企業のパッチとソフトウェアの更新をリモートおよび集中管理する方法

会社にインストールされたソフトウェアのタイムリーな更新と必要なパッチのインストールは重要なタスクの1つです。その実装により、プログラムのさまざまな誤動作を回避し、適切なレベルのセキュリティを確保できます。 企業内のソフトウェアの更新とパッチを一元的およびリモートで管理するにはどうすればよいですか？ クラウドベースのRMMソリューションPanda Systems Managementの例を見てみましょう。

タスク：タイムリーなソフトウェア更新

ソフトウェアメーカーは定期的に更新プログラムとパッチをリリースしています。これには、概して2つの目標があります。プログラムの既存のエラーを修正できる一方で、検出された脆弱性やセキュリティホールを閉じることができます。 したがって、タイムリーなソフトウェアの更新が優先タスクの1つであることは驚くことではありません。

したがって、この問題を解決するには、更新/パッチが利用可能かどうかをタイムリーに知る必要があり、また、どのデバイスが既に更新されており、まだ更新されていないかを迅速に監視する必要があります。 明らかに、社内のITデバイス群の増加（特にリモートオフィス）に伴い、集中管理されたリモート管理および制御ツールが必要になります。

この問題に対する自動化されたソリューションについては、企業ネットワークのリモートおよび集中監視、メンテナンス、およびサポート用に設計されたRMMソリューションに注意することをお勧めします。

これらのソリューションの1つであるPanda Systems Managementクラウドサービスを使用して、パッチ管理の問題に対するソリューションを検討することをお勧めします。

以前の記事では、 このサービスを迅速に実装する方法、 ネットワーク操作を監視する方法、 モバイルデバイスを管理する方法 、リモートで集中的にソフトウェアをインストールする方法、および会社のIT資産をすべてインベントリする方法について詳しく説明しました。 今日は、パッチ管理に焦点を当てます。

ちなみに、無料のPanda Systems Managementライセンスをサイトに登録して、私たちと一緒に、ネットワーク上で直接パッチ管理を構成できます。
行きましょう。

パッチ管理とは何ですか？

この場合、パッチ管理は、パッチとソフトウェア更新の集中管理、実装、インストールのためのツールのセットです。 Panda Systems Managementのパッチ管理機能により、定期的なソフトウェアの更新に関連する問題を簡単に解決できるだけでなく、更新されていないか既知の脆弱性があるデバイスのリストをすばやく簡単に取得できる監査を実行できます。
前述のように、パッチ管理のおかげで、ソフトウェアの競合を回避でき、企業ネットワークのセキュリティレベルを高めることができます。

Panda Systems ManagementのPanda管理機能は、現在Windowsシステムをサポートし、このソリューションのエージェントがインストールされているすべてのMicrosoft Windowsデバイスに存在するWindows Update APIを使用します。

どのパッチを実装/適用できますか？

Panda Systems Managementを使用すると、MicrosoftがWindows Updateで公開したすべてのパッチと更新を一元管理できます。 マイクロソフトは、現在サポートされているすべてのWindowsオペレーティングシステム、および企業が開発したソフトウェア製品の更新プログラムを公開しています。

•Microsoft Office
•Microsoft Exchange
•SQLサーバー
•Windows Live
•Windows Defender
•Visual Studio
•Zuneソフトウェア
•Virtual PC
•仮想サーバー
•CAPICOM
•Microsoft Lync
•シルバーライト
•Windows Media Player
•...およびその他

パッチの実装とインストール

Panda Systems Managementは、3つの補完的なパッチ管理方法を提供します。 それらのそれぞれには、考えられるすべてのニーズやシナリオを調整するためのさまざまな機能があります。

•手動パッチ管理
•Windowsアップデートポリシー
•パッチ管理ポリシー

Windows UpdateおよびPatch Managementポリシーでパッチを管理することは相互に排他的です。 Patch Managementポリシーを使用してWindowsオペレーティングシステムを更新する場合は、Windows Updateを無効にすることをお勧めします。無効にしないと、予期しない結果が生じる可能性があります。

以下で説明する手順は、GPOで定義されているWindows Updateポリシーなど、サードパーティのソフトウェアメーカーによって定義されている他の手順と競合する場合があります。 そのため、Panda Systems Managementで定義されたポリシーに干渉する可能性のあるサードパーティポリシーを無効にすることをお勧めします。

