サイバー攻撃の多くは脆弱性を悪用して行われます。パッチや修正プログラムを適用して脆弱性を解消することは、サイバーセキュリティの基本ですが、リモートワークやハイブリッドワークを前提とした分散されたワークプレイスにおいて、インターネット経由してデバイスに対しOS、ドライバー、BIOSの修正プログラムの適用、各種設定を行うことは容易ではありません。“実践サイバーハイジーン”シリーズでは、このような環境下でHPのビジネスPCに対して効果的にパッチや修正プログラムを適用するノウハウを解説します。
今回は、Microsoft Endpoint Manager(Intune)とHP Image Assistant(HPIA)を使用してHPビジネスPCのデバイスドライバーの更新を自動化する方法を説明します。HPIAは実行したPCのOSイメージ(BIOS、ドライバー、HPソフトウェアなど)をHPの工場イメージの最新の構成と比較し、推奨するドライバーやソフトウェアをHP.COMからダウンロードしてインストールすることができます。対象のPCに事前にインストールされているHPIAを、Intuneの「プロアクティブな修復」の機能を利用して定期的に実行し、デバイスのドライバーが最新かどうかチェックし、最新でなかった場合にはドライバー更新します。
対象のPCはMicrosoft Endpoint Manager(Intune)に登録されていている必要があります。対象のPCにはHPIAがインストールされている必要があります。Microsoft Endpoint Manager(Intune)を使用してHPIAをインストールする方法は、「実践サイバーハイジーン:Microsoft Endpoint Manager(Intune)でHP Image Assistant(HPIA)を展開する」を参照してください。次のいずれかのライセンスが必要です。
PowerShellスクリプトファイルの作成
注記:下記のスクリプトではHIPAがC:\SWSetup\SP143766フォルダにインストールされていることを前提としています。違うフォルダにインストールされている場合はC:\SWSetup\SP143766の部分を実際のフォルダに置き換えてください。
$HPIA_folder = "C:\SWSetup\SP143766"
$HPIA_reco = "$HPIA_folder\Recommendations"
$HPIA_exe = "$HPIA_folder\HPImageAssistant.exe"
$HPIA_category = "Drivers,Firmware"
if([System.IO.File]::Exists($HPIA_exe)){
if(Test-Path $HPIA_reco){Remove-Item $HPIA_reco -Recurse -Force}
Start-Process $HPIA_exe -ArgumentList "/Operation:Analyze /Category:$HPIA_category /Action:List /Silent /ReportFolder:""$HPIA_reco""" -Wait
$HPIA_analyze = Get-Content "$HPIA_reco\*.json" | ConvertFrom-Json
if($HPIA_analyze.HPIA.Recommendations.count -lt 1){
Write-Output "Compliant, no drivers needed"
Exit 0
}else{
Write-Warning "Found drivers reccomend to be installed: $($HPIA_analyze.HPIA.Recommendations)"
Exit 1
}
}else{
Write-Error "HP Image Assistant missing"
Exit 1
}
注記:下記のスクリプトではHIPAがC:\SWSetup\SP143766フォルダにインストールされていることを前提としています。違うフォルダにインストールされている場合はC:\SWSetup\SP143766の部分を実際のフォルダに置き換えてください。
$HPIA_folder = "C:\SWSETUP\SP143766"
$HPIA_report = "$HPIA_folder\Report"
$HPIA_exe = "$HPIA_folder\HPImageAssistant.exe"
$HPIA_category = "Drivers"
Start-Process $HPIA_exe -ArgumentList "/Operation:Analyze /Action:Install /Category:$HPIA_category /Silent /AutoCleanup /reportFolder:""$HPIA_report""" -Wait
$HPIA_analyze = Get-Content "$HPIA_report\*.json" | ConvertFrom-Json
Write-Output "Installation completed:
$($HPIA_analyze.HPIA.Recommendations)"
Intuneにプロアクティブな修復を設定します。
これでプロアクティブな修復にドライバーを最新の状態にするスクリプトパッケージが作成されました。割り当てたデバイスグループに所属するPCに対して、設定したスケジュールに従い、ドライバー更新のスクリプトが展開されるようになり、PCのドライバーを最新に保つことができます。
Author : 日本HP