パッチ スキャン テンプレートの作成または編集

パッチ スキャン テンプレートを操作するには、次のいずれかを実行します。

  • 新しいスキャン テンプレートを作成するには、[新規] > [Windows パッチ] > [パッチ スキャン テンプレート] の順にクリックします。
  • 既存のスキャン テンプレートを編集するには、ナビゲーション ペイン[パッチ スキャン テンプレート] リストでパッチ スキャン テンプレート名をクリックします。

[パッチ スキャン テンプレート] ダイアログが表示されます。

ヒント:テンプレート作成プロセスを高速化するには、作成するテンプレートと同様の既存のテンプレートをコピーします。 コピーされたテンプレートの内容が新しい [パッチ スキャン テンプレート] ダイアログに入力され、該当する項目を修正できます。 既存のテンプレートをコピーするには、[パッチ スキャン テンプレート] リストでテンプレート名を右クリックし、[コピー] を選択します。

[パッチ スキャン テンプレート] ダイアログには複数のタブがあり、特定のスキャン テンプレートの特性を集合的に定義します。

フィールド

説明

名前

このスキャン テンプレートに割り当てる名前。

パス

このボックスを使用して、ナビゲーションペインの [パッチ スキャン テンプレート] リストにこのテンプレートがあるフォルダ パスを指定します。 パスを指定しない場合は、テンプレートは [個人パッチ スキャン テンプレート] リストのルート レベルにあります。 詳細については、「パッチ スキャン テンプレートの整理」をご参照ください。

説明

テンプレートの説明。

[フィルタリング] タブ

このタブでは 3 つのフィルタを使用できます。

  • ベンダ、ファミリ、および製品フィルタ:指定したベンダ、製品ファミリ、および製品バージョンのパッチをスキャンまたは除外します。 項目は階層リストで表示されます。 1つのレベルでチェックボックスをオンにすると、下位のレベルのすべてのチェックボックスもオンになります。 [スキャン] リストと [明示的に除外] リストの両方で同じ項目をオンにした場合、その項目は除外されます。

    • ヒント:除外する項目の数が少ない場合は、[スキャン] リストにすべての項目を追加し、[明示的に除外] リストを使用して任意の項目を除外することをお勧めします。 [明示的に除外] リストの項目は [スキャン] リストの項目よりも優先されるためです。[スキャン] リストだけを使用し、除外する項目のチェックボックスをオフにすることもできますが、この方法では時間がかかり、間違いも起こりやすくなります。

  • パッチ プロパティ フィルタ:スキャンの対象にするパッチのパッチ タイプおよびベンダ重要度レベルを指定します。 オプション:
    • セキュリティ パッチ:セキュリティ情報関連パッチ。 1 つ以上の固有の重要度レベルをスキャンするように選択できます。
      • 緊急:認証されていないリモート攻撃者によって悪用される可能性がある脆弱性、またはオペレーティング システムのゲスト/ホストの分離を壊す脆弱性。 セキュリティ上の脆弱性によって、ユーザが操作を行うことなく、ユーザ データや処理リソースの機密性、完全性、可用性が危険にさらされます。 脆弱性の悪用がさらに拡大すると、インターネット ワームが拡散したり、仮想マシンとホスト間で任意コードが実行されたりするおそれがあります。
      • 重要:ユーザ データや処理リソースの機密性、完全性、可用性が危険にさらされる脆弱性。 このような不具合によって、ローカル ユーザが権限を取得したり、認証されたリモート ユーザが任意コードを実行したり、ローカルまたはリモート ユーザが簡単にサービス妨害攻撃を実行したりできます。
      • 中:セキュリティ上の脆弱性の構成や難易度によって、悪用の可能性が大幅に低減されている不具合。 ただし、特定の配布シナリオでは、ユーザ データや処理リソースの機密性、完全性、可用性が何らかの危険にさらされる可能性が残存する場合があります。このようなタイプの脆弱性は重大または重要な影響を及ぼす可能性があります。ただし、不具合の技術的な評価に基づく限り、悪用することがそれほど容易ではないか、構成に影響する可能性が低くなっています。
      • 低:セキュリティの影響を及ぼすその他のすべての問題。 悪用することがきわめて困難であると考えられているか、悪用された場合でも最小限の影響に抑えられる脆弱性。
      • 未割り当て:セキュリティ レベルが割り当てられていないセキュリティ パッチ。
    • セキュリティ ツール:Windows Defender や Windows 悪意のあるソフトウェアの削除ツールなどのセキュリティ ツールの更新。 セキュリティ情報では完全にサポートされていない既知のセキュリティ リスクの証明書更新やホットフィックスも含まれます。
    • セキュリティ以外のパッチ:セキュリティの問題以外の既知のソフトウェアの不具合を修正するベンダ提供のパッチ。 1 つ以上の固有のベンダ重要度レベルをスキャンするように選択できます。 使用可能な重要度レベルの詳細については、「セキュリティ パッチ」をご参照ください。
    • カスタム処理 :既に完全にパッチが適用されている場合でも、カスタム処理を実行できます。 この場合には、常に検出される特定の QNumber とパッチ (QSK2745、MSST-001) をスキャンします。 このヌル パッチを修復できますが、パッチは配布されません。 プロセスによって一時ファイル Nullpatch.exe が使用されます。
  • ベースラインまたは例外フィルタ:このフィルタを使用して、対象にするパッチのベースライン セットまたは除外するパッチのセットを定義します。
    • ベースライン:パッチのベースライン セットを集合的に表すパッチ リストまたは1つ以上のパッチ グループを指定します。通常、ベースラインは企業のセキュリティ ポリシーによって決まり、コンピュータにインストールするべき最低限のパッチであると考えられます。 ベースラインは動的です。 テンプレートで1回定義するだけであっても、新しいパッチが利用可能になった時点で、継続的にパッチ リストを更新することができるためです。 ベースライン フィルタの使用例については、「自動コンソール構成の実装」をご参照ください。

