パッチの拒否
概要
パッチの拒否はパッチ配布の重要な部分です。パッチ管理を自動化するとき、欠落パッチはすべてダウンロードされ、対象のコンピューターに配布されます。こうすることで、重要でないパッチも配布されるようになります。このため重要でないパッチを無視することを選択できるようにする必要があります。欠落パッチの一部のインストールを無視すること は、システムのシステムステータスポリシーに反映されます。ネットワーク上のコンピューターは「非常に脆弱なシステム」や「脆弱なシステム」と評価される可能性があります。ナレッジベースも合わせてご覧ください。
これを回避するために、パッチを拒否できます。パッチを拒否すると次の状態になります。
- 拒否されたパッチは欠落パッチにカウントされなくなります。
- 拒否されたパッチはシステムステータスポリシーの計算で使用されなくなります。
- 拒否されたパッチは自動配布タスクから適用することはできません。
すべてのコンピューターまたは特定のグループでのパッチを拒否
特定のアプリケーションに関係する特定のパッチまたはすべてのパッチを拒否することができます。 パッチはすべてのコンピューターまたは特定のコンピューターのグループに関して拒否できます。 デフォルトのグループ名「すべてのコンピューターグループ」がEndpoint Centralで作成されます。 特定のパッチをすべてのコンピューターに関して拒否する場合は、このグループを選択して、対象パッチを拒否できます。パッチの一部を特定のコンピューターのグループに関して拒否する場合は、 OS、リモートオフィスなどに基づくグループなどの別個のカスタムグループを作成してそのパッチを却下できます。
次にパッチの拒否について説明のための例を挙げます。
- 特定のパッチである「Adobe 1.1」がすべてのコンピューターのグループに関して却下されていると想定すると、パッチ「Adobe 1.1」は欠落パッチとみなされず、ネットワークでダウンロードされません。このパッチがインストールされていなくても、コンピューターは脆弱とみなされません。
- 重要パッチ「Chrome 23.1」がカスタムグループの「Remote_Office1 & Remote_Office2」などの特定のカスタムグループに関して拒否される場合は、そのパッチは欠落しているすべてのコンピューターにダウンロードされ配布されますが、カスタムグループ「Remote_Office1 & Remote_Office2」の中のコンピューターは除外されます。このパッチ「Chrome 23.1」が指定されたカスタムグループ以外の何らかのコンピューターで欠落パッチとなっている場合は、重要パッチが欠けているために、それらのコンピューターは脆弱と評価されます。
- あるコンピューターをカスタムグループ「Remote_Office1」に追加すると、そのカスタムグループで拒否されているすべてのパッチは、新たに追加されたコンピューターに関しても拒否されているとみなされます。
下記の手順に従って、パッチとアプリケーションを拒否する手順を理解してください。
Endpoint Centralコンソールで[パッチ管理]タブをクリックします。
[設定]の下にある[パッチを却下]リンクをクリックします。
[パッチをグループ化して却下]クリックして選択します
管理対象のすべてのコンピューターに関してそのパッチを却下する場合は、[すべてのコン ピューターグループ]を選択します。そうでなければ、対象のターゲットを含める[特定の グループを選択/作成]を選択します。
必要に応じて[説明]に説明を追加します
KB番号、ブレティン、パッチID、アプリケーション、プラットフォームに基づいて選択します。
拒否対象のパッチ/アプリケーションを選択します。
[保存]をクリックして、変更を保存します。
パッチ拒否を取り消す場合は、カスタムグループ名に対する[アクション] を選択することでそれを編集できます。 |
これでグループに対するパッチの拒否却下ができました。却下されたパッチは、システムステータスポリシーに反映されず、欠けているパッチで計算されることもありません。
関連: パッチ管理アーキテクチャ, パッチ管理ライフサイクル、パッチスキャン, パッチレポート |