Patch Manager Plus オンプレミス版 ナレッジベース

ManageEngine > サポート > Patch Manager Plus オンプレミス版 ナレッジベース > セキュリティ/脆弱性情報 > セキュリティ設定
戻る

セキュリティ設定

  • 作成日:2022年12月15日 | 更新日:2023年6月30日

確認ビルド: Patch Manager Plus 10.1.2220.22
この記事では、Patch Manager Plus (オンプレミス版)のセキュリティ設定に関して説明しています。
なお、この記事で言及されている設定以外にも、アンチウイルスソフト(セキュリティソフト)やファイアウォールなどを適切に設定してセキュリティを確保します。

Patch Manager Plus のセキュリティ設定

セキュリティに関する推奨事項

Patch Manager Plus オンプレミス版をご利用いただく上で、以下の点をご確認ください。

  • Patch Manager Plus を、日本国内向けリリースの最新ビルドへアップグレードします。
    日本国内向けリリースビルドは、日本語で利用可能なリリースビルドをご覧ください。新ビルドリリース時、ナレッジベース上にて「リリースノート」「アップグレード手順」を公開するほか、ご契約者様向けにメールにてお知らせしております。

    ポップアップ通知にご注意ください

    上の例のようなポップアップ通知がコンソール画面上に表示されることがあります。この通知でお知らせする内容は、日本国内向けのリリースビルドではありません。また、Administrator権限のあるユーザーに対してこの通知を無効化することができません。
    日本国内向けにリリースされているビルド以外へのアップグレードはお止めください。仕様が一部異なることから、未知の不具合や日本語表示に起因する問題が発生する可能性があります。

  • Patch Manager Plus サーバー(Patch Manager Plusがインストールされている Windows Server)へのログインを許可するユーザーを最小限にします。
     
  • 適切なファイアウォールとアンチウイルスソフトウェアを使用し、パターンファイルを最新の状態に保ちます。また、ファイアウォールやアンチウイルスソフトからのアラートを受信できるようにします。
  • 未使用のアカウントを削除します。
    • Patch Manager Plusサーバー(Patch Manager PlusがインストールされたWindows Server)から、未使用のユーザーアカウントを無効化または削除します。
    • (MS SQLを使用している場合) MS SQLサーバーから、未使用のアカウントを削除します。
    • Patch Manager Plusの製品コンソールから、未使用の製品ユーザーを削除します。
  • 他のサードパーティソフトウェアが含まれていない専用マシンに配信サーバーをインストールします。
     
  • Patch Manager Plus サーバーにパッチを適用し、システムを最新の状態に保ちます。
    Patch Manager Plusサーバー自体のパッチ管理について
    Patch Manager PlusがインストールされたWindows Serverに対しても、エージェントをインストール可能です。
    そのためPatch Manager Plusで通常のエージェント端末と同様のパッチ管理ができます(なお、再起動の実施タイミングにご注意ください)。
  • セキュリティ上の重大な情報を受信するため、メールアドレスを登録します。
    Patch Manager Plus 10.1.3137.11 以降に導入されたセキュリティ通知メール設定に、管理者のメールアドレスを入力/更新します。(重大な情報があった際、開発元からの情報をお知らせします)

これ以外にも、セキュリティ強化ガイドラインをご確認ください。

 

セキュリティ設定ページの各項目とセキュリティスコア

コンソール画面上にセキュリティスコアが表示される場合があります。これは、管理タブ > セキュリティ設定 > セキュリティ設定 における設定項目の達成率をもとに表示しています。
管理タブ > セキュリティ設定 > セキュリティ設定 の各項目は以下の通りです。

Basic(基本設定)

  • Emergency Mitigationサービス:
    Emergency Mitigations(緊急のセキュリティ修正)を自動適用を有効化している場合、達成と表示されます。
     
  • Patch Manager Plus サーバーは最新のサービスパックです:
    Patch Manager Plus を日本国内向けの最新ビルドにアップグレードしている場合、達成と表示されます。
     
  • 個別のセキュリティ設定:
    [構成]をクリックしてセキュリティ情報通知用のメールアドレスを登録することで、達成と表示されます。
     
  • 安全なユーザーアクセス:
    以下の項目を有効化することで、それぞれの項目が達成と表示されます。

    • Patch Manager Plusへのログイン時の二段階認証を有効化します。
    • コンソール画面にアクセスするコンピューターとPatch Manager Plusサーバー間の通信におけるhttpsを有効化します(Patch Manager Plus 10.1.2220.16 以降において必須化)。
    • デフォルトのユーザー名を変更します。

     

  • エージェントセキュリティの設定:
    以下の項目を有効化することで、それぞれの項目が達成と表示されます。

    • エージェント・配信サーバー・サーバー間の通信においてhttpsを有効化します。
    • インターネット回線経由でコンピューターを管理する場合、DMZにセキュアゲートウェイサーバーを設置します。

     

