Patch ManagerでWindows OSのEC2にパッチを適用の際に、パッチがリストされていない事象の発生原因について

特集

Lei.Yang

2022.12.21

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2022 | Advent Calendar 2022 - Qiita 21日目の記事です。

困っていた内容

EC2に対してパッチマネージャからベースラインでパッチを適用する運用しています。
定期的にパッチ適用に向けてパッチマネージャから「スキャン」を実行していますが、MSから配信されているパッチがリストされていない事象が発生しました、原因を教えてください。

前提

Patch Manager によるパッチのスキャンやインストールは Windows OS で実行する場合 Windows Update を利用いたします。パッチベースラインの内容を問わず、インストールされていないアプリケーションにつきましてはスキャンやインストールの対象とならないことが想定されますので、Windows OS の利用上問題は発生しないことが想定されます。
Patch Manager では、Microsoft 社からリリースされた更新プログラムのうち、WSUS で自動的に利用可能になる更新プログラムが適用可能となります。<また更新プログラムが別の更新プログラムにより置き換えられた場合には、最新の更新プログラムのみがインストール可能となります。Windows Update カタログで該当する KB が置き換えられたために、アップデートの対象とならなかった可能性が高いです。

AWSドキュメント確認

セキュリティに関連するパッチの選択方法 - AWS Systems Manager

Windowsで Patch Manager がセキュリティ関連のパッチを選択する方法
Microsoft Windows オペレーティングシステムの場合、Patch Manager は Microsoft が Microsoft Update に公開して Windows Server Update Services (WSUS) で自動的に利用可能になる更新プログラムのリストを取得します。
Patch Manager は各 AWS リージョン で新しい更新を継続的にモニタリングします。利用可能な更新プログラムのリストは、各リージョンで 1 日 1 回以上更新されます。Microsoft からのパッチ情報が処理されると、Patch Manager は最新の更新プログラムで置き換えられた前の更新プログラムをパッチのリストから削除します。したがって、最新の更新のみが表示され、インストール可能になります。例えば、KB3135456 が KB4012214 に置き換えられると、Patch Managerでは KB4012214 のみが利用可能になります。

参考例

2022 年 10 月 11 日で配信したKB5018419を例をもとに説明いたします。
下記のページの「パッケージの詳細」タブに記載の通り、更新プログラムが置き換えられておりました。

Microsoft®Update カタログ-KB5018419

2022-10 x64 ベース システム用 Windows 10 Version 1809 の累積更新プログラム (KB5018419)    Windows 10 LTSB セキュリティ問題の修正プログラム    2022/10/11
2022-10 ARM64 ベース システム用 Windows 10 Version 1809 の累積更新プログラム (KB5018419)  Windows 10 LTSB セキュリティ問題の修正プログラム    2022/10/11
2022-10 x86 ベース システム用 Windows 10 Version 1809 の累積更新プログラム (KB5018419)    Windows 10 LTSB セキュリティ問題の修正プログラム    2022/10/11
2022-10 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5018419)    Windows Server 2019 セキュリティ問題の修正プログラム    2022/10/11

この更新プログラムは、次の更新プログラムで置き換えられました:
2022-11 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5021655)

Microsoft®Update カタログ-KB5021655

Windows Updateの最新適用状況を確認するには

Windows Updateの適用状況をGet-Hotfixや、システムイベントログ等から確認することができます。
Get-HotFixコマンドの詳細については以下ドキュメントをご参照ください。

参考資料

[1]Windowsパッチ適用一覧とインストール日を確認する方法
[2]Get-HotFix (Microsoft.PowerShell.Management) - PowerShell | Microsoft Learn

AWS

関連記事

AWS Systems Manager 의 Parameter Store가 교차 계정을 지원하게 되었습니다

Lee Sujae

2024.03.19

SSMエージェントはIAMロールの夢を見るか を語りました #jawsug #opsjaws

千葉 幸宏(チバユキ)

2024.03.11

AWS CDKでECS Fargate Bastionを一撃で作ってみた

のんピ

2024.03.07

Ubuntu Pro 22.04に対してSSM Patch Managerでパッチ適用できるか確認してみた

のんピ

2024.02.01