你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

修正系统更新和修补程序建议

系统更新和修补程序对于确保服务器安全且正常运行至关重要。 更新通常包含漏洞的安全修补程序，如果未修复，攻击者会利用这些漏洞。

Microsoft Defender for Cloud 提供安全建议，以提高组织安全状况并降低风险。 风险降低的一个重要因素是强化整个业务环境中的计算机。

作为强化策略的一部分，Defender for Cloud 会评估计算机以检查是否已安装最新的系统更新，并提出安全建议（如果未安装）。

注意

• 现在使用 Azure 更新管理器收集有关缺少的计算机更新的信息。
• 用于收集数据的 Log Analytics 代理（也称为 Microsoft Monitoring Agent (MMA)）方法已于 2024 年 8 月弃用。

先决条件

• 必须为订阅启用 Defender for Servers 计划 2。

• 本地计算机必须连接到 Azure Arc。

• 连接 AWS 或 GCP 时，必须使用 Azure Arc 载入多云计算机。

• 在计算机上启用定期评估更新设置。

• 如果使用 Defender for Servers 计划 2，则评估、修正和修补受支持的 Azure VM 和 Azure Arc VM 上的系统更新无需额外付费。

• 如果未在订阅或多云连接器上启用 Defender for Servers 计划 2，则对订阅中已启用 Azure Arc 的计算机 VM 进行评估会对 Azure 更新管理器收费。

查找并修正建议

Defender for Cloud 会自动评估计算机的安全性，并提供建议，以确保计算机上安装最新的安全和关键 OS 更新。 如果计算机不是最新，Defender for Cloud 会生成以下建议，以确保计算机上安装最新的安全和关键 OS 更新：

• 计算机应配置为定期检查，以确认缺少的系统更新
• 应在计算机上安装系统更新（由 Azure 更新管理器提供支持）

这些建议依赖于使用 VM 扩展的 Azure 更新管理器。

在计算机上启用定期评估

请务必修正在计算机上启用定期评估更新设置的建议，以便更新管理器可以提取计算机的最新更新，并且可以查看最新的计算机合规状态。

1. 登录到 Azure 门户。

2. 导航到“Microsoft Defender for Cloud”>“建议”。

3. 选择建议 Machines should be configured to periodically check for missing system updates (powered by Azure Update Manager)。

   • 在修正步骤下，查看快速修复和手动修复详细信息。 如果执行快速修复，则会在计算机上启用定期评估更新设置。
   • 在运行不正常的资源列表中，可以深入了解资源详细信息

4. 选择“修复”选项。

5. 选择相关计算机。

6. 选择“修复 1 资源”。

还可以使用 Azure Policy 大规模启用定期评估。

修正系统更新发现

1. 登录到 Azure 门户。

2. 导航到“Microsoft Defender for Cloud”>“建议”。

3. 选择 System updates should be installed on your machines (powered by Azure Update Manager) 建议。

4. 查看建议。

5. 选择“修复”选项，通过更新管理器门户执行任何缺失更新的一次性安装。

   

通过使用最新的安全更新保护计算机，可以降低安全漏洞风险，并确保保护计算机免受最新威胁。

大规模修正建议

还可以大规模修正多台计算机上的系统更新和修补程序建议。

1. 登录到 Azure 门户。

2. 导航到“Microsoft Defender for Cloud”>“建议”。

3. 搜索并选择上述一项建议。

4. 查看建议。

5. 选择“查看所有资源的建议”。

   

6. 选择所有相关计算机。

7. 选择“修复”。

下一步

有关 Defender for Servers 的常见问题