Valori dello stato di conformità delle patch - AWS Systems Manager
Valori di conformità delle patch per Debian Server, Raspberry Pi OS, e Ubuntu ServerValori di conformità delle patch per altri sistemi operativi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valori dello stato di conformità delle patch

Le informazioni sulle patch per un nodo gestito includono un rapporto sullo stato di ogni singola patch.

Suggerimento

Se desideri assegnare uno stato di conformità delle patch specifico a un nodo gestito, puoi utilizzare il comando put-compliance-items AWS Command Line Interface (AWS CLI) o l'operazione PutComplianceItemsAPI. L'assegnazione dello stato di conformità non è supportata nella console.

Utilizza le informazioni riportate nelle tabelle seguenti per riuscire a identificare i motivi per cui un nodo gestito potrebbe non essere conforme alle patch.

Valori di conformità delle patch per Debian Server, Raspberry Pi OS, e Ubuntu Server

Per Debian Server, Raspberry Pi OS, e Ubuntu Server, le regole per la classificazione dei pacchetti nei vari stati di conformità sono le seguenti.

Nota

Quando valuti i valori di e MISSING status INSTALLEDINSTALLED_OTHER, tieni presente quanto segue: se non selezioni la casella di controllo Includi aggiornamenti non relativi alla sicurezza durante la creazione o l'aggiornamento di una baseline di patch, le versioni candidate alle patch sono limitate alle patch nei seguenti repository:.

  • Ubuntu Server 14.04 LTS: trusty-security

  • Ubuntu Server 16.04 LTS: xenial-security

  • Ubuntu Server 18.04 LTS: bionic-security

  • Ubuntu Server 20.04 LTS: focal-security

  • Ubuntu Server 20.10 STR: groovy-security

  • Ubuntu Server 22.04 LTS (jammy-security)

  • Ubuntu Server 23.04 (lunar-security)

  • Ubuntu Server23.10 () mantic-security

  • Ubuntu Server24,04 LITRI (1) noble-security

  • Ubuntu Server24.10 () oracular-security

  • Ubuntu Server25,04 () plucky-security

  • debian-security (Debian Server e Raspberry Pi OS)

Quando si seleziona l'opzione Includi aggiornamenti non correlati alla sicurezza, vengono considerate anche le patch di altri repository.

Stato della patch Descrizione Compliance status (Stato di conformità)

INSTALLED

La patch non è inclusa nella baseline delle patch, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un individuo o automaticamente da Patch Manager quando il documento AWS-RunPatchBaseline è stato eseguito sul nodo gestito.

 Conforme

INSTALLED_OTHER

La patch non è inclusa nella baseline, o non è approvata da essa ma è installata nel nodo gestito. La patch potrebbe essere stata installata manualmente, il pacchetto potrebbe essere una dipendenza richiesta da un'altra patch approvata oppure la patch potrebbe essere stata inclusa in un' InstallOverrideList operazione. Se non indichi Block come azione Patch rifiutate, INSTALLED_OTHER include anche patch installate ma rifiutate.

Conforme

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT significa una delle due cose:

  • L'operazione Patch Manager Install ha applicato la patch al nodo gestito, ma il nodo non è stato riavviato dopo l'applicazione della patch. Ciò significa in genere che l'opzione NoReboot è stata selezionata per il parametro RebootOption quando il documento AWS-RunPatchBaseline è stato eseguito l'ultima volta sul nodo gestito.

    Per ulteriori informazioni, consulta Nome parametro: RebootOption.

  • Una patch è stata installata all'esterno di Patch Manager dall'ultima volta che il nodo gestito è stato riavviato.

In nessun caso ciò significa che una patch con questo stato richieda un riavvio, ma solo che il nodo non è stato riavviato dopo l'installazione della patch.

 Non conforme

INSTALLED_REJECTED

La patch è installata nel nodo gestito, ma è specificata in un elenco di Patch rifiutate. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate.

 Non conforme:

MISSING

Pacchetti filtrati attraverso la base e non già installati.

 Non conforme

FAILED

Pacchetti la cui installazione non è andata a buon fine durante l'operazione di applicazione di patch.

 Non conforme:

Valori di conformità delle patch per altri sistemi operativi

Per tutti i sistemi operativi oltre a Debian Server, Raspberry Pi OS, e Ubuntu Server,, le norme per la classificazione dei pacchetti nei vari stati di conformità sono descritte nella tabella seguente.

Stato della patch Descrizione Valore di conformità

INSTALLED

La patch non è inclusa nella baseline delle patch, ma è installata nel nodo gestito. Potrebbe essere stato installato manualmente da un individuo o automaticamente da Patch Manager quando il documento AWS-RunPatchBaseline è stato eseguito sul nodo.

 Conforme

INSTALLED_OTHER¹

La patch non è inclusa nella baseline, ma è installata nel nodo. I possibili motivi sono due:

  1. C'è la possibilità che la patch non sia stata installata manualmente.

  2. Solo Linux: c'è la possibilità che il pacchetto sia stato installato come dipendenza richiesta di una patch diversa e approvata. Quando si specifica Allow as dependency come azione di Patch rifiutate, alle patch installate come dipendenze viene assegnato lo stato di segnalazione INSTALLED_OTHER.