      • ベンダ、ファミリ、および製品フィルタとパッチ プロパティ フィルタは、[ベースライン] が選択されている場合に使用できます。[ソフトウェア配布] タブの [ソフトウェア配布] チェックボックスも無視されます。

    • 例外:常に除外するパッチを含むパッチ リストまたは1つ以上のパッチ グループを指定します。 ベンダ、ファミリ、および製品フィルタとパッチ プロパティ フィルタは最初に適用されます。次に、ここで定義したパッチが除外されます。

      • [例外] フィルタを使用するときには注意が必要です。別のパッチを置換するパッチを除外する場合、置換済みのパッチがスキャンされます。 これは、想定していない脆弱性を回避するために、意図的に実行されます。 パッチを除外し、パッチまたは関連パッチを自動的に配布しない場合は、置換されたパッチ チェーンのすべてのパッチも除外する必要があります。

    • このフィルタを使用しない:このフィルタを無効にします。
    • ファイル:ベースラインとして使用するか、除外するパッチのリストが記述されたテキスト ファイルを指定します。 テキスト ファイルを作成するには、[新規] をクリックします。 テキスト ファイルには、各パッチに関連付けられた QNumber を、各行に 1 つずつ記述する必要があります。 サンプル テキスト ファイルについては、「自動コンソール構成の実装」をご参照ください。
    • パッチ グループ:ベースラインとして使用するか、除外するパッチが含まれる1つ以上のパッチ グループを指定します。

[全般] タブ

[ソフトウェア配布] タブ

このタブでは、Security Controls によって配布可能な無料のサードパーティ製品をスキャンするかどうかを指定できます。 [ソフトウェア配布] チェックボックスを有効にした場合、使用可能な他社製品がスキャン結果の [適用されていないパッチ] リストに表示されます。Security Controls でサポートされているサードパーティ製品の完全なリストを表示するには、縦のスクロール バーを使用します。

[ソフトウェア配布] チェックボックスをオンにすると、確認ダイアログが表示されます。これにより、目的をもってチェックボックスをオンにしていることが確認されます。誤ってサードパーティ製のアプリケーションをスキャンしたり、配布したりすることがありません。

表示される製品は、スキャンされたコンピュータで使用中のオペレーティング システム用に提供されている製品です。 特定の製品に関する報告を追加または除外する場合は、[フィルタリング] タブのベンダ、ファミリ、および製品フィルタでその製品を指定してください。

[電子メール] タブ

このタブは、コンソールから開始されるエージェントレス スキャンにのみ適用されます。このテンプレートを使用している可能性のあるエージェントには適用されません。

このタブでは、自動的に送信されるレポートとレポートの送信先を指定できます。 このテンプレートによるスキャンが完了すると、指定したレポートが送信されます。

さまざまなレポートを送信できます。 特定のレポートの内容を理解するには、リストのレポートをクリックし、リストの真下に表示される説明を確認します。

自動的に送信されるレポートとレポートの送信先を指定するには:

以下の手順を実行するためには、その前に、新規テンプレートを保存する必要があります。

  1. [レポート] リストでレポートを選択します。
  2. [レポート受信者] リストで、レポートを電子メールで送信するグループまたは個人を選択します。
  3. 自動送信するレポートごとに、手順 1 と手順 2 を繰り返します。
  4. 完了したら、[保存] をクリックします。

[使用システム] タブ

このタブには、現在このスキャン テンプレートを使用しているお気に入りとエージェント ポリシーが表示されます。 これは、影響を受けるプログラムの他の領域がわかるため、テンプレートの修正を検討している場合に重要です。