Dark Core (外部ネットワークに接続されていない LDMS コアサーバ) のセットアップ方法

バージョン 3

    検証バージョン

    LANDESK Management Suite 9.5

    LANDESK Management Suite 9.6

    LANDESK Management Suite 2016.x


     

     

    Dark Core のセットアップ ステップ バイ ステップ

    概要

    前提条件

    手順

     

     

    概要

    このドキュメントは、Light Core (外部ネットワークに接続された LDMS コアサーバ) から Dark Core (外部

    ネットワークに接続されていない LDMS コアサーバ) への定義ファイルのコピーに関する詳細な手順を示しています。

    この仕組みは、セキュリティ上の要件やネットワーク接続の問題等を解決するために使用される場合があります。

     

     

    前提条件

    ユーザーは LANDesk Management Suite に関するファイルや機能について十分精通している必要があります。

    ユーザーは 2台のサーバ (1台は Light, もう1台は Dark) を使用可能である必要があります。

    ユーザーは LANDesk Management Suite を標準設定 (ファイル及びドライブの指定等を含む) でインストールしている

    必要があります。

     

     

    手順

    ステップ 1 : 2台のコアサーバの準備

    Light Core から Dark Core へのファイルのダウンロードを完了するために、パッチ マネージャのデータベース

    テーブルをリセットする必要があります。

    既に事前にダウンロードされたパッチデータが存在する場合、ダウンロードが正常に完了しないためです。

     

    以下の手順を 2台のコアサーバに対してそれぞれ実施します。

     

    1. コマンド プロンプトを開く
    2. "C:\Program Files\LANDESK\ManagementSuite" へ移動する
    3. CoreDbUtil.exe /patchmanager コマンドを実行する
    4. タスク マネージャのプロセス リストを開き、 CoreDbUtil.exe プロセスが終了するのを確認する

    (CoreDbUtil.exe のログファイルは "\Program Files\LANDESK\ManagementSuite\Log" に格納されています)

     

     

    ステップ 2 : Dark Core フォルダ構成の準備

     

    Dark Core コアサーバにおいて、脆弱性 XML ファイル及び実際のパッチ ファイルを配置する場所を設定する必要があります。

    簡便にするために、LANDesk によって既に生成されているフォルダ構成をそのまま使用することを推奨します。

    通常、パッチ ファイルは "\Program files\LANDESK\ManagementSuite\LDLogon\patch" に格納されています。

    別の場所を指定したい場合は当該ドキュメントの上記ファイル パスを適宜読み替えてください。

    Dark Core コアサーバにおいて過去に一度もパッチをダウンロードしたことがない場合は、上記フォルダを手動で

    作成する必要があります。

     

     

    ステップ 3 : Light Core コアサーバでのコンテンツ検索

     

    Light Core コアサーバでパッチと準拠の画面を開き、ダウンロードしたい全てのカテゴリのパッチを選択します。

    加えて、パッチのダウンロード において "上記で選択した定義のパッチをダウンロード" を選択し、適用の上画面を閉じます。

     

    [画像]

     

    1. コマンド プロンプトを開く
    2. "C:\Program Files\LANDESK\ManagementSuite" へ移動する
    3. VAMiner.exe /noprompt /copy コマンドを実行する (スクリプトで実行する場合は /noui オプションをさらに追加します)
    4. ダウンロードするカテゴリを選択し、"今すぐダウンロード" を押下する

    (VAMiner.exe は LANDesk パッチ コンテンツ サーバへ接続し、コンテンツのダウンロードを実施する実行ファイルです)

     

    最初のダウンロードではパッチの定義だけでなくパッチそのものをダウンロードするため、完了までには

    ある程度の時間を要します。 (そのため、Dark Core のストレージ容量は十分に確保する必要があります)

    ダウンロードされたパッチはパッチ ディレクトリに格納されます。通常、パッチ ディレクトリは

    "\Program Files\LANDESK\ManagementSuite\LDLOGON\patch" になります。

     

    このプロセスが正しく完了しているかを確認するために、

    "\Program Files\LANDESK\ManagementSuite\LDLOGON\patch"

    及び配下のディレクトリに .XML ファイルが格納されているかを確認します。

    .XML ファイルは、 LANDesk コンテンツダウンロード プロセスが指定された脆弱性定義に基づき生成します。

    これらのフォルダ構成やファイルは変更しないでください。

     

     

