15.3.5 Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定
JP1/IT Desktop Management 2 - Managerは、Windowsの累積的な更新プログラムまたはセキュリティマンスリー品質ロールアップ(ロールアップ更新プログラム)の適用状況を、次に示す方法で判定できます。
- Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定期限
-
Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定期限を設けて、判定期限以降はセキュリティ判定をしません。
- 未知の更新プログラムのセキュリティ判定
-
サポートサービスサイトの更新プログラム情報に存在しない、未知の更新プログラム※が適用されている場合は、最新の更新プログラムが適用されていると判定します。
注※ 未知の更新プログラムは、分類がセキュリティ問題の修正プログラムだけです。
- 猶予期間を考慮した更新プログラムのセキュリティ判定
-
新しい更新プログラムが公開されてから更新プログラムの適用が完了するまでの期間を猶予期間として設定する場合、猶予期間中であれば、適用されているロールアップ更新プログラムが最新でなくとも、未適用と判定しません。
- 重要
-
猶予期間を考慮した更新プログラムのセキュリティ判定は、未知の更新プログラムのセキュリティ判定と同時に使用する必要があります。
- 重要
-
未知の更新プログラムのセキュリティ判定を使用する場合、Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定期限は使用できません。
- 重要
-
Windowsの累積的な更新プログラムまたはセキュリティマンスリー品質ロールアップの判定期限を使用する場合、未知の更新プログラムのセキュリティ判定は使用できません。
- 重要
-
管理対象のコンピュータにインストールされているJP1/IT Desktop Management 2 - Agentのバージョンが12-00より前の場合、このコンピュータに対して未知の更新プログラムのセキュリティ判定を使用する設定をしても、この設定は無効として動作します。
また、Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定期限も無効として扱われます。
- 重要
-
ロールアップ更新プログラムが日本マイクロソフト社からリリースされてから、最新の更新プログラムの情報がサポートサービスサイトに登録されるまでの間は、コンピュータに自動でロールアップ更新プログラムを配布できません。ロールアップ更新プログラムを配布する場合は、手動で配布してください。
- ヒント
-
ロールアップ更新プログラムを手動で登録した場合は、このセキュリティ判定の対象のロールアップ更新プログラムとしては扱わず、通常の更新プログラムとして扱います。
- 〈この項の構成〉
(1) Windowsの累積的な更新プログラムおよびセキュリティマンスリー品質ロールアップの判定期限
Windowsに累積的な更新プログラムまたはセキュリティマンスリー品質ロールアップ(月例ロールアップ)をインストールすると、Windowsから先月分の月例ロールアップが削除されます。通常、JP1/IT Desktop Management 2 - Managerは判定対象の月例ロールアップが管理対象機器にインストールされていない場合、セキュリティ判定の結果を「危険」と判定します。ただし、月例ロールアップについては削除されることがあるため、JP1/IT Desktop Management 2 - Managerは、月例ロールアップの判定期限を設けて判定期限以降はセキュリティ判定をしません。
2017年の4月と5月を例にして説明します。マイクロソフト社から月例ロールアップがリリースされるのは毎月第二火曜日(米国時間)のため、2017年4月は11日にリリースされています。サポートサービスサイトでは、4月下旬にパッチ情報ファイルを公開し、JP1/IT Desktop Management 2 - Managerに取り込むことでセキュリティ判定を開始します。5月にマイクロソフト社から月例ロールアップがリリースされるのは、9日です。JP1/IT Desktop Management 2 - Managerは、5月9日以降は4月分の月例ロールアップを判定対象外とします。
判定期限を変更するには、コンフィグレーションファイル(jdn_manager_config.conf)を編集する必要があります。
月例ロールアップの判定期限を変更する手順を次に示します。
-
コンフィグレーションファイルに設定を追加します。
コンフィグレーションファイル(jdn_manager_config.conf)の格納先は次のとおりです。
JP1/IT Desktop Management 2のインストール先フォルダ\mgr\conf
-
JP1/IT Desktop Management 2のサービスを再起動します。
コンフィグレーションファイルで設定する定義を次の表に示します。
プロパティ |
説明 |
設定値 |
デフォルト |
---|---|---|---|
RollUpPatch_ExpirationDate |
月例ロールアップの判定期限の設定 設定値の日以降は月例ロールアップのセキュリティ判定をしなくなります。設定値は米国東部標準時間で解釈されます。 |
「第何週,曜日」のフォーマットまたは0を指定します。第何週には1〜5を指定します。曜日には1〜7を指定します。曜日の値の意味を次に示します。 1:日曜日 2:月曜日 3:火曜日 4:水曜日 5:木曜日 6:金曜日 7:土曜日 0を指定した場合は判定期限を設けません。 |
2,3 (第二火曜日) |
例えば、設定値を「3,1」(第三日曜日)に設定した場合、2017年5月では21日が判定期限になります。
(2) 未知の更新プログラムのセキュリティ判定
未知の更新プログラム※のセキュリティ判定を使用すると、JP1/IT Desktop Management 2 - Managerは、サポートサービスサイトの更新プログラム情報に存在しない、未知のロールアップ更新プログラムが適用されている管理対象のコンピュータについてもセキュリティ判定します。