    Nota

    Windows Server non supporta il concetto di dipendenza dalle patch. Per informazioni su come Patch Manager gestisce le patch nell'elenco delle patch rifiutate su Windows Server, consulta le opzioni dell'elenco delle patch rifiutate nelle baseline delle patch personalizzate.

 Conforme

INSTALLED_REJECTED

La patch è installata nel nodo gestito, ma è specificata in un elenco di Patch rifiutate. Questo in genere significa che la patch è stata installata prima di essere aggiunta a un elenco di patch rifiutate.

 Non conforme:

INSTALLED_PENDING_REBOOT

INSTALLED_PENDING_REBOOT significa una delle due cose:

  • L'operazione Patch Manager Install ha applicato la patch al nodo gestito, ma il nodo non è stato riavviato dopo l'applicazione della patch. Ciò significa in genere che l'opzione NoReboot è stata selezionata per il parametro RebootOption quando il documento AWS-RunPatchBaseline è stato eseguito l'ultima volta sul nodo gestito.

    Per ulteriori informazioni, consulta Nome parametro: RebootOption.

  • Una patch è stata installata all'esterno di Patch Manager dall'ultima volta che il nodo gestito è stato riavviato.

In nessun caso ciò significa che una patch con questo stato richieda un riavvio, ma solo che il nodo non è stato riavviato dopo l'installazione della patch.

 Non conforme

MISSING

La patch è approvata nella baseline, ma non è installata nel nodo gestito. Se configuri l'attività del documento AWS-RunPatchBaseline per l'analisi anziché per l'installazione, il sistema riporta questo stato per le patch individuate durante l'analisi ma non installate.

 Non conforme

FAILED

La patch è approvata nella baseline, ma non è stato possibile installarla. Per risolvere questa situazione, esamina l'output del comando per ottenere informazioni utili per comprendere il problema.

 Non conforme

NOT_APPLICABLE¹

Questo stato di conformità viene riportato solo per i sistemi Windows Server operativi.

La patch è approvata nella baseline, ma la caratteristica o il servizio da cui viene utilizzata non è installato nel nodo gestito. Ad esempio, una patch per un servizio server Web, come Internet Information Services (IIS), mostrerà NOT_APPLICABLE se è stata approvata nella linea di base, ma il servizio Web non è installato nel nodo gestito. Una patch ha anche la possibilità di essere contrassegnata con NOT_APPLICABLE se è stata sostituita da un aggiornamento successivo. Ciò significa che è installato l'aggiornamento più recente e che l'aggiornamento NOT_APPLICABLE non è più richiesto.

 Non applicabile
AVAILABLE_SECURITY_UPDATES

Questo stato di conformità viene riportato solo per i sistemi Windows Server operativi.

Una patch di aggiornamento di sicurezza disponibile che non è approvata dalla patch di base può avere un valore di conformità Compliant oNon-Compliant, come definito in una baseline di patch personalizzata.

Quando si crea o si aggiorna una patch di base, si sceglie lo stato da assegnare alle patch di sicurezza disponibili ma non approvate perché non soddisfano i criteri di installazione specificati nella baseline della patch. Ad esempio, le patch di sicurezza che si desidera installare possono essere ignorate se è stato specificato un lungo periodo di attesa dopo il rilascio di una patch prima dell'installazione. Se un aggiornamento della patch viene rilasciato durante il periodo di attesa specificato, il periodo di attesa per l'installazione della patch ricomincia da capo. Se il periodo di attesa è troppo lungo, è possibile che più versioni della patch vengano rilasciate ma non installate mai.

Per quanto riguarda il conteggio riepilogativo delle patchAvailableSecurityUpdate, quando una patch viene segnalata come, verrà sempre inclusaAvailableSecurityUpdateCount. Se la baseline è configurata per riportare queste patch comeNonCompliant, viene inclusa anche in. SecurityNonCompliantCount Se la baseline è configurata per riportare queste patch comeCompliant, non sono incluse in. SecurityNonCompliantCount Queste patch vengono sempre segnalate con una gravità non specificata e non sono mai incluse nel. CriticalNonCompliantCount

Conforme o non conforme, a seconda dell'opzione selezionata per gli aggiornamenti di sicurezza disponibili.

Nota

Utilizzando la console per creare o aggiornare una baseline di patch, è possibile specificare questa opzione nel campo Stato di conformità degli aggiornamenti di sicurezza disponibili. Utilizzando il update-patch-baselinecomando AWS CLI to run create-patch-baselineor, si specifica questa opzione nel available-security-updates-compliance-status parametro.

¹ Per le patch con lo stato INSTALLED_OTHER e NOT_APPLICABLE, Patch Manager omette alcuni dati dai risultati delle query in base al comando describe-instance-patches, ad esempio i valori per Classification e Severity. Questa operazione consente di evitare il superamento del limite di dati per i singoli nodi di Inventory, uno strumento in AWS Systems Manager. Per visualizzare tutti i dettagli della patch, è possibile utilizzare il comando describe-available-patches.