Advanced(拡張設定)

  • エージェントとサーバーの安全な通信:
    以下の項目を有効化することで、それぞれの項目が達成と表示されます。

    • エージェント・サーバー間の通信で証明書認証を有効化します(ただし、プロキシサーバーのある環境では利用できません)
    • 信頼された認証機関にて発行されたSSL証明書をPatch Manager Plusサーバーにインポート後、サーバーを再起動してHTTPS通信を有効化します。
    • 信頼された認証機関にて発行されたSSL証明書をPatch Manager Plusサーバーにインポートをします。
    • 古いバージョンのTLSを無効化します。

     

  • 安全なローミングエージェントの通信:
    以下の項目を有効化することで、それぞれの項目が達成と表示されます。

    • インターネット回線経由で通信する管理対象コンピューターがある場合、DMZにセキュアゲートウェイサーバーを設置します。

 

セキュリティ強化ガイドラインについて

セキュリティ強化のため、以下の設定を推奨しております。

  • 既定の管理者アカウントを削除する
    デフォルトのログインユーザー名を変更(または、デフォルトのログインユーザーを削除)します。管理タブ > グローバル設定 > ユーザー管理 を開きます。
    (ライセンスのユーザーが1名の場合はユーザー名の変更が可能です。ライセンスのユーザーが複数名の場合はユーザー名変更ができませんので、ユーザーを削除し新規ユーザーとして作成します。)
     
  • セキュアログインを有効にする(HTTPS)を有効化する
    上記設定をご確認ください。
     
  • サードパーティの信頼できる証明書をインポートして使用する
     
  • 二段階認証の強制を有効化する・パスワードポリシーを設定する
     
  • ユーザーによるPatch Manager Plusエージェントのサービス停止・アンインストールを制限する
     
  • エージェントとサーバーの通信の安全性を確保する
    • LANエージェントの安全な通信(HTTPS)を有効化する
    • WANエージェントの安全な通信(HTTPS)を有効化する
    • TLS 1.0, 1.1 を無効化する
    • インターネット回線経由でのPC管理をする場合、セキュアゲートウェイサーバーを使用する
  • パッチ管理機能のセキュリティを強化する
    • (Red Hatを管理している場合)改ざんされたファイルの配布を回避するため、指定システム(Nominated System)のルート権限をもつユーザーを必要最低限にします。
    • (Linuxを管理している場合)悪意のあるパッケージURLの配布を回避するため、管理対象Linuxのルート権限を持つユーザーを必要最低限にします。
    • パッチのアップロード機能を使用する際は、アップロードするファイルに対してアンチウイルスソフト等のセキュリティスキャンを実行して、ファイルに問題がないか事前に確認します。
  • 構成機能のセキュリティを強化する
    カスタムスクリプト機能を使用する場合、スクリプトをアップロードする前に、アップロードするファイルに対してアンチウイルスソフト等のセキュリティスキャンを実行して、ファイルに問題がないか事前に確認します。
     
  • Patch Manager Plusサーバーの機能のセキュリティを強化する
    • バックアップ設定において、バックアップファイルの暗号化を有効にします。また、通知を有効化します。
    • 管理タブ > セキュリティ設定 > エクスポート設定を設定します。
    • コンソール画面右上のユーザーアイコン > カスタマイズ > セッションの有効期限 を、可能な限り最小にして、セッションタイムアウト時間をなるべく短く設定します。
    • コンソール画面右上のユーザーアイコン > アクティブなセッション を開き、現在使用していない古いセッションを閉じます。
    • 配信サーバーをインターネット回線側から容易にアクセス可能な場所に設置しないようにします。
    • Patch Manager Plusサーバーのレジストリとログをお問い合わせ以外で共有しないようにします。
Patch Manager Plusの脆弱性に関する情報

Patch Manager Plusの脆弱性に関する情報につきましては、脅威度の高いものについて、緊急パッチを英語版ナレッジベースにて公開しております。
また、セキュリティ設定 > Data Breach Notification にご登録いただいたお客様に対して、脅威度の高い場合に通知(英語)をお送りしております。

脆弱性の内容および対処方法について「既知の問題」および「セキュリティ/脆弱性情報」に掲載し、さらに特に脅威度が高く影響範囲が大きいと思われる問題につきましては、保守サポート契約中のお客様にご連絡を差し上げております。

Patch Manager Plusを含む ManageEngine製品の脆弱性情報について、一覧表示するSecurity Advisoryが公開されています。Product列に製品名を入力してご覧ください。
なお、グローバル本社のSecurity Response Centerが脆弱性を監視・対応しています。

このナレッジの総閲覧回数: 1,082

関連ナレッジ

  1. TLS1.0/1.1の無効化
  2. Apache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)の影響
  3. 【最新ビルドで修正済み】Patch Manager Plusの脆弱性(CVE-2022-47966)について
  4. 10.0.392以前のビルドのパッチDB同期サポート終了について

タグ: