CVE の更新の自動発行
必要に応じて、定期的にではなく、1回だけ手動で CVE をインポートし、関連付けられた更新を発行できます。
概要
共通脆弱性識別子 (CVE) リストは、確認済みのサイバーセキュリティ脅威に関する公開された参考資料です。 このリストは MITRE Corporation (mitre.org) によって管理され、新しい脆弱性が検出されると継続的に変更されます。 組織が CVE リストを使用する場合、リストで特定された脅威からコンピュータを保護するために発行する必要がある更新を正確に判断するのは難しいことがあります。
Patch for Configuration Manager では、このプロセスが簡素化されます。自動的に次の処理を繰り返し実行するスケジュールされたタスクを作成できます。
- 1つ以上の CVE ファイルを含むフォルダのスキャン
- 各 CVE に関連する更新の決定
- CVE に対応するパッチの発行
各コンソールで複数の CVE タスクをスケジュールできます。 複数のタスクをスケジュールする理由としては、異なる CVE のセットに対して異なる頻度を定義することがあります。 異なるソフトウェア更新グループに対して異なる更新を発行することもできます。 特定の時点で設定できる繰り返しスケジュールされたタスクの数には理論的な上限がありませんが、サイトに合わせて業務上の条件を決定できます。
- Configuration Manager ソフトウェア ライブラリ ワークスペース内で、[ソフトウェア更新] > [Ivanti パッチ] フォルダを展開し、[自動化スケジューラ] をクリックします。
- すべてのコンソールのスケジュール済みタスクを示すカレンダーが表示されます。 次のことができます。
- スケジュールされたタスクを編集する。目的のタスクをダブルクリックするか、右クリック メニューを使うか、または選択して [編集] をクリックします。
- タスクの履歴を表示する。右クリック メニューを使うか、またはタスクを選択して [履歴] をクリックします。
- タスクを削除する。右クリック メニューを使うか、またはタスクを選択して [削除] をクリックします。
ヒント: Microsoft Task Scheduler を使用してスケジュールされたタスクを管理することもできます。
- [ホーム] タブで、[CVE で発行] をクリックします。
[CVE で更新を発行] ダイアログが表示されます。 - このタスクの目的を一意に識別する名前を指定します。
この名前は自動化スケジューラ カレンダーにも表示されます。 - CVE ソース フォルダへのパスを指定します。
これは CVE ファイルがあるフォルダです。 このフォルダのすべてのファイルはスキャンされ、CVE があるかどうかが確認されます。 このファイルは .txt、.xml、.csv などの対応する表形式にすることができます。 重複する CVE は無視されます。このフィールドに入力する完全パス名は、UNC パスでなければなりません。
例: セキュリティ チームは毎月脆弱性スキャン ツールを使用して、最新の CVE リストを作成できます。 毎月、新しく生成された CVE ファイルをこのフォルダに移動すると、自動プロセスでそれを取得できます。
- タスクを実行するタイミングと、そのタスクで実行する処理を指定します。
- スケジュール: タスクが実行される日時を指定します。 Microsoft の Patch Tuesday など定期的な毎月のイベントと連動してタスクをスケジュールするというオプションがあります。 たとえば、Patch Tuesday の翌日に発行が行われるようにするには、[第2火曜日] を指定し、[遅れ (日) を追加] オプションを使用してタスクを1日遅らせることができます。
[遅れ (日) を追加] オプションを使用してスケジュールしたタスクは、12ヶ月間実行されます。その後は、再スケジュールが必要です。タスクの期限まで残り3ヶ月になると、アラートが生成され、認証資格情報を入力してタスクを再スケジュールするよう指示が出されます。 認証資格情報を入力すると、[遅れ (日) を追加] オプションを使用しているすべてのタスクが再スケジュールされて、さらに12ヶ月実行されるようになります。
- ログイン ユーザ:有効にすると、現在ログインしているユーザの認証資格情報を使用して、発行タスクを Microsoft Scheduler に追加します。 [ユーザ] ボックスは自動的に入力されるため、アカウント パスワードだけを入力する必要があります。
- 別のユーザ:有効にすると、Microsoft Scheduler に発行タスクを追加するときに、別のユーザ アカウントを使用します。 たとえば、パスワードの有効期限が設定されていないサービス アカウントを指定できます。
アカウントは次の条件を満たしている必要があります。
- バッチ ジョブとしてログイン権限がある
- WSUS サーバの WSUS 管理者グループのメンバーである
- WSUS サーバがリモートの場合は、WSUS サーバのローカル管理者グループのメンバーである
別のユーザを指定する場合、プロキシ サーバで認証するために認証資格情報が必要かどうかを指定する必要があります。
- プロキシ認証が必要 (これらの認証資格情報を使用する):有効にすると、ユーザ アカウントを使用する際に、プロキシ サーバ認証資格情報が必要です。 [上と同じ] を選択する場合は、プロキシ認証資格情報として、ユーザ アカウント認証資格情報が使用されます。[次の認証資格情報] を選択すると、別のプロキシ認証資格情報を指定できます。
- ユーザ名:プロキシ サーバのアカウントのユーザ名を入力します。 ユーザ名の一部としてドメインを指定しなければならない場合があります (例: mydomain\my.name)。
- パスワード:プロキシ サーバ アカウントのパスワードを入力します。
- スケジュールされたタスクをオフラインで実行する:有効にすると、スケジュールされた発行タスクがオフライン モードで実行されます。 つまり、コンソールでは、選択した更新ファイルのダウンロードが試行されません。 発行タスクを正常に実行するには、更新はすでにローカル ソース フォルダにある必要があります。
[オフライン オプション] タブで [オフラインで実行する] を有効にすると、このチェックボックスが自動的にオンになります。
- カタログのすべてのメタデータ更新を許可する:以前に発行された更新で利用可能なメタデータ リビジョンを使用して、WSUS を自動的に更新する場合は、このチェック ボックスをオンにします。
- 更新の同期: Configuration Manager で WSUS データベースとの同期を自動でタスクの一部として実行する場合は、チェックボックスを有効にします。 これにより、増分同期が実行されます。 このチェックボックスを有効にしない場合は、発行した更新は定期による同期までは配布で利用できません。 また、同期を開始するには、[ホーム] タブを選択し、[ソフトウェア更新の同期] をクリックします。
- メタデータのみを発行する:有効な場合、更新の検出ロジックが発行されますが、実際のソフトウェア更新バイナリは発行されません。 クライアントで更新が必要かどうかを検出し、更新がインストールできないことを確認する場合に、このオプションを使用できます。 これはごく一部のシナリオとサーバ構成でのみ有効です。
メタデータのみとして発行された更新を編集する場合は、元の更新が削除され、編集された更新がメタデータのみとして再発行されます。 つまり、これらの更新のリビジョン番号は常に1です。 メタデータのみとして発行された更新には、署名するコンテンツがないため、再署名できません。 再署名しようとすると、ログファイルに警告メッセージが表示されます。
- ソフトウェア更新グループ オプション: Configuration Manager では、ソフトウェア更新グループを使用して、ソフトウェア更新の整理と配布を行うことができます。 Patch for Configuration Manager を使用して発行された更新は、新規または既存のソフトウェア更新グループに自動的に追加できます。
次のオプションのいずれかを選択できます。
- 更新をソフトウェア更新グループに追加しない: スケジュールされたタスクの更新はいずれもソフトウェア更新グループに追加されません。
- すべての更新をソフトウェア更新グループに追加する: スケジュールされたタスクで指定したすべての更新がソフトウェア更新グループに追加されます。
- 新しく発行された更新のみをソフトウェア更新グループに追加する: スケジュールされたタスクで指定した新しく発行された更新のみがソフトウェア更新グループに追加されます。
次のオプションは、ソフトウェア更新グループに更新を追加する場合にのみ適用されます。
