme gemeldet.

Der Patch wurde in der Baseline genehmigt, der Service oder dem Feature, die den Patch verwendet, wurde aber auf dem verwalteten Knoten nicht installiert. Beispielsweise würde ein Patch für einen Webserver-Service wie Internet Information Services (IIS) NOT_APPLICABLE anzeigen, wenn er in der Baseline genehmigt wurde, der Webservice jedoch nicht auf dem verwalteten Knoten installiert ist. Ein Patch kann auch als NOT_APPLICABLE markiert sein, wenn er durch ein nachfolgendes Update ersetzt wurde. Dies bedeutet, dass das spätere Update installiert ist und das NOT_APPLICABLE-Update nicht mehr benötigt wird.

 Nicht zutreffend
AVAILABLE_SECURITY_UPDATES

Dieser Konformitätsstatus wird nur für Windows Server Betriebssysteme gemeldet.

Ein verfügbarer Sicherheitsupdate-Patch, der von der Patch-Baseline nicht genehmigt wurde, kann einen Konformitätswert oder Compliant oder habenNon-Compliant, wie in einer benutzerdefinierten Patch-Baseline definiert.

Wenn Sie eine Patch-Baseline erstellen oder aktualisieren, wählen Sie den Status, den Sie Sicherheitspatches zuweisen möchten, die zwar verfügbar, aber nicht genehmigt sind, weil sie die in der Patch-Baseline angegebenen Installationskriterien nicht erfüllen. Beispielsweise können Sicherheitspatches, die Sie möglicherweise installieren möchten, übersprungen werden, wenn Sie vor der Installation eine lange Wartezeit nach der Veröffentlichung eines Patches angegeben haben. Wenn während der von Ihnen angegebenen Wartezeit ein Update für den Patch veröffentlicht wird, beginnt die Wartezeit für die Installation des Patches von vorne. Wenn die Wartezeit zu lang ist, können mehrere Versionen des Patches veröffentlicht, aber nie installiert werden.

Was die Anzahl der Patch-Zusammenfassungen angeht, gilt: Wenn ein Patch als gemeldet wirdAvailableSecurityUpdate, ist er immer enthaltenAvailableSecurityUpdateCount. Wenn die Baseline so konfiguriert ist, dass diese Patches als gemeldet werdenNonCompliant, ist sie auch in enthaltenSecurityNonCompliantCount. Wenn die Baseline so konfiguriert ist, dass diese Patches als gemeldet werdenCompliant, sind sie nicht in enthaltenSecurityNonCompliantCount. Diese Patches werden immer mit einem nicht spezifizierten Schweregrad gemeldet und sind niemals in der CriticalNonCompliantCount enthalten.

Konform oder Nicht konform, je nachdem, welche Option für verfügbare Sicherheitsupdates ausgewählt wurde.

Anmerkung

Wenn Sie die Konsole verwenden, um eine Patch-Baseline zu erstellen oder zu aktualisieren, geben Sie diese Option im Feld Kompatibilitätsstatus für verfügbare Sicherheitsupdates an. Wenn Sie AWS CLI den update-patch-baselineBefehl create-patch-baselineoder ausführen, geben Sie diese Option im available-security-updates-compliance-status Parameter an.

¹ Für Patches mit dem Status INSTALLED_OTHER und NOT_APPLICABLE, lässt Patch Manager einige Daten aus Abfrageergebnissen aus, die auf dem Befehl describe-instance-patches basieren, z. B. die Werte für Classification und Severity. Auf diese Weise soll verhindert werden, dass das Datenlimit für einzelne Knoten in Inventory, einem Tool in, überschritten wird AWS Systems Manager. Um alle Patch-Details anzuzeigen, können Sie den Befehl describe-available-patches nutzen.