Windows Q&Aの目次はこちら
Q

セキュリティ管理の一環として,社内に存在する全パソコンのパッチ適用情報を一元管理したいと思っています。ネットワーク上に存在するリモート・コンピュータのパッチ適用情報を簡単に収集するには,どうすればよいでしょうか?

A

ドメインに所属しているマシンでは通常,ローカル・ユーザーに対してもドメインのアカウント・ポリシーおよびパスワードのポリシーは適用されます。例えば,ドメインのパスワードのポリシーで[パスワードの長さ]を「8文字以上」と設定していると,たとえローカル・ユーザーのアカウントであっても7文字以下のパスワードを設定することはできません。同様に,パスワードの長さ以外の有効期間や複雑さといった条件についても,ドメインのパスワードのポリシーで設定されコンピュータに適用されている設定値に準拠している必要があります。

コンピュータのパッチ適用情報をレポートするツールが,マイクロソフトから2つ提供されています。いずれも無償のツールで,1つはコマンド・ラインから利用するツールのQFECHECK.exe,もう1つはGUIツールの「Microsoft Baseline Security Analyzer(MBSA)」です。

 このうちQFECHECK.exeは,調査できる環境がWindows 2000とWindows XPに限定されています。しかも,パッチ適用情報を収集したいコンピュータ上でこのツールを実行させることが必要で,複数コンピュータについて情報の収集や集計をするには,配布や実行の仕組みを新たに検討する必要があります。このため,多数のクライアントPCを管理している管理者にはあまり推奨できません。

 もう1つのMBSAは,複数のリモート・コンピュータのパッチ適用情報をGUIから簡単に収集できます。対象とする環境も,Windows 2000とWindows XPに加え,Windows NT 4.0について情報が収集可能です。そのため,今回のような条件では,このMBSAを利用した方がよいでしょう。

 MBSAは,マイクロソフトのWebサイトからダウンロードして,無償で利用できます(該当サイト)。10月15日現在の最新バージョンは,Windows XP Service Pack 2に対応した1.2.1です。


△ 図をクリックすると拡大されます
図1●Microsoft Baseline Security Analyzer(MBSA)を使うと社内クライアントのパッチ適用状況を簡単に確認できる

ドメインやIPアドレスで対象を指定
 実際には,まずMBSAを起動して情報を収集しようと考えているコンピュータを指定します(図1)。ここでは,ドメインまたはIPアドレスの範囲で複数のコンピュータを指定できます。このため,ドメイン環境で運用しているユーザーならば,対象のコンピュータ群をすぐに指定でき,情報を定期的に収集する場合も簡単です。

 続いて,[セキュリティの更新をチェックする]をチェックします。最後に[スキャンを開始する]をクリックすると,設定したコンピュータについてパッチの適用状況を収集してきます。

 収集した結果は,セキュリティ・レポートとして画面上にサマリーを表示します。ここで,パッチ適用状況など,検査の結果が一覧表示され,検査したコンピュータ群の中に検査の対象となったぜい弱性があるかを一目で確認できます。各コンピュータについて調査結果を詳細に見たい場合は,ダブル・クリックすれば詳細なセキュリティ・レポートを表示します。ちなみに,パッチの適用状況は,この中では[セキュリティの更新]で確認できます。

 調査結果は画面に表示するだけでなく,%userprofile%\SecurityScansのフォルダにXMLファイルとしても格納されています。このため,この情報を加工してセキュリティ・レポートなどの形で再利用することも可能です。 サーバーのぜい弱性もチェック可能
 なお,MBSAで収集できる情報は,今回ご質問のあったパッチ適用状況だけではありません。Windows本体のぜい弱性,ぜい弱なパスワード設定,WebサーバーであるInternet Information Servicesのぜい弱性,データベースであるSQL Server/MSDEのぜい弱性についても分析が可能です。さらに,最新の1.2.1では,Exchange Server 2003,BizTalk Server 2000/2002/2004,Commerce Server 2000/2002といった幅広いサーバー・アプリケーションのぜい弱性も検査できるようになりました。

 また,各コンピュータにおいて検出されたぜい弱性に対する修正のガイドラインを表示する機能も追加されています。このため,MBSAを使えば今回のようなクライアントPCだけでなく,企業内のPCとサーバーの両方を対象としたトータルでのパッチ管理も可能になります。

見方