Loading
|
|
@IT|@IT自分戦略研究所|QA@IT|イベントカレンダー+ログ |
|
Loading
|
|
| @IT > 高度なWindowsセキュリティを維持可能にするUpdateEXPERT Ver.5.1登場 - Page1 |
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo} |
企画:アットマーク・アイティ 営業企画局 制作:アットマーク・アイティ編集局 掲載内容有効期限:2003年3月5日 |
|
|
|
システムのセキュリティ・ホールをふさぐために、マイクロソフトは積極的に修正モジュール(HotFix)を公開している。システムの安全性を第一に考えれば、これらを鋭意、システムに適用して、ガードの堅いシステムを維持すべきだが、作業は複雑で面倒である。また手間の問題だけでなく、それを適用したことによる副作用の心配(これまで使えていたものが、使えなくなるなど)もぬぐい切れない。管理者は、セキュリティ・ホールの修正か、アプリケーションの安定運用かという板ばさみにある。 こうしたHotFixマネージメントを省力化し、ネットワーク管理者を支援するツールとして、米国で高い評価を受けているUpdateEXPERTの日本語版が発売されることになった。UpdateEXPERTは、米St.Bernard
Softwareが開発したもので、国内ではアップデートテクノロジーが販売する。本稿では、UpdateEXPERTのしくみと、主要な機能の解説し、UpdateEXPERTを使ったHotFix管理の実際を概観してみる。
UpdateEXPERTは、HotFixマネージメントに関して、企業のネットワーク管理者が直面しているさまざまな問題を解決してくれる。UpdateEXPERTの主要な機能をまとめると次のようになる。
UpdateEXPERTは、管理者のコンピュータに「管理コンソール」と呼ばれるソフトウェアをインストールし、これを使ってクライアントのHotFix管理を集中的に行う。UpdateEXPERTの構成を図にすると次のようになる。
UpdateEXPERTでは、「管理コンソール」と呼ばれる管理用ソフトウェアを管理者のコンピュータにインストールし、ここから集中的にクライアントのHotFix管理を行う。管理コンソールから能動的に各クライアントの状態(HotFixの適用状態)を検査し、インターネット上に用意されたHotFix情報サーバから最新のHotFix情報を取得し、クライアントごとに、まだ適用されていないHotFixなどを検出して、クライアントに対してリモートからこれを適用する。HotFixのモジュール自体は、マイクロソフトのサーバから管理コンソールにダウンロードする。
まずは図1の中央にある「UpdateEXPERT管理コンソール」に注目していただきたい。 UpdateEXPERTを利用する管理者は、自身で使用するコンピュータにUpdateEXPERT管理コンソールというソフトウェアをインストールする。以後、管理者はこの管理コンソールを使って、管理対象となるネットワーク内のコンピュータからインベントリ情報(OSやアプリケーション、ミドルウェアの構成、そしてどのHotFixが適用済みで、どれが未適用かなどの情報)を取得し、必要と思われるHotFixを管理コンソールからネットワーク経由で管理対象コンピュータに適用する。つまり管理者は、HotFixの適用状況調査から、その適用までを、管理コンソール1台で集中的に実行できる。 管理対象コンピュータには、クライアント用途のコンピュータはもちろん、サーバOS(Windows NT Server 4.0やWindows 2000 Server)を搭載したコンピュータも含まれる。OSやInternet Explorerなどの基本ソフトウェアだけでなく、IISやExchange Server、SQL Serverといった主要なミドルウェアにも対応しており、これらを対象とするHotFixもUpdateEXPERTを使ってサーバに適用可能だ(UpdateEXPERTがサポートするソフトウェアについては、本稿の最後に掲載した対応リストを参照)。
UpdateEXPERT日本語版の発売元であるアップデートテクノロジーは、インターネット上に独自のHotFix情報サーバを構築し、UpdateEXPERT管理コンソールに対して最新のデータベース情報を提供する。UpdateEXPERT管理コンソールは、定期的にこのHotFix情報サーバにアクセスし、最新のデータベース情報をダウンロードする(マニュアルでのダウンロードも可能)。 こうしてダウンロードされるデータベース情報の内部には、マイクロソフトがどのようなHotFix/Service Packを公開しているか、各HotFixの対象ソフトウェアが何か、複数のHotFix間の依存関係がどのようになっているか(適用順序や、包含関係にあるHotFixの情報など)といった情報が記録されている。UpdateEXPERTはこのデータベース情報を基にして、管理対象コンピュータに適用すべきHotFixの種類や、HotFixの適用順序などを判別する。例えばService Packは、それまでに公開された複数のHotFixを一括して収録している。従ってService Packを適用すれば、そこに収録されている個別のHotFixを適用する必要はない。従来、手作業でHotFixを適用するときには、こうしたHotFixの依存関係などを管理者が意識する必要があったが、UpdateEXPERTでは、これらの面倒な作業を管理コンソールに任せられる点も評価すべきポイントである。UpdateEXPERTを使ってService Packを適用すると、その中に含まれる個別のhotfixは、自動的に「適用済み」として扱われるようになるなど、管理の手間が軽減できる。 マイクロソフトがHotFixを公開しても、その情報が直ちにUpdateEXPERT用のデータベースに反映されるわけではない。アップデートテクノロジーは、提供するデータベースを使って正しくHotFixが適用できることを検証するための独自の設備を持っている。ここで、適用対象となるあらゆるOSやミドルウェアの組み合わせを再現して適用テストを行い、テストをパスした場合にのみデータベース情報を更新・公開する。このテストをもってしても、HotFixの有効性(例えばセキュリティ・ホールが間違いなく解消されるなど)を保証することにはならないが、適用によって生じる初歩的な副作用(ブルースクリーンになるなど)に対する危険性は低減されるはずだ。 情報サーバからのデータベースのダウンロードでは、Webアクセスで使用する通常のHTTPプロトコルが使用される。従ってインターネット接続にファイアウォールが存在する場合でも、情報サーバへの接続は問題なく行える。
SUS(Microsoft Software Update Services)のように、管理対象コンピュータ側に特別なモジュールをインストールする必要はない。UpdateEXPERT管理コンソールは、リモートで管理対象コンピュータのレジストリやファイル・システムを調査して、インベントリ情報を取得する。ただしこのために、管理対象コンピュータに対する管理者権限が必要であり、管理対象コンピュータ側では、Remote Registryサービスが有効になっている必要がある。また管理対象コンピュータのOSはWindows NT 4.0/Windows 2000/Windows XP Professional(Home Editionは対象外)のNT系OSに限定され、ファイル・システムもNTFSである必要がある。 さて、続いてUpdateEXPERTの詳細を見ていこう。
|
運用 Microsoft Software Update Servicesの実力を探る(2002/7/09) Windows最新Hotfixリスト Windowsを最新状態にするための情報と手順(2002/4/27) ソフトはみんな生きている(2002/4/23) セキュリティ・パッチの適用状態を調べる(1) ―― HFNetChkツールの使用法(2002/1/26)
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