メソッド比較チャート

方法1：手動パッチ管理

概要

手動パッチ管理を使用すると、管理者が使用する基準に従って、インストールするパッチを個別に選択できます。 この方法により、次のように最大限の柔軟性を実現できます。 常に、各デバイスにインストールされているすべてのパッチと、インストールを待機しているパッチが表示されます。

この方法は、アカウント、サイト、デバイスのどのレベルでも適用できます。 したがって、特定のデバイス（デバイスレベル）、特定のデバイスグループまたはプロジェクト（サイト）、またはPanda Systems Management（アカウント）アカウント内で管理するすべてのデバイスのパッチを選択できます。

手動パッチ管理へのアクセス

選択したレベルに関係なく、[ブックマークの管理]を開いたときに手動による方法を使用できます。



利用可能なアクション

利用可能なアクションの選択は、アクションバーにあるアイコンを使用して実行されます。



パッチを許可（パッチを承認）

パッチを選択して、緑色のアイコンをクリックします。 その結果、パッチはインストールを待機します。 アカウントレベルの[管理 ]タブで構成されているように、手動で有効にされたパッチがその時点でインストールされます。



手動で構成されたパッチをインストールする時間は、アカウント全体のレベルでのみ構成できることに注意してください。 したがって、アカウント内のすべてのデバイスの手動で管理されたすべてのパッチが同時にインストールされます。

パッチを非表示
パッチを選択し、青いアイコンをクリックして、使用可能なパッチのリストからパッチを非表示にします。

クイックパッチインストール（クイックパッチ）
パッチを選択し、緑色の矢印アイコンをクリックして、手動で解決されたすべてのパッチ（ [管理 ]タブの[アカウント]レベル）のインストールに設定された時間を待たずに、すぐにパッチをインストールします。

パッチ選択のリセット
白いアイコンをクリックして、パッチの選択をリセットします。

パッチを見る

公開されたすべてのパッチは、管理対象デバイスに関するステータスに応じて3つのドロップダウンリストにグループ化されます。



ステータス：

•不足しているパッチ：このレベルに属するデバイスにまだインストールされていないパッチ。 デバイスレベルより上のレベルでは、特定のパッチがまだインストールされていないデバイスの数も表示されます。

•インストール済みパッチ：選択したレベルですでにインストールされているパッチ。 デバイスレベルより上のレベルでは、特定のパッチがすでにインストールされているデバイスの数も表示されます。

•非表示のパッチ：管理者が適用する必要がなく、リマインダーを受信する必要がないため、管理者が非表示にすることを決定したパッチ。

検索を簡素化するために、各リストを展開すると、パッチに関する追加情報が利用可能になり、パッチのリストをフィルタリングするための追加のコントロールパネルが利用可能になります。



この追加のコントロールパネルを使用すると、次の基準を満たすパッチをリストから簡単に選択できます。

•重大度： Microsoftによって設定されたパッチの重大度レベルを選択できます： Critical 、 Important 、 Moderate 、 Low 、およびUnspecified 。 ちなみに、Microsoftは原則としてセキュリティパッチに対してのみ重要度レベルを設定するため、通常、他のパッチの程度は不特定です。

•再起動が必要：パッチの適用後にデバイスを再起動する必要がある場合。

•ユーザー入力が必要：パッチを適用するためにユーザー入力が必要な場合。

•カテゴリ：特定のプログラムに適用するパッチを選択できます。

Panda Systems Managementは、各エントリについて次の情報を提供します。



•チェック：パッチを選択するためのチェックボックス。

•アクションアイコン：パッチのステータスに対応するアイコンを表示します。 インストールを待機しているパッチの場合、このアイコンは緑色になり、非表示のパッチの場合は青色になります。

•タイトル： Windows Updateからの情報に応じたパッチのフルネーム。

•重大度： Windows Updateからの情報に応じたパッチの重大度 。

•再起動：パッチのインストール後にデバイスの再起動が必要な場合、この列にチェックマークが表示されます。

•ユーザー入力：パッチのインストールにユーザーの介入が必要かどうかの指標（インストールを許可するダイアログボックス、EULAなど）。

この方法が適用される場合

管理者が管理対象デバイスへのパッチの適用を非常に正確に制御する必要がある場合、この方法を使用できます。

方法2：Windows Updateポリシー

概要

Windows Updateポリシーを使用すると、企業ネットワーク上のWindowsデバイスでWindows Update機能を一元的に構成できます。 このポリシーは、アカウントレベルとサイトレベルで使用できます。

Windows Updateポリシーメソッドにアクセスする

この方法を使用するには、アカウントまたはサイトレベルでWindows Updateポリシーを作成する必要があります。 これを行うには、[ ポリシー ]タブの適切なレベルで、ボタンをクリックしてポリシーを追加します（次の図は、[ 新しいサイトポリシー... ]ボタンをクリックしてサイトレベルで新しいポリシーを追加する例を示しています）。



その後、ドロップダウンウィンドウでポリシーの名前を指定し、ポリシーの種類Windows Updateを選択する必要があります。



この結果、ウィンドウが開き、このポリシーが適用されるすべてのデバイスでWindows Updateの動作を一元的に構成できます。 Windows Updateポリシーは、個々のWindowsデバイスのWindows Updateリソースと同じ方法で構成されます。

Windows Updateは、パッチを次の3つのカテゴリに分類します。

•重要
•推奨
•オプション

重要で推奨されるパッチのみが自動的にインストールできます。 残りのパッチは、ユーザーのデバイスから手動でインストールするか、他のパッチ管理方法を使用してPanda Systems Managementからインストールします。

このポリシーのすべての設定は、WindowsデバイスのWindows Update機能の置き換えです。 したがって、これらのアクションはすべてデバイスに適用され、エージェントまたは管理コンソールには適用されません。

ポリシー設定はすべてのデバイスで同じですが、各デバイスでのWindows Updateの動作は、Windowsオペレーティングシステムのバージョンによって若干異なる場合があります。

そのため、ポリシー設定のウィンドウ：



以下は、いくつかのポリシーオプションの説明です。

•ターゲットの追加：ポリシーの範囲を制限するフィルターまたはグループを追加できます。

•パッチポリシー： Microsoftによって「重要」と分類されたパッチに関して、各デバイスでのWindows Updateの基本的な動作を指定できます。自動ダウンロードとインストール、手動ダウンロードとユーザー選択、ダウンロードせずに通知、Windows Updateを無効にします。 同時に、すでにPanda Systems Managementまたはサードパーティ製品を使用してパッチを更新する別の方法を使用している場合、ポリシーの交差を防ぐために、このパラメーター「Disable Windows Update」の値でWindows Updateポリシーを作成することをお勧めします

•新しい更新のインストール：パッチのインストール頻度を指定します

•重要な更新を受け取るのと同じ方法で推奨される更新を提供します。重要なパッチと推奨の両方に対して、パッチポリシーオプションで指定されたポリシー設定を適用します

•すべてのユーザーにコンピューターへの更新のインストールを許可：ユーザーが手動でパッチをインストールできるようにします

•Microsoft製品の更新プログラムを提供し、Windowsの更新時に新しいオプションのMicrosoftソフトウェアを確認する：オプションのパッチ、他のMicrosoft製品のメインパッチを確認する

•新しいMicrosoftソフトウェアが利用可能になったときに詳細な通知を表示する：新しいMicrosoftソフトウェアが利用可能になったときにユーザーに詳細な通知を表示します

•スケジュールされた自動更新インストールのログオンユーザーによる自動再起動なし：このオプションを選択すると、パッチのインストール後に、PCを再起動する必要があることがユーザーに通知されます。 このオプションが有効になっていない場合、この場合、パッチをインストールした後、5分後にPCが再起動することがユーザーに通知されます

•スケジュールされたインストールで再起動の再プロンプト：デバイスの再起動が必要なパッチがインストールされている場合、Windows UpdateがユーザーにPCの再起動を促す分数を指定するように求めます

•スケジュールされたインストールの再起動の遅延：パッチのインストール後、システムが再起動を待機する分数を決定します。 何も指定しない場合、デフォルトの時間は15分です。

•WSUS：別のローカルまたはリモートのWindows Server Update Servicesサーバーを使用して、ネットワーク上の各デバイスへの個々のパッチのダウンロードを最小限に抑えることができます。

•クライアント側のターゲット設定を有効にする：クライアント側のターゲット設定オプションを有効にしてWSUSサーバーを使用している場合、WSUSサーバーに含まれるグループとデバイスはWSUSサーバーで手動で定義されます。 このパラメーターを使用すると、このポリシーが適用されるデバイスが属するグループを指定できます（分離するにはコンマを使用します）。 さらに、Windows Updateポリシーが適用されるデバイスの一部またはすべてがWSUSグループで構成されたデバイスと一致しない場合、ポリシーはそのようなデバイスに適用されません。

この方法が適用される場合

•管理者が、ネットワーク上のすべてのデバイスにすべての重要なパッチを自動的にインストールする必要があるが、ユーザーがこれに干渉できないようにする必要がある場合
•管理者がインストールされた各パッチを制御する必要がなく、重要または推奨としてパッチの分類に従ってMicrosoftパッチをインストールする決定を委任できる場合
•オプションとして分類されるパッチを自動的にインストールしたくない場合。

方法3.パッチ管理ポリシー

概要

パッチ管理ポリシーを使用すると、Windows Updateポリシーと同じ方法でパッチを自動インストールできます。 主な違いは、インストールするパッチをグループ化する方法です。 手動の方法では個々のパッチの適用を選択でき、Windows Updateポリシーではレベル（重要、推奨またはオプション）ごとにパッチを適用できますが、パッチ管理ポリシーでは適用する必要のあるパッチを選択し、それらをより柔軟にグループ化できます方法：名前、説明、サイズ、タイプなど

この方法は、アカウントレベルとサイトレベルでサポートされています。

パッチ管理ポリシー方式にアクセスする

この方法を使用するには、アカウントまたはサイトレベルでパッチ管理タイプの新しいポリシーを作成する必要があります。



この結果、ウィンドウが表示され、このポリシーが適用されるすべてのデバイスのパッチ管理ポリシーの動作を一元的に設定できます。



•ターゲットの追加：ポリシーの範囲を制限するフィルターまたはグループを追加できます。

•Sheduleオプション：パッチを適用する時間を指定できます。 Sheduleブロックの[クリックして変更]をクリックして 、パッチのインストール間隔と頻度を選択できるフォームを表示します。



左側のフォームで、フォームの右側を変更する頻度に応じて頻度を選択します。これにより、パッチをインストールする正確な日時を指定できます。

•インストール基準：デバイスにインストールするパッチを選択できます。 ここには3つのオプションがあります。

-すべてのパッチをインストールする：リリースされたすべてのパッチをインストールします

-パッチのフィルター： 1つ以上の基準でフィルターを構成できます。カテゴリー、条件（選択したカテゴリーに依存）、および検索オブジェクト（選択したカテゴリーにも依存）。



AND / OR（AND / ORスイッチの位置に対応）を適用するロジックで複数のカテゴリを設定することにより、複雑な選択基準を作成できます。 論理AND / OR演算子を使用して、カテゴリごとに異なる値を構成することもできます。

この方法が適用される場合

•管理者がWindows Updateポリシー方式よりも高い柔軟性を必要とする場合

•管理者がすべてのパッチを例外なく自動的に一元的にインストールする必要がある場合。

監査

サイトまたはアカウントレベルの[管理 ]タブでは、アプリケーションの更新に関してネットワーク全体のステータスを一目で評価できます。



選択基準を使用すると、すべてのデバイス、サイト上のまたはアカウント全体内のサーバーのみまたはワークステーションのみに関する情報を表示できます。

選択基準に応じて、対応する統計が下の円グラフに表示されます。 この場合、青い色は重要ではない重要でない更新がインストールされているデバイスの数を示し、オレンジ色は重要でない重要な更新があるデバイスの数を示し、緑は完全に更新されているデバイスの数を示します。

選択基準に応じて、最も脆弱な10個のデバイスのリストが円グラフの右側に表示されます。 円グラフで関心のあるセグメントをクリックすると、このリストが更新され、そのセグメントの情報のみが表示されます。

このリストの[ホスト名]列の名前をクリックすると、このデバイスの詳細情報に移動して、このデバイスにインストールされていない特定のパッチを確認し、必要なパッチを有効にします。

このリストの[クイックパッチ]列にある矢印の付いた緑のアイコンをクリックすると、この場合、青またはオレンジの円形セグメントをクリックしたかどうかに応じて、選択した基準（クリティカルまたは非クリティカル）に従ってパッチがこのデバイスに適用されます図。

おわりに

最新の統合されたRMMソリューションは、IT部門の重要なタスクの1つを一元的に解決できます。企業ネットワークにインストールされているソフトウェアのタイムリーな更新を保証し、運用上の問題を回避し、既知のセキュリティ上の欠陥と脆弱性を排除します タスクの効果的な解決策により、会社の従業員の効率、ひいては競争力を高めることができることを理解することは難しくありません。

ちなみに、2月下旬には、 Panda Systems Managementの新しいバージョンが利用可能になります。このバージョンでは、パッチ管理に特定の変更が加えられ、このプロセスがさらに管理しやすく、シンプルで効率的になります。
少ない労力でより多くを達成しましょう！