    ステップ 4 : Light Core コアサーバの PatchSources ファイル及びパッチ ディレクトリのコピー

    Light Core コアサーバに格納されている ENU_PatchSourcesXXX*.xml (XXX には使用している LDMS の

    バージョンが入ります) ファイルを、

    "\Program Files\LANDESK\ManagementSuite\LDMAIN" から

    "\Program Files\LANDESK\ManagementSuite\LDLOGON\PATCH" へコピーします。

     

    このステップは、 VAMiner.exe (パッチ コンテンツをダウンロードする内部プログラム) がファイルの場所を

    捜索する際に必要となります。

     

    また、繰り返しとなりますが、XXX には使用している LDMS のバージョンが入るため、

    9.5 の場合 :    ENU_PatchSources95.xml

    9.6 の場合 :    ENU_PatchSources96.xml

    2016.3 の場合 : ENU_PatchSources101.xml

    となります。

     

    この段階ではファイルを修正する必要はなく、指定された場所に存在していれば構いません。

     

     

    ステップ 5 : Dark Core コアサーバの ENU_PatchSourcesXXX.xml ファイルを準備する

    "\Program Files\LANDESK\ManagementSuite\LDMAIN" フォルダには、多くの ENU_PatchSources ファイルが

    格納されています。 (ファイルの末尾は数字で終了します)

    これらは現在及び以前の LDMS のバージョンを示します。

    最新かつ実際に使用しているコアサーバの環境のバージョンを選択します。

     

    (例)

    2016.3 コアサーバを使用している場合、存在する ENU_PatchSources ファイルは以下の通りです。

     

    ENU_PatchSources951.XML
    ENU_PatchSources961.XML
    ENU_PatchSources101.XML
    

     

     

    ここでは ENU_PatchSources101.XMLファイルを選択します。

    もし英語版以外の環境を使用している場合は、その言語に準じたファイルを選択してください。

    スペイン語版 : ESP_PatchSources101.XML

    日本語版        : JPN_PatchSources101.XML

     

    以下のように ENU_PatchSourcesXXX.xml ファイルを編集します。

     

    XML ファイルに以下の文字列が記載されています。

     

    ‘/LDPM8/ldvul.php?%Credentials%KEYWORD=filename&FILENAME=’

     

    この文字列を /ldlogon/Patch (もしくは別途指定したパッチ格納ディレクトリ) に変更します。

     

    編集前 :

    <PatchesSrcRelativePath>/LDPM8/ldvul.php?%Credentials%KEYWORD=filename&amp;FILENAME=patches</PatchesSrcRelativePath>
    <LDAVRelativePath>/kvirus-8.0/mirror</LDAVRelativePath>
    <CVEMoreInfo>http://cve.mitre.org/cgi-bin/cvename.cgi?name=%CVE_ID%</CVEMoreInfo>
    

     

    編集後 :

    <PatchesSrcRelativePath>\LDLOGON\PATCH</PatchesSrcRelativePath>
    <LDAVRelativePath>/kvirus-8.0/mirror</LDAVRelativePath>
     <CVEMoreInfo>http://cve.mitre.org/cgi-bin/cvename.cgi?name=%CVE_ID%</CVEMoreInfo>
    

     

    次に、パッチ コンテンツ サーバの場所となる URL を変更する必要があります。

    これは <Sites> タグに格納されており、3箇所 (米国西部、米国東部、ヨーロッパ) 記載があることが確認できます。

    このうち 2箇所を削除し、残った 1箇所の内容を変更します。

    通常、ここには名前解決可能な Dark Core のホスト名を入力します。

    併せて、<Description> タグも同様に変更します。

     

    [画像]

     

    コアサーバに手動でコピーしたコンテンツが存在している場合、名前を Dark Core コアサーバ名に変更します。

    Light Core と Dark Core の間に一定のもしくは定常的なネットワーク接続が存在する場合は、名前を Light Core

    コアサーバ名に変更します。

     

    以下のセクションでは、Dark Core コアサーバにダウンロードする定義のダウンロードのカテゴリを選択し、それに

    基づいた .XML ファイルの編集を行います。通常、ここでは LANDesk パッチサーバの情報をローカル パスに変更する

    作業となります。

     

    以下の例では、Windows 脆弱性の Microsoft Windows 脆弱性に関する修正を行っています。

    繰り返しとなりますが、パッチ コンテンツ サーバの場所情報をローカル ディレクトリ情報に修正します。

    また、<Enabled>true</Enabled> タグを追加することができます。

    これは、脆弱性カテゴリの横にあるチェックボックスを、更新のダウンロード画面を開いた際にあらかじめ

    チェック済みにするのと同等の機能です。

     

