エージェントレス環境におけるパッチ適用のためのベスト アプローチ
パッチ管理は長々とした退屈な作業です。 このトピックは、コンピュータへの配布量を軽減して、作業がより効率的になるようにすることを目的としています。
コンピュータのパッチ レベルを維持するための最適な取り組みの順序は、製品レベルから開始することです。 製品レベルは、深く関与します。 ベンダが推奨するのは、製品レベルを一度に1つずつインストールするというもので、大抵はその後に再起動が必要になり、他のパッチまたは製品レベルがあればその後に適用します。 Ivanti では、製品レベルのインストールが一度に1つのみ許可されるようにすることで、この推奨事項を Security Controls でプログラマチックに強制しています。
詳細な処理方針
最適な処理方針は一般に次のようなものです。
- オペレーティング システムの任意の製品レベルで開始します。
組織全体に配布する前に、製品レベルを十分にテストしてください。 製品レベルを配布した後、ターゲット コンピュータを再起動してから、フレッシュ スキャンを実行する必要があります。 再スキャンによりコンピュータの新しい状態が得られることで、引き続き製品レベルの適用を行えます。 - Office、Visio、SQL といった主要製品に製品レベルを適用します。
順番は問題ではありませんが、主要製品レベルごとに再起動することをお勧めします。 よくあることではありませんが、こうした製品レベルによってコンピュータの状態がかなり変わる場合もあります。 - MSXML、.Net、MDAC といった製品に、残りのすべての製品レベルを配布します。
これらは個別の配布でプッシュする必要がありますが、この場合の配布は、再起動なしで、十分な間隔をあけてずらして実施し、すべてが適用された後で再起動できます。 - すべての製品レベルが配布され、ターゲット コンピュータが再起動されたら、不足している Microsoft オペレーティング システム パッチがあれば配布して、再起動を実行します。
- Office、Internet Explorer など、他の不足している Microsoft パッチがあれば配布し、 必要に応じて再起動します。
- サードパーティのパッチがあれば適用し、必要に応じて再起動します。
- 再スキャンして、すべてが適用されたことを確認します。
メモ: オペレーティング システムの製品レベルが新しくなると、コンピュータの状態が変わり、新しい製品レベルがリリースされる前に適用されたパッチのロールバックができなくなる場合があります。
上記手順は、複数のメンテナンス期間にまたがる場合があります。 1つのメンテナンス期間で上記すべての手順を実行できない場合は、次のメンテナンス期間までにセキュリティ上の脆弱性が生じることのないように、各手順完了後にパッチ配布を行ってください。
ヒント: 上記手順を、コンピュータの構築ポリシーに組み込んでください。そうすることで、コンピュータをできるだけ最新の状態で稼働させることができます。 コンピュータを維持する作業は、製品レベルやパッチが何ヶ月分もたまってしまってから遅れを取り戻す作業に比べれば、はるかに楽です。 .