Windows OSでサポートされる、サードパーティ製品の詳細については、「パッチ管理がサポートするサードパーティ製品のリスト(62853)」を参照してください。
パッチ管理機能を使用して、以下の操作を実行できます。
注意
パッチ管理機能をWindowsアップデートと連携させるには、ワークロード上でWindowsアップデートが有効になっている必要があります。
BitoB Protectではピアツーピアテクノロジーが導入され、ネットワークの帯域幅のトラフィックが最小化されています。
インターネットからアップデートをダウンロードしてネットワーク内の他のエージェントに分配するための専用エージェントを1つ以上選択することもできます。
そうすれば、すべてのエージェントがピアツーピアエージェントとしてアップデートを共有することにもなります。
パッチ管理ワークフローには、保護計画の構成と適用、脆弱性診断スキャンの実行、パッチ設定の構成、パッチの承認、そして承認されたパッチのインストールの各ステップが含まれます。
ワークフローの具体的な手順は以下の通りです。
[監視] > [概要] > [パッチインストール履歴] ウィジェットで、パッチインストールの結果を監視できます。
保護計画のパッチ管理モジュールでは、次のパッチ管理設定を構成できます。
保護計画の作成およびパッチ管理モジュールの有効化の詳細については、保護計画の作成を参照してください。
選択したマシンにMicrosoftアップデートをインストールするには、 [Microsoft製品のアップデート] オプションを有効にします。
インストールの種類を選択します
オプション | 説明 |
---|---|
すべてのアップデート | 承認済みのアップデートをすべてインストールする場合は、このオプションを使用します。 |
セキュリティアップデートと 重要なアップデートのみ | 承認済みのセキュリティアップデートおよび重要なアップデートをすべてインストールする場合は、このオプションを使用します。 |
特定製品のアップデート (自動パッチ承認およびテスト) | 製品ごとにカスタム設定を定義する場合は、このオプションを使用します。 特定の製品をアップデートする場合は、カテゴリ、重大度、承認ステータスに基づいて、インストールするアップデートを製品ごとに定義できます。 パッチの自動テスト承認とテストを構成する場合は、このオプションを選択します。 |
選択したマシンにWindows OS向けサードパーティアップデートをインストールするには、[Windowsサードパーティ製品]オプションを有効にします。
インストールオプションを選択します。
オプション | 説明 |
---|---|
すべてのアップデート | 承認済みのアップデートをすべてインストールする場合は、このオプションを使用します。 |
メジャーアップデートのみ | 承認済みのメジャーアップデートをすべてインストールする場合は、このオプションを使用します。 |
マイナーアップデートのみ | 承認済みのマイナーアップデートをインストールする場合は、このオプションを使用します。 |
特定製品のアップデート (自動パッチ承認およびテスト) | 製品ごとにカスタム設定を定義する場合は、このオプションを使用します。 特定の製品をアップデートする場合は、カテゴリ、重大度、承認ステータスに基づいて、インストールするアップデートを製品ごとに定義できます。 パッチの自動テスト承認とテストを構成する場合は、このオプションを選択します。 |
脆弱性が検出されたアプリケーションにのみ、 最新のバージョンをインストールする | 脆弱性が検出されたアプリケーションに対してのみ最新のアップデートプログラムをインストールする場合は、このチェックボックスをオンにします。 |
選択したマシンにアップデートをインストールするスケジュールおよび条件を定義します。
フィールド | 説明 |
---|---|
次のイベントを使ってタスクの実行スケジュールを設定します | この設定は、タスクがいつ実行されるかを定義します。 次の値を使用できます。
|
スケジュールの種類 | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [時刻でスケジュール] を選択した場合に表示されます。 次の値を使用できます。
|
開始時刻 | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [時刻でスケジュール] を選択した場合に表示されます。 タスクを実行する正確な時間を選択します。 |
パッチのメンテナンス期間を構成する | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [時刻でスケジュール] を選択した場合に表示されます。 指定した時間間隔でのみパッチのインストールを実行したい場合は、この設定を選択します。 |
日付範囲内に実行 | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [時刻でスケジュール] を選択した場合に表示されます。 設定したスケジュールが有効な日付範囲を指定します。 |
ユーザーアカウントを指定し、そのアカウントがオペレーティングシステムにログインしたときにタスクを開始 | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [システムへのユーザーログイン時 ]を選択した場合に表示されます。 次の値を使用できます。
|
ユーザーアカウントを指定し、 そのアカウントがオペレーティングシステムからログアウトしたときにタスクを開始 | このフィールドは、[次のイベントを使ってタスクの実行スケジュールを設定] で [システムへのユーザーログオフ時] を選択した場合に表示されます。 次の値を使用できます。
|
開始条件 | すべての条件を定義して、同時に満たされたときにタスクを実行する条件を指定します。 マルウェア対策スキャンの開始条件は、バックアップモジュールの開始条件に類似しています。 以下のような追加の開始条件を定義できます。
注意 開始条件は、Linuxではサポートされていません。 |
アップデート後に再起動 | アップデートのインストール完了後にマシンを自動的に再起動するかどうかを定義します。 次の値を使用できます。
|
バックアップが終了するまで 再起動しない | このオプションを選択すると、バックアッププロセスが実行中の場合、バックアップが完了するまでマシンの再起動が延期されます。 |
[ソフトウェアアップデートのインストール前にバックアップを実行] - アップデートのインストール前にマシンの増分バックアップを作成します。
前にバックアップを作成していない場合は、マシンの完全バックアップが作成されます。
そうすれば、アップデートのインストールが失敗しても、直前の状態に復帰できます。
[アップデート前のバックアップ]オプションを使用するには、対応するマシンの保護計画でパッチ管理とバックアップの両方のモジュールが有効になっている必要があります。
また、バックアップする項目(マシン全体またはブートボリュームとシステムボリューム)を選択してください。
選択したバックアップ対象が正しくない場合、[アップデート前のバックアップ] オプションを有効にできません。
脆弱性診断スキャンが完了すると、[ソフトウェア管理] > [パッチ] で利用可能なパッチに関する情報を表示できます。
特定のパッチの詳細を表示するには、パッチのリストで対応するパッチをクリックします。
次の表に、この画面で表示できるパッチの情報を示します。
フィールド | 説明 |
---|---|
承認ステータス | 承認ステータスが必要になるのは主に自動承認の場合です。 パッチのステータスとして以下のいずれかを定義できます。
|
ライセンス契約 |
|
重大度 | パッチの重大度:
|
ベンダー | パッチのベンダー |
影響を受ける製品 | パッチを適用する製品 |
インストール済み | 既にインストールされている製品バージョン |
バージョン | パッチのバージョン |
カテゴリ | パッチのカテゴリ:
|
リリース日 | パッチがリリースされた日付 |
前回レポート済み | パッチが最後に報告された日付 |
最初にインストール済み | マシンにパッチが初めてインストールされた日付 |
Microsoft KB | Microsoft製品のパッチの場合は、フィールドにKBの記事のIDが表示されます |
マシン | 影響を受けたマシンの数 |
脆弱性 | 脆弱性の数。クリックすると、脆弱性のリストにリダイレクトされます。 |
サイズ | パッチの平均サイズ |
言語 | パッチでサポートされている言語 |
ベンダーサイト | ベンダーの公式サイト |
[パッチ] 画面のリストでパッチのライフタイムを設定することで、パッチのリストを最新の状態に保つことができます。
この設定では、検出された有効なパッチをパッチリスト表示する期間を定義します。
パッチは、(パッチが見つからない)すべてのマシンに正常にインストールされるか、リストの有効期間が過ぎると、リストから削除されます。
リスト内のライフタイムで、適切なオプションを選択します。
オプション | 説明 |
---|---|
無期限 | パッチは常にリストに表示されます。 |
7日間 | パッチは最初のインストールから7日後にリストから削除されます。 例えば、パッチをインストールしなければならないマシンが2台あるとします。1台はオンライン、もう1台はオフラインです。パッチを最初のマシンにインストールします。 |
30日 | パッチは最初のインストールから30日後にリストから削除されます。 |
自動パッチ承認を利用すると、マシンにアップデートをインストールするプロセスを簡略化できます。
自動パッチ承認では、手動パッチ承認プロセスによってパッチのインストールが遅延することはありません。
重要なアップデートや修正プログラムがより迅速にインストールされるため、システムの信頼性が向上します。
自動パッチ承認は、パッチの自動インストールのテストシナリオで使用できます。
テストマシンにパッチが正常にインストールされると、本番マシンにもパッチが自動的にインストールされます。
このシナリオの詳細については、自動パッチ承認とテストのユースケースを参照してください。
また、テストフェーズを省略して、本番環境にパッチを自動的にインストールするシナリオで自動パッチ承認を使用することもできます。
このシナリオの詳細については、テストを実行しない自動パッチ承認のユースケースを参照してください。
自動パッチ承認を構成して、手動パッチ承認プロセスによってパッチのインストールが遅延しないようにすることができます。
自動パッチ承認を設定する手順
自動パッチ承認の設定を構成します。
自動パッチ承認オプションを選択します。
オプション | 説明 |
---|---|
パッチの自動承認とテスト | パッチが正常にインストールされてから指定した日数が経過すると、パッチの承認ステータスが承認済みに変更されます。 本番環境にパッチをインストールする場合は、まずテストマシンにパッチをインストールしてテストし、すべてが予想通りに動作することを確認してから、この設定を使用することをお勧めします。 |
自動パッチ承認 (テストなし) | パッチが見つかってから指定した日数が経過すると、パッチの承認ステータスが承認済みに変更されます。 |
自動パッチ承認オプションの条件を満たしてから、経過する必要のある日数を選択します。この日数が経過すると、パッチの承認ステータスは自動的に承認待ちから承認済みに変更されます。
新しいパッチを本番マシンにインストールする前にテストマシンでテストしたい場合、テスト目的のパッチのインストール計画と、本番マシンへのテスト済みパッチのインストール計画の2つの保護計画を設定できます。
このようにして、本番環境にインストールするパッチが安全で、パッチインストール後に本番マシンが正しく動作することを確認します。。
ユースケースは、以下のステージで構成されます:
本番環境のパッチ計画を実行します。
テスト環境のマシンに対して、パッチインストール設定を含む保護計画を構成できます。
インストールするMicrosoftおよびサードパーティ製品のアップデート、スケジュール、およびアップデート前のバックアップを定義します。
これらの設定の詳細については、保護計画のパッチ管理設定を参照してください。
重要
アップデートするすべての製品について、承認ステータスを承認待ちにします。
従って、エージェントでは、承認待ちのパッチのみがテスト環境で選択したマシンにインストールされます
本番環境のマシンに対して、パッチインストール設定を含む保護計画を構成できます。
インストールするMicrosoftおよびサードパーティ製品のアップデート、スケジュール、およびアップデート前のバックアップを定義します。
これらの設定の詳細については、保護計画のパッチ管理設定を参照してください。
重要
アップデートするすべての製品について、承認ステータスを承認待ちにします。
従って、エージェントでは、承認待ちのパッチのみがテスト環境で選択したマシンにインストールされます
テスト環境のマシンにパッチがインストールされてから、すべてが想定通りに動作しているかどうかを確認できます。
問題のないマシンの承認ステータスは承認待ちのままにしておき、正しく動作していないマシンの承認ステータスを拒否済みに変更できます。
パッチ保護計画のテストを実行し、安全でないパッチを拒否するには
新しいパッチを最初にテストマシンにインストールせずに、できるだけ早く本番環境のマシンに自動インストールしたい場合は、単一の保護計画のみを構成します。
ユースケースは、以下のステージで構成されます:
パッチを手動で承認し、テストフェーズをスキップしてインストールを高速化できます。
パッチの承認ステータスを承認済みに設定します。
パッチの承認ステータスが承認済みに設定されます。
パッチは、保護計画で定義されたスケジュールに基づいてマシンに自動的にインストールされます。
パッチをすぐにインストールしたい場合は、オンデマンドでのパッチのインストール記載されている手順に従ってください。
スケジュールされたインストール時間まで待機できない場合は、オンデマンドでパッチの手動インストールを実行できます。
手動によるパッチのインストールは、次の3つの画面から開始できます:パッチ、脆弱性、すべてのデバイスです。
パッチをインストールするマシンを選択します。
再起動オプションを選択します。
パッチのインストール後にマシンを再起動するかどうかを選択します。
オプション | 説明 |
---|---|
しない | パッチのインストール後、マシンは自動的に再起動されません。 |
必要な場合 | パッチの適用に必要な場合のみ、マシンを再起動します。 |
はい | パッチのインストール後、マシンは自動的に再起動されます。再起動の遅延時間を指定することもできます。 |
マシンのバックアップが進行している間、マシンの再起動を遅らせたい場合は、[バックアップが完了するまで再起動しないでください] を選択します。
再起動オプションを選択します。
パッチのインストール後にマシンを再起動するかどうかを選択します。
オプション | 説明 |
---|---|
しない | パッチのインストール後、マシンは自動的に再起動されません。 |
必要な場合 | パッチの適用に必要な場合のみ、マシンを再起動します。 |
はい | パッチのインストール後、マシンは自動的に再起動されます。再起動の遅延時間を指定することもできます。 |
マシンのバックアップが進行している間、マシンの再起動を遅らせたい場合は、[バックアップが完了するまで再起動しないでください] を選択します。