介绍更新管理
当然,Windows 的更新是一系列定期事件。 当新发现的安全漏洞或攻击途径得到解决时,可以快速而频繁地进行更新。 还会根据事件(如设备驱动程序中的更改或新系统功能的计划推出)定期进行更新。
Contoso IT 支持人员意识到,进行紧急安全更新可能没有固定的时间,在许多情况下,必须尽快部署此类更新。 无论系统是物理主机、本地 VM 还是 Azure VM,这种方法都适用。 在审查 Azure VM 的 Windows 更新时,他们必须保持警惕。
Azure 自动化和更新管理
Azure 自动化可帮助你管理运行 Windows 操作系统的 Azure VM 的 OS 更新。 更新管理功能是免费的,唯一的成本是 Azure Log Analytics 中日志存储的成本。
下表介绍了更新管理功能如何帮助 Azure VM 进行更新。
| 功能 | 它如何提供帮助 |
|---|---|
| 检查 VM 上的更新状态 | 该服务包括一个基于云的控制台,你可以在其中查看整个 Azure 组织和特定 VM 的更新状态。 |
| 将 VM 的动态组配置为目标 | 它还使你可以基于计算机组定义查询。 计算机组是基于另一个查询定义的一组计算机或从其他源(例如 WSUS 或 Microsoft Endpoint Configuration Manager)导入的一组计算机。 |
| 搜索 Azure Monitor 日志 | 更新管理从 Azure Monitor 日志收集记录。 |
若要在混合环境中实现 Azure 更新管理,必须完成以下大致步骤:
- 创建 Azure 自动化帐户。
- 启用更新管理。
- 加入本地服务器。
- 选择要管理的计算机。
- 计划更新
注意
对于本地物理服务器和 VM 以及运行 Windows Server 的 Azure VM,这些步骤是相同的。
与 Windows 更新交互
Azure 自动化更新管理依赖 Windows 更新客户端来下载和安装 Windows 更新。 有特定的设置,可供 Windows 更新客户端在连接到 WSUS 或 Windows 更新时使用。 可以通过以下方式管理其中的许多设置:
- 使用本地组策略编辑器
- 使用组策略
- 使用 Windows PowerShell
- 直接编辑注册表
更新管理遵循为了控制 Windows 更新客户端而指定的许多设置。
提示
如果你使用设置来启用非 Windows 更新,更新管理也会管理这些更新。
配置 WSUS 以管理更新
WSUS 通过及时对 Microsoft 产品和第三方产品进行安全更新来提高 Contoso 系统的安全性。 它提供了用于下载、测试和批准安全更新的基础结构。 快速应用安全更新有助于防止出现由已知漏洞导致的安全事件。 实现 WSUS 时,必须记住 WSUS 的硬件和软件要求、要配置的设置以及要根据 Contoso 的需求批准或删除的更新。
Azure 中的更新管理支持 WSUS 设置。 可以按照指定 Intranet Microsoft 更新服务位置中的说明操作,指定用于扫描和下载更新的源。 默认情况下,Windows 更新客户端配置为,从 Windows 更新下载更新。 如果你将 WSUS 服务器指定为计算机的源,但 WSUS 中没有批准更新,则更新部署失败。
提示
若要将计算机限制为使用内部更新服务,请设置“不要连接任何 Windows 更新 Internet 位置”。