システムステータスポリシー
作成日:2022年9月26日 | 更新日:2024年3月8日
この記事では、システムステータスポリシーについて説明します。
システムステータスポリシー
システムステータスポリシーとは
Patch Manager Plusは、パッチDB同期による最新のパッチ情報に基づいてパッチスキャンを実行し、「欠落パッチ」を検出します。ベンダーが指定するパッチの重要度(深刻度)と、管理対象PCにおける重要度別の欠落パッチ総数にもとづいて管理対象PCを「正常」「脆弱」「非常に脆弱」の3つのカテゴリーに分類し、ネットワーク内のシステムの健全性を分かりやすく表示します。これをシステムステータスポリシー(System Health Policy)と呼びます。
ただし、欠落パッチのうちステータスが「拒否済み」と設定されているパッチについては、分類の際の計算から除外され、ポリシーの対象から除外されます。
システムステータスポリシーは、ホームタブ(ダッシュボード) におけるグラフや、システムタブにおける「正常なシステム」「脆弱なシステム」「非常に脆弱なシステム」の分類の基準となります。
組織のパッチ管理基準を設定し、その基準に合わせてシステムステータスポリシーを設定することで、管理対象PCが基準を満たしているか簡単に確認できるようになります。
組織のパッチ管理基準を設定し、その基準に合わせてシステムステータスポリシーを設定することで、管理対象PCが基準を満たしているか簡単に確認できるようになります。
システムステータスポリシーの設定/変更方法
システムステータスポリシーを設定/変更する手順は以下の通りです。
- システムタブ > システムステータスポリシー (または 管理タブ > パッチ設定 > システムステータスポリシー) をクリックして開きます。
- システム分類設定において「非常に脆弱」および「脆弱」に分類するための条件を指定します。
- 「非常に脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。
それぞれの区分には、次の「脆弱なシステム」のそれぞれの区分で指定する値よりも大きな値を入力するか、または「0」を入力します。「0」を指定した区分は「非常に脆弱なシステム」の判定条件から除外され、「1」以上の値を指定した区分のみが考慮されます。 - 「脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。「0」を指定した区分は「脆弱なシステム」の判定条件から除外され、「1」以上の値を指定した区分のみが考慮されます。
- 詳細設定:
- 承認済みパッチでのみ分類する: 未承認のパッチを判定基準から除外する場合は、「承認済みのパッチでのみ分類する」にチェックを入れます。パッチの承認済み/未承認のステータスについてはパッチテストと承認設定をご覧ください。
- すべてのサードパーティパッチを除外する: サードパーティアプリケーションの欠落パッチを判定基準から除外する(=OSの欠落パッチでのみ分類したい)場合は、「すべてのサードパーティパッチを除外する」にチェックを入れます。また、一部のアプリケーションについてのみ判定基準に入れたい場合は「例外を追加」をクリックし、考慮したいアプリケーションを例外に入力します。
- 「非常に脆弱なシステム」の分類条件となる欠落パッチ数を、重大/重要/中/低 の各区分ごとに指定します。
- 保存をクリックします。
以上でシステムステータスポリシーの設定/変更が可能になります。
欠落パッチのうちステータスが「拒否済み」と設定されているパッチについては、分類の際の計算で除外されます。パッチを拒否済みにする/解除する方法はパッチの拒否をご確認ください。
デフォルトでは、「非常に脆弱」の分類条件は 重大:1つ以上/重要:1つ以上/中:0(=考慮しない)/低:0(=考慮しない)、「脆弱」の分類条件は重大:0(=考慮しない)/重要:0(=考慮しない)/中:1個以上/低:1個以上 となっていますが、この条件を満たせば管理対象PCが安全であることを示すものではありません。かならず組織ごとの方針や基準に基づき、システムステータスポリシーの分類基準をカスタマイズしてご使用ください。
デフォルトでは、「非常に脆弱」の分類条件は 重大:1つ以上/重要:1つ以上/中:0(=考慮しない)/低:0(=考慮しない)、「脆弱」の分類条件は重大:0(=考慮しない)/重要:0(=考慮しない)/中:1個以上/低:1個以上 となっていますが、この条件を満たせば管理対象PCが安全であることを示すものではありません。かならず組織ごとの方針や基準に基づき、システムステータスポリシーの分類基準をカスタマイズしてご使用ください。