注※ 未知の更新プログラムは、分類がセキュリティ問題の修正プログラムだけです。
未知の更新プログラムのセキュリティ判定を使用する場合は、設定画面の[セキュリティ管理]−[更新プログラムのセキュリティ判定の設定]画面で、[未対応のマンスリー品質ロールアップと累積更新プログラムもセキュリティ判定の対象とする]をチェックします。
サポートサービスサイトの更新プログラム情報よりも新しいロールアップ更新プログラムがコンピュータにインストールされている場合、このロールアップ更新プログラムは未知のロールアップ更新プログラムとして扱います。更新されたサポートサービスの更新プログラム情報がJP1/IT Desktop Management 2 - Managerに反映されるまでは、サポートサービスの更新プログラム情報に登録されている最新のロールアップ更新プログラムまたは未知のロールアップ更新プログラムのどちらかが適用されていれば、最新のロールアップ更新プログラムが適用されていると判定します。
一方で、サポートサービスサイトの更新プログラム情報に登録されている最新のロールアップ更新プログラムよりも古いロールアップ更新プログラムが適用されていれば、最新のロールアップ更新プログラムが未適用であると判定します。
ロールアップ更新プログラムの手動登録ファイル
ロールアップ更新プログラムに重要な問題があるため、対策版のロールアップ更新プログラムが公開される場合があります。この更新プログラムの情報を、次に示すロールアップ更新プログラムの手動登録ファイルに追加すると、JP1/IT Desktop Management 2で更新プログラムの判定ができます。
JP1/IT Desktop Management 2のインストール先フォルダ¥mgr¥conf¥jdn_manager_security_patch.properties
ロールアップ更新プログラムの手動登録ファイルの仕様を次の表に示します。
項目 |
説明 |
---|---|
ファイル形式 |
項目を「,」(コンマ)で区切る形式 |
文字コード |
UTF-8(BOMなし) |
ロールアップ更新プログラムの手動登録ファイルの内容は次の規則に従って処理されます。
-
先頭および後方のスペースおよびタブは無視する。
-
1文字目が「#」の場合、コメントとして無視する。
ロールアップ更新プログラムの手動登録ファイルの記述形式を次の表に示します。
列 |
項目 |
必須/不要 |
説明 |
入力できる値 |
---|---|---|---|---|
1列目 |
種別 |
必須 |
replaceを指定します。 |
|
2列目 |
問題のあるロールアップ更新プログラムの文書番号 |
必須 |
問題のあるロールアップ更新プログラムの文書番号を指定します。 |
1桁から10桁までの数字 |
3列目 |
対策版のロールアップ更新プログラムの文書番号 |
必須 |
対策版のロールアップ更新プログラムの文書番号を指定します。 |
1桁から10桁までの数字 |
4列目 |
対策版のロールアップ更新プログラムの公開日 |
必須 |
対策版のロールアップ更新プログラムの公開日を指定します。 公開日は、日本マイクロソフト社のサポート技術情報に表示されている、米国時間のリリース日(Release Date)です。 |
YYYY/MM/DD(YYYY:年、MM:月、DD:日)の形式 |
5列目 |
除外設定 |
任意 |
問題のあるロールアップ更新プログラムが適用されている場合に、JP1/IT Desktop Management 2で未適用と判定するかどうかを指定します。 |
|
- 重要
-
-
ロールアップ更新プログラムの手動登録ファイルのフォーマットおよび記述形式に不正がある場合、その行を無視します。
-
「問題のあるロールアップ更新プログラムの文書番号」がサポートサービスサイトの更新プログラム情報に存在する場合だけ有効です。
-
「問題のあるロールアップ更新プログラムの文書番号」が同じ行を複数記述している場合、最初の行だけが有効です。
-
「対策版のロールアップ更新プログラムの文書番号」がサポートサービスサイトの更新プログラム情報にすでに存在する場合、次のように動作します。
-
「除外設定」に1を指定した場合、問題のあるロールアップ更新プログラムを判定除外とします。
-
「対策版のロールアップ更新プログラムの公開日」は変更しません。
-
問題のあるロールアップ更新プログラムが最新のロールアップ更新プログラムと一致し、その対策版のロールアップ更新プログラムが過去のロールアップ更新プログラムと一致する場合は、記述形式が不正としてその行を無視します。
-
-
ロールアップ更新プログラムの手動登録ファイルの記述例を次に示します。
replace,123456,55555,2018/01/04 replace,55555,22222,2018/06/07,1 replace, 987654,1543566,2018/07/01,0
(3) 猶予期間を考慮した更新プログラムのセキュリティ判定
更新プログラムの適用にはある程度の期間が必要です。この期間を猶予期間として、セキュリティ判定をすることもできます。猶予期間とは、ロールアップ更新プログラムが日本マイクロソフト社から公開されてから、適用が完了するまでの期間のことです。
猶予期間を設定すると、期間中であれば適用されているロールアップ更新プログラムが最新でない場合でも、最新のロールアップ更新プログラムが未適用と判定されなくなります。
猶予期間は、設定画面の[セキュリティ管理]−[更新プログラムのセキュリティ判定の設定]画面で、[未対応のマンスリー品質ロールアップと累積更新プログラムもセキュリティ判定の対象とする]をチェックし、さらに[更新プログラムのセキュリティ状態の判定の猶予期間を設定する]をチェックします。また、[猶予期間]を1日から180日の範囲で指定します。初期値は7日です。
- 重要
-
更新プログラム適用の猶予期間を設定するには、未知の更新プログラムのセキュリティ判定を使用する必要があります。
- 重要
-
猶予期間を設定した場合、未適用となる更新プログラムは、最新のロールアップ更新プログラムです。