    Windows2 文字列を検索することで正しい箇所の検索を行い、<URL> タグの内部を修正します。

    <URL> タグの正しい修正後の内容は

     

    <URL>/LDLOGON/PATCH/Windows2</URL>
    

     

    となります。

     

    また、<Enabled>true</Enabled> タグを追加することができます。

    これは、脆弱性カテゴリの横にあるチェックボックスを、更新のダウンロード画面を開いた際にあらかじめ

    チェック済みにするのと同等の機能です。

    このタグを追加しない場合、更新のダウンロード画面を開くたびに脆弱性カテゴリの横にあるチェックボックスに

    チェックを行う必要があります。

     

    [画像]

     

    ダウンロードしたいコンポーネントごとの修正を行った結果、 FILENAME=Windows2 という文字列によって

    パッチ ディレクトリ配下の Windows2 サブディレクトリが使用されるようになります。

    例として、 ソフトウェア更新の LANDESK Data Analytics 更新を変更する場合、"LANDESK Data Analytics Updates"

    カテゴリを検索します。

     

    この場合、

    <URL>/LDPM8/ldvul.php?%Credentials%KEYWORD=filename&amp;FILENAME=LDDA</URL> を

    <URL>/LDLOGON/PATCH/LDDA</URL>

    と変更します。

     

         編集前 :

         <Source>
            <URL>/LDPM8/ldvul.php?%Credentials%KEYWORD=filename&amp;FILENAME=LDDA</URL>
            <Description>LANDESK Data Analytics Updates</Description>
            <ShowInLDSM>true</ShowInLDSM>
            <ShowInLSM>true</ShowInLSM>
         </Source>
    

     

         編集後 :

         <Source>
            <URL>/LDLOGON/PATCH/LDDA</URL>
            <Description>LANDESK Data Analytics Updates</Description>
            <ShowInLDSM>true</ShowInLDSM>
            <ShowInLSM>true</ShowInLSM>
            <Enabled>true</Enabled>
         </Source>
    

     

    すべての編集が終わったら Patchsourcestemp.xml ファイルとして保存し、ファイル属性を読み取り専用に変更します。

    (ファイルを右クリックし、プロパティから読み取り専用属性を付与)

    読み取り専用に変更したらファイル名を再び patchsources.xml と変更します。

    これらはすべて LDMAIN フォルダ配下で実施します。

     

     

    ステップ 6 : Dark Core コアサーバへ脆弱性定義をインポートする

    ここで Dark Core コアサーバへデータベースへの挿入を行うためにデータの移動を実施する必要があります。

    パッチ ディレクトリ及び配下のディレクトリに格納されているファイルのすべてを外部ハード ドライブや

    ネットワーク共有、もしくは任意の箇所にコピーします。

    これには脆弱性定義の .XML ファイルやダウンロードされた Light Core コアサーバ上のパッチが含まれています。

     

    Light Core コアサーバが Dark Core コアサーバにネットワーク アクセスできる場合は、これらのファイル転送は

    自動化可能です。

    コアサーバ上でコンテンツのダウンロードを定期的に実施する際、内部では "VAMiner /noprompt /noui /copy"

    コマンドが使用され、アップデートされたデータが Dark Core コアサーバにコピーされます。

     

    Light Core コアサーバのパッチ ディレクトリから Dark Core コアサーバのパッチ ディレクトリへのコピー時、

    ディレクトリは同じように見えるようにします。

     

    更新のダウンロードを Dark Core コアサーバで実行する際、ManagementSuite フォルダの VAMiner.exe が

    単純にスクリプト経由で実行されます。

     

     

    Light Core コアサーバから Dark Core コアサーバへ自動でデータのコピーを行う場合:

     

    Light Core コアサーバから Dark Core コアサーバへ自動でデータのコピーを行う場合、以下のステップが

    実行されることを確認します。

     

    1. コアサーバ上で "VAMiner.exe /copy /noprompt /noui" が実行される
    2. パッチ ディレクトリ及び配下のディレクトリに格納されているすべてのファイルが、 Dark Core コアサーバのパッチ ディレクトリにコピーされている。これはコンテント レプリケーションや robocopy、その他の手法によって実行される
    3. VAMiner.exe が パラメータ無しで Dark Core コアサーバ上で実行される

     

     

    これらの処理が自動実行スケジュールで行われる場合、各ステップは前のステップが完了する十分な時間が

    あらかじめ与えられている必要があります。

     

     

    英語版:

    https://community.ivanti.com/docs/DOC-7776