你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

修正系统更新和修补程序建议

Microsoft Defender for Cloud 提供安全建议，以提高组织安全状况并降低风险。 风险降低的一个重要因素是强化整个业务环境中的计算机。

作为强化策略的一部分，Defender for Cloud 会评估计算机以检查是否已安装最新的系统更新和修补程序，并提出安全建议（如果未安装）。 系统更新和修补程序对于确保计算机安全且正常运行至关重要。 更新通常包含漏洞的安全修补程序，如果未修复，攻击者会利用这些漏洞。

Defender for Servers 计划 2 会自动评估计算机上的更新和修补程序，并根据需要生成以下建议：

• 计算机应配置为定期检查，以确认缺少的系统更新
• 应在计算机上安装系统更新（由 Azure 更新管理器提供支持）

这些建议依赖于使用 VM 扩展的 Azure 更新管理器。

! [!注意] 较早的更新评估方法使用 Log Analytics 代理（也称为 Microsoft Monitoring Agent，MMA）来收集数据。 MMA 现在已被弃用。

先决条件

• 必须启用 Defender for Servers 计划 2。
• 验证系统更新计算机必须受 Azure 更新管理器支持。
• 本地计算机必须作为已启用 Azure Arc 的 VM 进行连接。
• 连接 AWS 或 GCP 时，必须使用 Azure Arc 载入多云（(AWS/GCP 计算机）。
• 如果使用 Defender for Servers 计划 2，则评估、修正和修补受支持的 Azure VM 和 Azure Arc VM 上的系统更新无需额外付费。
• 如果未在订阅或多云连接器上启用 Defender for Servers 计划 2，则对订阅中已启用 Azure Arc 的计算机 VM 进行评估会对 Azure 更新管理器收费。

在计算机上启用定期评估

Defender for Cloud 发出建议，建议定期评估计算机的系统更新。

1. 在 Defender for Cloud 中，打开“建议”页。

2. 选择建议 Machines should be configured to periodically check for missing system updates (powered by Azure Update Manager)。

   • 在修正步骤下，查看快速修复和手动修复详细信息。 如果执行快速修复，则会在计算机上启用定期评估更新设置。
   • 在运行不正常的资源列表中，可以深入了解资源详细信息。

3. 选择“修复”选项。

4. 选择相关计算机，然后选择“修复 1 个资源”。

还可以使用 Azure Policy 大规模启用定期评估。

修正更新建议

1. 在 Defender for Cloud 中，打开“建议”页。

2. 选择 System updates should be installed on your machines (powered by Azure Update Manager) 建议。

3. 查看建议。

4. 选择“修复”选项，通过更新管理器门户执行缺失更新的一次性安装。

   

大规模修正建议

可以在多台计算机上修正建议。

1. 在 Defender for Cloud 中，打开“建议”页。

2. 选择 System updates should be installed on your machines (powered by Azure Update Manager) 建议。

3. 找到相关的系统更新建议。

4. 查看建议。

5. 在“建议详细信息”页中，选择“查看对所有资源的建议”。

   

6. 选择要修复的所有计算机。

7. 选择“修复”。