セキュリティパッチが長期間未適用のPCの遮断運用では、Systemwalker Desktop Patrolで配信設定したセキュリティパッチの未適用状態が猶予期間(7日~365日)を超過した場合にネットワークセキュリティ製品が遮断します。
本機能を利用するには、CTの導入以外に対象機能の追加導入が必要です。“導入ガイド”の“検疫連携機能の追加導入”を参照してください。
クライアントの設定
[環境設定]-[ポリシーグループ管理]-[各種ポリシーのカスタマイズ]-[セキュリティポリシー]タブ-[システムセキュリティ監査設定]タブの設定は以下のとおりです。
設定が必須となる項目を以下に示します。任意の項目については運用に合わせて設定してください。
設定項目 | 設定値 | 必須/任意 |
---|---|---|
[更新プログラム(適用状況)] | 監査する | 必須 |
監査ソフトウェアの設定
CTのユーザー情報に監査情報を追加することで、管理者は以下をソフトウェア監査で状況確認できます。必要に応じて設定します。
検疫連携機能のインストール状況
検疫連携機能での現在の遮断指示状況
以下のコマンドをCS上で実行します。
SWDTP_auditsetup.exe /b
コマンドを実行すると、メインメニューの [環境設定]-[監査ソフトウェアの設定]画面の[ソフトウェア辞書]-[ユーザー定義]ツリーに、「ネットワークセキュリティ製品連携」グループが追加され、その中に以下の3つの定義が追加されます。
項目 | 内容 |
---|---|
検疫連携機能 インストール | 検疫連携がインストールされているかを監査します。 |
検疫連携機能 ネットワーク遮断指示なし | 検疫連携機能によりネットワーク遮断されていないことを監査します。 |
検疫連携機能 ネットワーク遮断指示中 | 検疫連携機能によりネットワーク遮断されていることを監査します。 |
クライアントの動作
セキュリティパッチ未適用を検知した場合、以下のメッセージを表示します。各メッセージはdtp_blocknetwork_config.iniを変更することでデフォルトの値から変更が可能です。
dtp_blocknetwork_config.iniの詳細については、“リファレンスマニュアル”を参照してください。
通知項目 | 通知タイミング |
---|---|
ネットワーク遮断予告通知 |
|
ネットワーク遮断通知 |
|
ネットワーク遮断解除通知 |
|
注意
ログイン時の確認タイミングで、最新のパッチ適用状況を取得できない場合は、以前の通知項目が表示されます。その後1時間以内に、通知されます。なお、設定された通知タイミングで各通知のポップアップを閉じない場合、次の通知が行われません。
通知項目
ネットワーク遮断予告通知
未適用パッチに、クイック実行形式のパッチが含まれない場合
未適用パッチに、クイック実行形式のパッチが含まれる場合
ネットワーク遮断通知
CTでセキュリティパッチの未適用を検出した日を1日目とします。猶予期間を90日(デフォルト)に設定している場合、91日目の0時0分以降にネットワーク遮断通知を表示します。CTの日付・時刻を使用します。
未適用パッチに、クイック実行形式のパッチが含まれない場合
未適用パッチに、クイック実行形式のパッチが含まれる場合
ネットワーク遮断解除通知
セキュリティパッチの適用完了が確認できた場合
ネットワーク遮断解除の通知を行い、ネットワークセキュリティ製品の再ログインを促します。
通知タイミング
猶予期間設定が90日、遮断予告開始日設定7日の場合の通知タイミングパターンを説明します。
a. 毎日ログインする場合
b. セキュリティパッチ配信後、最初のログイン日がセキュリティパッチ配信日よりも遅い場合
c. セキュリティパッチ配信後、最初のログイン日から8日目にログインされなかった場合
d. (b)かつ(c)の場合
注意
セキュリティパッチが配信されてから初回ログイン後のインベントリ収集完了後の時間を基準として、7日(168時間)経過後にインベントリ収集をした時点で違反と判定します。この日をセキュリティパッチ未適用8日目と数え、猶予期間を超過した日に遮断します。遮断は日付が変わって1時間後、またはログインしたタイミングで実施されます。