Question Windowsを搭載するクライアントPCのパッチ適用状態を,システム管理者が調べる際に利用できるツールにはどのようなものがありますか?
Answer MBSAやHFNetChkLTといったツールが有効です。ただし,Windows95/98/Meは対象外なので,個々にWindows Updateを利用するしかありません
| ||
| ||
|
システム管理者としては,エンドユーザー自身に確実に「Windows Update」を実行してもらうことが理想です。しかし,仮に義務付けたとしても,完全な実施は難しいのが現状です。加えて,クライアントPCを守るには,Windows Updateだけでも十分な対応ができません。Windows Updateでは提供されないパッチもあるからです。
無償ツールが利用できる
セキュリティ・パッチの適用状況を調べるツールは,有償・無償含めいくつかあります。
マイクロソフトは近く,「Microsoft Baseline Security Analyzer(MBSA)」というGUIベースのセキュリティ・チェック・ツールの日本語版を新たに無償提供する予定です。提供日は未定ですが,「2003年秋には提供を開始する予定」(同社 広報部)になっています。MBSAはこれまで英語版のみ提供されてきました。開発は米Shavlik Technologiesが行い,最新版MBSA1.1.1には「HFNetChk v3.82」というソフトをエンジンとして搭載しています。コマンド・ラインでHFNetChkを直接利用することもできます。
MBSA(HFNetChk)の仕組みは図1[拡大表示]のようになっています。マイクロソフトが提供するセキュリティ・パッチなどの更新状況を記録した最新のXMLファイルをダウンロードし,指定されたコンピュータのレジストリ・キー,パッチ・ファイルのバージョン,インストール済みのパッチ・ファイルのチェックサムと比較します。3つのチェックのうち,いずれかが異なる結果であれば,最新のパッチがインストールされていないと判断し,画面に「×」印を表示します。
OSとアプリをチェック
MBSAでチェック可能なOSやアプリケーションは,表1[拡大表示]の通りです。チェック項目は35項目あり,大きく2つに分かれます。セキュリティ・パッチを適用しているかどうかをチェックするものと,適切なセキュリティ設定になっているかをチェックするものです。後者については,Windowsの設定におけるぜい弱性をチェックし一覧表にして表示します。例えば,(1)ローカル・アカウントのパスワードや,(2)不要なサービスの有無,(3)アプリケーションのセキュリティ設定,などです。(1)では,パスワードが空白であったり,ユーザー・アカウント名やコンピュータ名と同一であったりする場合や,passwordやadministratorという単語である場合などを指摘します。
ドメイン名を指定すると,ドメイン全体の複数のコンピュータをチェックすることができます。また,IPアドレスで範囲を指定すると,その範囲内にあるWindowsマシンをチェックします。ただし,Windows95/98/Meは対象外となります。
なお,チェックするには各クライアントPCの管理者権限またはドメイン管理者権限が必要です。
Officeは別ツールで調べる
MBSAは,Microsoft Office製品については設定のぜい弱性を調べるだけで,パッチ適用状況まではチェックしません。Office製品のほか,JavaVMについてもチェックをしたい場合は,開発元であるShavlik Technologiesから別に提供されている「HFNetChkPro/同LT」が利用できます。無償版であるHFNetChkLT(図2[拡大表示])は,検査だけであれば台数に制限がなく利用できます。パッチ配布も同一ネットワーク上にあるクライアントPC10台まで可能です。