KACE SMAでは対応OSパッチおよびアプリケーションのパッチを取り込み、管理対象のコンピュータにて検出・展開することが出来ます。
この機能を使用するためには大きく分けて以下の作業が必要となります。
パッチ適用ワークフロー
SMAで利用可能なすべてのパッチを登録してダウンロードまで行うと意図しないプログラムのインストールやダウンロードサイズが非常に大きくなり、SMAサーバーやネットワークに障害が発生する可能性があります。また一度に展開・検出を行うパッチの数が多いとパッチタスクがエラーで失敗することがあります。
この文書では安全にパッチ管理機能を使用するための設定について説明します。
1.検出・展開するパッチの対象OS、言語、パッチのタイプなどの登録
1-1. パッチサブスクリプションの説明
セキュリティ | パッチ管理 | サブスクリプション:使用可能なパッチの定義 へ移動し、以下の項目を設定します。
| 項目 | 推奨値 | 説明 |
|---|---|---|
| 新しいパッチをアクティブ化する | 有効 | KACEパッチカタログに新しく利用可能なパッチが追加されたときに、そのパッチを自動的にActive(展開可能な状態)にするかどうかを選択します。 定期的に最新のパッチを配布する方針であれば有効にします。 このオプションを無効にした場合、SMAの管理者はリストに現れたアイテムを自身で使用可能にするまでは非アクティブのままとなり、新規パッチの自動展開を抑制することができます。 |
| 項目 | 推奨値 | 説明 |
|---|---|---|
| Windowsオペレーティングシステム/Macオペレーティングシステム | 必要なOSを選択する |
パッチの検出・展開対象とするOSを手動で選択するか、あるいは、エージェントデバイスからのインベントリ登録に任せるかを設定します。 |
| ロケール | 日本語 を選択 | パッチの検出・展開対象となるオペレーティングシステム環境の言語を指定します。
英語OS+MultiLanguagePack環境の場合、英語を含めないと使用できない場合があります。 |
| 発行元 | すべての発行元 | アプリケーションパッチの発行元となるベンダーを指定します。 |
| 項目 | 推奨値 | 説明 |
|---|---|---|
| 分類 | Full Software以外 |
基本的には ソフトウェアインストーラー に対応する FullSoftware (とFeature Packs)を除いて選択すれば不都合は少ないはずです。 分類(Critical Updates, Definition Updates, Feature Packs, Full Software, Hotfix, Security Updates, Service Packs, Tools, Update Rollups, Updates, Upgrades) |
| 重要度 | すべての重大度 | パッチの重要度属性 に該当するものだけをサブスクライブします。 Critical, Important, Low, Moderate, Recommended |
| ラベル | 選択なし | 「すべてのパッチ」とされている場合、この項までに指定したパッチアイテムすべてが有効化されます(画像参照)。 ここでパッチSmartLabelを使用して絞り込むことで利用可能となるパッチを絞り込むことができます。具体的なパッチラベルの作成手順については後述の「3.パッチラベルの作成」をご参照ください。 初回設定ではとりあえず 選択なし(すべてが対象) のままとして問題ありません。 |
| 無効なパッチの検出 | 無効 |
このオプションを有効にしている場合、サブスクライブ対象ではないパッチ(無効なパッチ)についても「検出」を行うことが出来ます。 署名ダウンロード時にアクティブにしていないパッチもダウンロードしてきます。 |
| 置き換えられたパッチを非アクティブにする | 有効 | パッチには置き換えの関係を持つものがあります。このオプションは置き換え関係にあるパッチの系統でより新しいパッチがリリースされた際に古いほうのパッチを非アクティブ(使用不可)とする設定です。 この項目は 各パッチ詳細にて 「これより優先」「これを優先」の項目から参照いただけます。 |
| Windowsに埋め込まれたパッチを無効にする | 有効 |
正しくは「Windows Embedded 向けのパッチを無効にする」(Disable Windows Embedded Patches)という意味です。チェックをいれることでEmbeddedエディション向けのパッチを無効のままにします。 |
パッチサブスクリプション
使用できるパッチはOS(プラットフォーム)、言語、発行元、カテゴリ、分類、重要度のすべての項目のフィルタに該当する必要があります。
これらの項目を通過するパッチアイテムが利用可能なパッチの最大の集合となります。さらに絞り込みを行うにはPatchラベルを使用したフィルタを行います。
入力が終わりましたら [保存]ボタンを押してサブスクリプション設定を保存します。
2.「サブスクリプション設定」にて設定したパッチのダウンロード
パッチダウンロードはデフォルトで毎日早朝3時半前後にスケジュールされており、SMAはパッチ署名およびパッチをダウンロードします。
実際のダウンロードには実行スケジュールをお待ちいただいても結構ですし、手動で開始いただくこともできます。
2-1. ダウンロードスケジュールの設定
(単一組織のSMAをお使いの場合)
セキュリティ |パッチ管理 | パッチのダウンロード設定 (任意のリンク) へ移動します。
(組織機能が有効なSMAの場合)
組織SYSTEM(システム)に切り替え、設定 | コントロールパネル | パッチとFeature Updateのダウンロード設定 (任意のリンク)へ移動します。
2-2.パッチダウンロードスケジュールの設定
パッチダウンロード設定によりダウンロードされるデータは パッチ署名とパッチ本体ファイル に分類されます。
署名: パッチのカタログ上の情報で検出に必要です。メタデータとも呼ばれることもあります。
ファイル: パッチ本体。インストールに使用するファイルを内包するデータです。
サブスクライブするパッチの選択
| 項目 | 推奨値 | 説明 |
|---|---|---|
| パッチ | ||
| 無効 |
ダウンロードスケジュール時に パッチ署名のみダウンロードしパッチ本体をダウンロードしません。 | |
| すべてのサブスクライブされたファイル | ダウンロードスケジュール時に パッチ署名のダウンロードのあとで、サブスクリプション設定で指定されたすべてのパッチの本体をダウンロードする設定です。 | |
| 不足しているファイルのみ | 〇 | ダウンロードスケジュール時に パッチ署名のダウンロードのあとで パッチ本体をダウンロードしません。 スケジュール 設定の ファイル の項目で指定したタイミング(例 30分おき)に 検出結果から未適用(NOTPATCHED=インストールの必要があるもの)とされたパッチファイルのダウンロードを試みます。 |
| Feature Update | Windows機能更新(WFU)の展開機能(v10.2以上) でWFUのサブスクリプションを有効にしている場合、不足しているファイルのみ を選択してください。 | |
| 無効 | ダウンロードスケジュール時にFeature Update本体をダウンロードしません。 | |
| 不足しているファイルのみ | 〇 | ダウンロードスケジュール時にFeature Update本体をダウンロードします。 |
| (共通) | ||
| 次の期間の経過後に不要なファイルを削除する | 任意 | 指定した期間使用されていないパッチ本体ファイルをSMA上から削除します。 |
| オフライン更新 | 空 | オフライン更新は SMAを2台以上保有しており一方でインターネットから取り込んだパッチデータをインターネットにつながっていない他方のSMAへ手動で読み込ませたい場合に使用する機能です。 |
メモ: アプライアンスのパッチ機能の立ち上げ時に初回ダウンロードを行う場合には 「無効」 か 「不足しているファイルのみ」 を選択してください。「すべてのサブスクライブされたファイル」を使用すると選択対象のプラットフォームやパッチ種別にもよりますが400GB以上のファイルのダウンロードが試みられる可能性があります。
オフラインアップデート設定 タブ
| 項目 | 推奨値 | 説明 |
|---|---|---|
| オフラインアップデート | オフ | オフライン更新は SMAを2台以上保有しておりインターネット接続可能なSMAが取り込んだパッチデータ(オンラインソース)をインターネットにつながっていない他方のSMA(オフラインターゲット)へ手動で読み込ませて展開に使用するための機能です。 SMAがインターネットに接続可能な場合はオフラインアップデートオプションはオフにします。 |
| オフラインターゲット | オフ | オンラインソースとして構成されたSMAが取得したパッチファイルをこのSMAへアップロードしてパッチ展開に使用するモードです。 |
| オンラインソース | オフ | パッチをSMA上にダウンロードしてオフラインターゲットへパッチファイルを提供するためのソースとなるモードです。 |
アクション タブ: 今すぐ実行ボタン
| 更新対象 | アクション | 説明 |
|---|---|---|
| 署名 | [アップデートの確認] | カタログの署名データのダウンロードを行います。 |
| パッチファイル | [削除], [今すぐ実行] |
パッチファイル本体のダウンロードを行います。ダウンロードの対象は設定に従います。「不足しているファイル」が選択されていれば不足しているパッチのファイルのみダウンロード対象になります。 |
| Feature Update ファイル |
[削除], [今すぐ実行] | 機能更新のためインストーラーのダウンロードを行います。ダウンロードの対象は設定に従います。つまり「不足しているファイル」が選択されていれば不足している更新のみダウンロード対象になります。 |
| 項目 | 推奨値 | 説明 |
|---|---|---|
| 署名 | 午前3時過ぎ(デフォルト) |
パッチ署名(リスト/検出ファイル)のダウンロードの開始の時刻設定。 |
| ファイル | 毎30分 | パッチ本体ファイルのダウンロードスケジュールを設定します。 ・署名をダウンロードした後:「すべてのサブスクライブされたファイル」設定時のみ選択可能 ・毎[ ] 時間/分: 「不足しているファイルのみ」 設定時のみ選択可能 |
| ダウンロードのブラックアウト | 無効 | ダウンロードを行わせたくない時間帯を設定します。 |
現在のサブスクリプション設定にラベルによるフィルタをしていなければ、設定に 「無効」あるいは「不足しているファイルのみ」を選択して [保存]ボタンを押してします。
その後、一日待つかダウンロードを開始してパッチ署名がダウンロードされるのを待ちます。
(このオプションではパッチ検出をしていなければ署名ファイルのみダウンロードされます(パッチ本体はされない)。少なくとも必要のないパッチ含めて全部をダウンロードする懸念がありません)
2-3.ダウンロード確認
同じ画面に戻り、パッチダウンロードステータスが以下の状態になっていることを確認します。
ダウンロードされました:
YYYY/MM/DD hh:mm:ss
前回の更新ステータス試行:
YYYY/MM/DD hh:mm:ss
署名の状態:
更新済み
パッチファイルの状態:
更新済み
さらに セキュリティ|パッチ管理 | カタログ を開きパッチアイテムが表示されることを確認します。
基本的なパッチのサブスクリプションおよび初回のカタログダウンロードの作業は以上で完了です。
3. パッチSmart Label によるサブスクリプションの絞り込み
パッチラベルを作成するとパッチの検出・展開およびサブスクリプションのフィルタに使用できます。
サブスクリプション設定の 詳細設定 - ラベル にパッチラベルを指定することでインターネットからのパッチダウンロードにたいして、より細かな設定を行うことができます。
ただし、サブスクリプションパッチにてパッチ選別を行うと影響が大きいため、基本的にはパッチスケジュールに割り当てるパッチラベルで選別したほうがより柔軟といえます。
3-1.フィルタにより除外したいパッチ
・新しいパッチにより置き換え済みとなったパッチ
基本的にはサブスクリプション設定にて「置き換えられたパッチを非アクティブにする」を選択すれば非アクティブ(登録されているが展開不可の状態)になりますが、
Smart Label によるフィルタでサブスクライブ対象からも除外することができます。
フィルタ:
[廃止][は][いいえ]
・ソフトウェアインストーラー
SMAのパッチにはベースとなるソフトウェアが入っていなくても展開可能なアイテムがありラベルを指定しない不適切な使い方において不要なソフトウェアが意図せず配布されることがありました。v10.0以降のバージョンではそのようなパッチアイテムは絞られましたが若干残っています。
カテゴリ属性=アプリケーション の「分類」属性 が
Full Software(フルソフトウェア)および
Feature Packs(機能パック)
のアイテムがベースとなるソフトウェアがなくても展開されるものに該当します。
現状では フルソフトウェアが JDK、Silverlightと、
機能パックについては .Net Frameworkの新版が該当します。
パッチ運用を既存インストール済みアプリケーションへの更新に限定するのであれば、パッチ更新はマイナーアップデートにとどめるべきであり、未インストールのアプリケーションを パッチ機能の運用で追加することは基本的に望ましくありません。
サブスクリプション設定にて 上記分類を無効にしておけば以後は誤配信を懸念する必要は無くなりますが、意図せず有効になったときのセーフネットとして、あるいは、どうしても特定のアプリケーションについては使用したい時に限定的に有効にしたい場合があります。
その場合には SmartLabelで特定のインストーラーアイテムのみサブスクライブ対象に設定し、同時に他のインストーラーを除外するような全体のパッチフィルタが必要となります。
フィルタ:
v10.0以上)
[タイプ][次の値ではない][フルソフトウェア] および
[タイプ][次の値ではない][機能パック] および ...
Windows全体用のパッチをカバーするパッチラベルの作成についてはナレッジベース記事を参考にしてください。
パッチスマートラベル と作成例 ・Internet Explorer11用ソフトウェアインストーラーのフィルタ
[パッケージ] [次の値で始まる] IE11
[カテゴリ] [は] [アプリケーション]
[タイプ] [は] [ソフトウェアインストーラー]
このようなラベルを作成してサブスクリプション設定の 詳細設定オプション - ラベル に設定します。
複数のパッチラベル同士の指定は AND条件ではなくOR条件となりますのでご注意ください。
重要: パッチラベルによるフィルタでは パッチサブスクリプション設定のほかの項目で無効にされた設定を有効にすることはできません。
(例:セキュリティパッチ無効の設定で、セキュリティパッチを含むラベルを指定してもセキュリティパッチは無効のままです)
サブスクリプション設定のパッチラベルにて必要なパッチを絞り込みを行った後であれば、 「すべてのサブスクライブされたファイル」のダウンロードオプションをご検討いただくことができます。
4. パッチスケジュールの実行
パッチを展開するには 検出 を行い、そのデバイスでの パッチ状態を 未適用(不在、NOTPATCHED)としてSMAに認識させる必要があります。ステータスが未適用のパッチは展開付きアクションのスケジュールにて展開を行えます。
パッチスケジュールの作成については以下のナレッジベース記事をお読みください。
パッチ検出展開スケジュールの作成について (4252954)
【重要】ダウンロードオプション「不足しているファイルのみ」設定時のパッチスケジュールの動作について1.アクションに[検出と展開]を持つパッチスケジュールタスクが開始されるとデバイスがパッチスケジュールのラベルに基づきパッチの検出を行います。
2.未適用(NOTPATCHED, 不在)のパッチが報告されると そのパッチ本体ファイルがSMA上に未ダウンロードの場合、最小30分(以内)後に SMAサーバーはパッチ本体ファイルのインターネットからのダウンロードを開始します。この間デバイス上のパッチ展開タスクはダウンロードを待ちになります。
3.サーバー上にパッチ本体ファイルがダウンロードされるとパッチスケジュールのパッチ展開タスクがサーバーからエージェントへパッチファイルの転送します。(ステージング)
4. ファイルがエージェントデバイス上に配置されたら実際のインストールが開始されます。
# 2.のタイムラグ(インターネットからSMAサーバー)を減らしたい場合、展開予定時刻(例: 18:00とする)の前の時刻(12:00)に「アクション: 検出」のスケジュールを追加作成しておき、検出およびダウンロードを完了させた状態で、「検出と展開」または「展開(のみ)」のスケジュールを実行する方法が考えられます。
# 3.のタイムラグ(SMAサーバーからデバイスへの転送)を減らしたい場合、[検出とステージ] あるいは [検出、ステージ、およびオンデマンド展開] を使用することが有効な対策となりえます。
レプリケーション共有を使用している場合にはアプライアンス上でダウンロード済みのパッチ本体ファイルの各レプリケーション共有への複製スケジュールも考慮する必要があります。
