システムステータスポリシー
この記事では、パッチ管理機能におけるシステムステータスポリシーについて説明します。
システムステータスポリシー
Patch Manager Plusは、パッチDB同期による最新のパッチ情報に基づいてパッチスキャンを実行し、欠落パッチを検出します。ベンダーが指定するパッチの重要度(深刻度)と、管理対象PCにおける重要度別の欠落パッチ総数にもとづいて管理対象PCを「正常」「脆弱」「非常に脆弱」の3つのカテゴリーに分類し、ネットワーク内のシステムの健全性を分かりやすく表示します。これをシステムステータスポリシー(System Health Policy)と呼びます。
ただし、欠落パッチのうちステータスが「拒否済み」と設定されているパッチについては、分類の際の計算から除外され、ポリシーの対象から除外されます。
システムステータスポリシーは、 ホームタブ(ダッシュボード) におけるグラフや、 システムタブ における「正常なシステム」「脆弱なシステム」「非常に脆弱なシステム」の分類において使用されます。社内のパッチ管理基準にシステムステータスポリシーを合わせて設定することで、管理対象PCが基準を満たしているか簡単に確認できるようになります。
システムステータスポリシーの設定/変更方法
システムステータスポリシーを設定/変更する手順は以下の通りです。
- システムタブ > システムステータスポリシー (または 管理タブ > パッチ設定 > システムステータスポリシー) をクリックして開きます。
- システム分類設定において「非常に脆弱」および「脆弱」に分類するための条件を指定します。
- 「非常に脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。
それぞれの区分には、次の「脆弱なシステム」のそれぞれの区分で指定する値よりも大きな値を入力するか、または「0」を入力します。「0」を指定した区分は「非常に脆弱なシステム」の判定条件から除外され、「1」以上の値を指定した区分のみが考慮されます。 - 「脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。「0」を指定した区分は「脆弱なシステム」の判定条件から除外され、「1」以上の値を指定した区分のみが考慮されます。
- 分類条件にサードパーティ製品の欠落パッチを考慮したくない(OSの欠落パッチのみで分類したい)場合は、「すべてのサードパーティパッチを除外する」にチェックを入れます。
OSのパッチと特定のサードパーティ製品のパッチのみで分類したい場合は、「すべてのサードパーティパッチを除外する」にチェックを入れ、考慮したいアプリケーションを例外に入力します。
- 「非常に脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。
- 保存をクリックします。
以上でシステムステータスポリシーの設定/変更が可能になります。
欠落パッチのうちステータスが「拒否済み」と設定されているパッチについては、分類の際の計算で除外されます。
デフォルトでは、「非常に脆弱」の分類条件は 重大:1つ以上/重要:1つ以上/中:0(=考慮しない)/低:0(=考慮しない)、「脆弱」の分類条件は重大:0(=考慮しない)/重要:0(=考慮しない)/中:1個以上/低:1個以上 となっていますが、この条件を満たせば管理対象PCが安全であることを示すものではありません。かならず組織ごとの方針や基準に基づき、システムステータスポリシーの分類基準をカスタマイズしてご使用ください。
デフォルトでは、「非常に脆弱」の分類条件は 重大:1つ以上/重要:1つ以上/中:0(=考慮しない)/低:0(=考慮しない)、「脆弱」の分類条件は重大:0(=考慮しない)/重要:0(=考慮しない)/中:1個以上/低:1個以上 となっていますが、この条件を満たせば管理対象PCが安全であることを示すものではありません。かならず組織ごとの方針や基準に基づき、システムステータスポリシーの分類基準をカスタマイズしてご使用ください。