- 名前: 発行された更新を既存のソフトウェア更新グループに追加する場合は、ドロップダウンリストからグループ名を選択します。 正しいグループが表示されるまで、名前の最初の数文字を入力することもできます。 新しいグループを指定する場合は、ドロップダウンリストから [新規] を選択し、一意のグループ名と説明を入力します。
- 説明: このフィールドは、指定されたソフトウェア更新グループの目的を説明します。 説明はグループが作成されるときに定義され、ここでは修正できません。
発行処理が完了し、同期が実行された後に、更新がソフトウェア更新グループに追加されます。
- このタスクが更新を発行するたびに新しいソフトウェア更新グループを作成する: 発行されるたびに、一意のソフトウェア更新グループが作成されます。 グループには、タスク名と発行日時に基づいた名前が付けられます。
- 配布オプション: この領域には、発行された更新が Patch for Configuration Manager によって迅速にエンドポイントに配布されるようにするためのオプションがあります。 配布と同時に、更新をエンドポイントですぐに利用できるようになります。 配布の詳細については、「合理化されたサードパーティ更新の配布」をご参照ください。
- 発行後に更新を配布する: 配布オプションを指定する場合は、このチェック ボックスをオンにします。 このチェックボックスを選択できるようにするには、[発行オプション] セクションで [更新を同期する] オプションを有効にし、かつ、更新をソフトウェア更新グループに追加することを選ぶ必要があります。
- 配布プロファイル: 選択した更新を配布するときに使用される配布プロファイル。
- 配布パッケージ: 配布を段階的に実行する場合を指定します。 Configuration Manager は配布パッケージを使用して、コンテンツを配布ポイントに移動します。その後にコンテンツがエンドポイントにプッシュされます。
- 発行後の配布期限: 配布処理が開始されなければならない特定の日時を指定できます。
- ユーザ設定に従って期限の施行を遅延する: 有効にすると、ユーザが設定した業務時間が優先され、この設定された時間外になるまで配布処理は開始しません。
- 更新でシステムの再起動が必要になった後に更新配布評価サイクルを実行する: 有効にすると、再起動が必要な更新を配布した後、再起動が完了した後に、不足している更新がないかの評価をクライアントがもう一度実行します。
- 次の更新のみを発行:繰り返し発行する CVE 関連の更新を指定できます。 次の2つのオプションのいずれかまたは両方を選択できます。
- エンドポイントにインストールされた製品に適用する: 有効にすると、現在クライアント コンピュータにインストールされている製品に適用される更新のみが発行されます。
- このフィルタと一致: 定義済みのフィルタ *最新の未発行または任意のカスタム フィルタを選択できます。
例 1:未発行で置き換えられていない更新をすべて発行する場合は、*最新の未発行を選択します。 これによって、新規発行された更新を簡単に自動で定期発行できます。
例 2:法人内で使用する製品の重要な未発行の更新を識別するカスタマイズされたフィルタ条件を作成していることが必要です。 条件フィルタを選択し、定期発行を行います。
更新に異なる言語に対応した複数のパッケージがある場合、[言語] タブで指定した言語バージョンだけが更新されます。
- スケジュール: タスクが実行される日時を指定します。 Microsoft の Patch Tuesday など定期的な毎月のイベントと連動してタスクをスケジュールするというオプションがあります。 たとえば、Patch Tuesday の翌日に発行が行われるようにするには、[第2火曜日] を指定し、[遅れ (日) を追加] オプションを使用してタスクを1日遅らせることができます。
- [タスクの追加] をクリックします。
- 自動化スケジューラ カレンダーを確認し、タスクが正しい日時にスケジュールされていることを確認します。
- (オプション) Configuration Manager ログ追跡ツールで、AutoPublish.log ファイルを開き、発行状況の監視を行うことができます。
AutoPublish.log は、WSUS に発行される一回または繰り返しスケジュール ジョブによって書き込まれます。 ログは、\Users\<user name>\Ivanti\Patch ディレクトリにあります。