Opis zarządzania aktualizacjami

  • 6 min

Aktualizacje systemu Windows to oczywiście cykli cyklicznych zdarzeń. Aktualizacje mogą przychodzić szybko i często, gdy nowo odnalezione wady zabezpieczeń lub wektory ataków są rozwiązywane. Aktualizacje są również okresowo dostarczane na podstawie zdarzeń, takich jak zmiany sterowników urządzeń lub planowane wdrażanie nowych funkcji systemowych.

Pracownicy działu pomocy technicznej IT firmy Contoso zdają sobie sprawę, że nie ma ustalonego czasu, że pilna aktualizacja zabezpieczeń może stać się dostępna i w wielu przypadkach konieczne jest wdrożenie takiej aktualizacji tak szybko, jak to możliwe. Takie podejście ma zastosowanie, czy system jest hostem fizycznym, lokalną maszyną wirtualną, czy maszyną wirtualną platformy Azure. Muszą być czujni podczas przeglądania aktualizacji systemu Windows na maszynach wirtualnych platformy Azure.

Azure Automation i Update Management

Usługa Azure Automation ułatwia zarządzanie aktualizacjami systemu operacyjnego dla maszyn wirtualnych platformy Azure z systemem operacyjnym Windows. Funkcja Update Management jest bezpłatna, a jedynym kosztem jest koszt magazynu dzienników w usłudze Azure Log Analytics.

W poniższej tabeli opisano, jak funkcje rozwiązania Update Management mogą pomóc w aktualizowaniu maszyn wirtualnych platformy Azure.

Funkcja Jak może to pomóc
Przeglądanie stanu aktualizacji na maszynach wirtualnych Usługa zawiera konsolę opartą na chmurze, w której można przejrzeć stan aktualizacji w organizacji platformy Azure i dla określonej maszyny wirtualnej.
Konfigurowanie dynamicznych grup maszyn wirtualnych do celu Umożliwia również zdefiniowanie zapytania na podstawie grupy komputerów. Grupa komputerów to grupa komputerów, które są zdefiniowane na podstawie innego zapytania lub zaimportowane z innego źródła, takiego jak WSUS lub Microsoft Endpoint Configuration Manager.
Wyszukiwanie dzienników usługi Azure Monitor Rozwiązanie Update Management zbiera rekordy z dzienników usługi Azure Monitor.

Aby zaimplementować usługę Azure Update Management w środowisku hybrydowym, należy wykonać następujące ogólne kroki:

  1. Utwórz konto usługi Azure Automation.
  2. Włącz rozwiązanie Update Management.
  3. Dołączanie serwerów lokalnych.
  4. Wybierz maszyny do zarządzania.
  5. Aktualizacje harmonogramu

Uwaga

Te kroki są takie same w przypadku lokalnych serwerów fizycznych i maszyn wirtualnych oraz maszyn wirtualnych platformy Azure z systemem Windows Server.

Interakcja z usługą Windows Update

Rozwiązanie Update Management usługi Azure Automation korzysta z klienta usługi Windows Update do pobierania i instalowania aktualizacji systemu Windows. Istnieją określone ustawienia, które są używane przez klienta usługi Windows Update podczas nawiązywania połączenia z usługami WSUS lub Windows Update. Wiele z tych ustawień można zarządzać, wykonując następujące czynności:

  • Korzystanie z edytora lokalnych zasad grupy
  • Za pomocą zasad grupy
  • Używanie programu Windows PowerShell
  • Bezpośrednie edytowanie rejestru

Rozwiązanie Update Management uwzględnia wiele ustawień określonych w celu sterowania klientem usługi Windows Update.

Napiwek

Jeśli używasz ustawień do włączania aktualizacji innych niż Windows, rozwiązanie Update Management również zarządza tymi aktualizacjami.

Konfigurowanie programu WSUS do zarządzania aktualizacjami

Program WSUS zwiększa bezpieczeństwo systemów w firmie Contoso, stosując aktualizacje zabezpieczeń do produktów firmy Microsoft i produktów innych firm w odpowiednim czasie. Zapewnia infrastrukturę do pobierania, testowania i zatwierdzania aktualizacji zabezpieczeń. Szybkie stosowanie aktualizacji zabezpieczeń pomaga zapobiegać zdarzeniom zabezpieczeń, które są wynikiem znanych luk w zabezpieczeniach. Podczas implementowania programu WSUS należy pamiętać o wymaganiach dotyczących sprzętu i oprogramowania dla usług WSUS, ustawień do skonfigurowania oraz aktualizacji do zatwierdzenia lub usunięcia zgodnie z potrzebami firmy Contoso.

Rozwiązanie Update Management w ustawieniach programu WSUS pomoc techniczna platformy Azure. Źródła skanowania i pobierania aktualizacji można określić, korzystając z instrukcji w temacie Określanie intranetowej lokalizacji usługi Microsoft Update. Domyślnie klient usługi Windows Update jest skonfigurowany do pobierania aktualizacji z usługi Windows Update. Jeśli serwer programu WSUS zostanie określony jako źródło dla maszyn, jeśli aktualizacje nie zostaną zatwierdzone w programie WSUS, wdrożenie aktualizacji zakończy się niepowodzeniem.

Zrzut ekranu edytora zasad grupy w systemie Windows. Administrator przeszedł do folderu Windows Update i skonfigurował konfigurowanie aktualizacji automatycznych, Określanie lokalizacji usługi Microsoft Update intranet i Nie nawiąż połączenia z żadnymi wartościami lokalizacji internetowych usługi Windows Update.

Napiwek

Aby ograniczyć maszyny do wewnętrznej usługi aktualizacji, ustaw opcję Nie łącz się z żadną lokalizacją internetową usługi Windows Update.