[HOWTO] SUS を使用したパッチ管理の実行
公開日: 2004年6月2日
トピック
目的
このモジュールの目的
| • | SUS および MBSA を使用して、パッチ管理プロセスの 4 段階すべてを実装する。 |
適用対象
このモジュールは、次の製品およびテクノロジに適用されます。
| • | Microsoft Software Update Services (SUS) 1.0 with Service Pack 1 |
| • | Microsoft Baseline Security Analyzer (MBSA) Version 1.1.1 |
モジュールの使用方法
このモジュールでは、SUS および MBSA を使用して、4 段階のパッチ管理プロセスを実装する方法について詳しく説明します。
このモジュールから最大限の成果を得るには、以下を参照してください。
要約
このモジュールでは、SUS および MBSA を使用して、企業のパッチ管理を配信する方法について説明します。このモジュールで提供されるガイダンスおよび情報は、推奨される 4 段階のパッチ管理プロセスの実装方法を示します。
はじめに
このモジュールを使用し始める前に、以下の準備手順を実行する必要があります。
知っておく必要のあること
このモジュールを使用する前に、以下について認識している必要があります。
| • | GUI (Mbsa.exe) を使用するか、またはコマンド ライン (Mbsacli.exe) から MBSA を操作することができます。 |
| • | MBSA はポート 138 および 139 を使用して、スキャンを実行します。 |
| • | MBSA は、スキャンするコンピュータに対する管理者権限が必要です。オプション "/u" (ユーザー名) および "/p" (パスワード) を使用して、スキャンを実行するユーザー名を指定できます。ユーザー名とパスワードをコマンド ファイルやスクリプトなどのテキスト ファイルに格納しないでください。 |
| • | MBSA には次のソフトウェアが必要です。 | • | Microsoft Windows XP、Microsoft Windows 2000、または Microsoft Windows NT 4.0 SP4 以降のオペレーティング システム (ローカル スキャンは簡単なファイル共有を使用する Windows XP コンピュータのみ) | | • | Internet Information Services (IIS) 4.0、5.0 (IIS の脆弱性チェックに必要) | | • | Microsoft SQL Server 7.0、2000 (SQL の脆弱性チェックに必要) | | • | Microsoft Office 2000、XP (Office の脆弱性チェックに必要) |
|
| • | MBSA の場合、次のサービスをインストールし、有効にする必要があります。 | • | Server サービス | | • | Remote Registry サービス | | • | ファイルとプリンタの共有 |
|
| • | SUS はポート 80 を介してのみ機能します。クライアント上の自動更新コンポーネントは、このポート上の SUS サーバーとのみ通信できます。 |
| • | SUS 1.0 SP1 は、Service Pack 2 以降がインストール済みの Windows 2000 Server で実行されます。IIS はサーバー上で有効になっている必要があります。 |
評価段階: 更新プログラムをスキャンする
SUS を使用して運用環境にソフトウェア更新プログラムを展開し始める前に、監査が実行される必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「インベントリ/監査を実行する」セクションを参照してください。
パッチ管理として SUS を使用する場合は、監査とスキャンに MBSA を使用する必要があります。MBSA は次のオペレーティング システムの不足しているセキュリティ更新プログラムと Service Pack、および確認された脆弱性をレポートします。
| • | Microsoft Windows Server 2003 |
| • | Windows XP |
| • | Windows 2000 |
| • | Windows NT 4.0 |
また、MBSA は、コンピュータの構成が一般的なセキュリティの推奨事例 (強固なパスワードなど) に準拠しているかどうかもレポートします。
さらに、MBSA は次のアプリケーションの不足しているセキュリティ更新プログラムをレポートします。
| • | Microsoft Internet Information Server 4.0 |
| • | Microsoft Internet Information Services 5.0 および 6.0 |
| • | Microsoft SQL Server Desktop Engine (MSDE) 1.0 および MSDE 2000 を含む Microsoft SQL Server 7.0 および SQL Server 2000 |
| • | Microsoft Exchange Server 5.5 および Exchange 2000 Server (Exchange 管理ツールを含む) |
| • | Microsoft Internet Explorer 5.01 以降 |
| • | Microsoft Windows Media Player 6.4 以降 |
MBSA は次のアプリケーションの誤って構成された設定も識別します。
| • | Internet Information Server 4.0 |
| • | Internet Information Services 5.0 および 6.0 |
| • | Internet Explorer 5.01 以降 |
| • | SQL Server 7.0 および SQL Server 2000 (MSDE 1.0 および MSDE 2000 を含む) |
| • | Office 2000 と Office XP |
| • | MBSA を使用して更新プログラムをスキャンするには 1. | MBSA がインストールされたワークステーションにドメイン管理者としてログオンし、MBSA の GUI モードを実行します。 | 2. | [スキャンする複数のコンピュータの選択] をクリックし、スキャンするドメイン名または Internet Protocol (IP) アドレス範囲を入力します。ドメイン全体をスキャンする場合は、入力する名前は DNS 内の完全修飾ドメイン名 (FQDN) ではなく、ドメインの NetBIOS 名にする必要があります。 | 3. | 図 1 で示すように、[SUS サーバーを使用する] を選択し、「http://server 」と入力します。server は対応する SUS サーバー名に置き換えます。  図 1 ドメインまたは IP アドレス範囲のコンピュータのスキャン
拡大表示する | 4. | [スキャンを開始する] をクリックし、結果を待ちます。 | 5. | [表示するセキュリティ レポートの選択] をクリックし、レポートを表示するコンピュータをクリックします。 | 6. | [結果の詳細情報] をクリックし、詳細を表示します。 |
|
注: MBSA は、http://support.microsoft.com/default.aspx?scid=kb;ja;306460 にあるサポート技術情報の 306460 「Microsoft Baseline Security Analyzer (MBSA) で一部の更新プログラムについて注意が表示される」に一覧表示されているオペレーティング システムおよびソフトウェア アプリケーションのソフトウェア更新プログラムの有無のみを検出します。
MBSA の出力により、スキャンの対象としてプログラムされたソフトウェア アプリケーションのうちどれが物理的に IT インフラストラクチャにインストールされているのか、およびこれらのアプリケーションをセキュリティで保護するために適用する必要があるセキュリティ更新プログラムを識別できます。
図 2 に、IIS 5.0 が Windows 2000 メンバ サーバーにインストールされている例を示します。
図 2 MBSA スキャンからの出力
MBSA の GUI バージョンは、ファイル バージョンとレジストリ キー情報をスキャンします。運用環境をさらに包括的にスキャンするには、スキャンされたセキュリティ更新プログラムごとにファイル チェックサム バージョン、ファイル バージョン、およびレジストリ キー情報を確認する、コマンド ライン バージョンの MBSA (Mbsacli.exe) を使用して実行できます。
MBSA コマンド ライン バージョンを使用するための 2 つのオプションがあります。
| • | セキュリティ更新プログラムのスキャンのみを実行するには、"/hf" スイッチを使用します。 |
| • | 完全なコンピュータのスキャンを実行するには、"/hf" スイッチを使用しません。 |
Mbsacli.exe を "/hf" スイッチと共に使用すると、コマンド ラインで表示されるか、出力ファイルに送信可能なスキャン結果が作成されるのに対して、Mbsacli.exe を "/hf" スイッチと共に使用しないと、後で MBSA の GUI で表示可能な XML スキャン レポートが生成されます。Mbsacli.exe /hf からの出力は、詳細な分析を行うために、Microsoft Excel またはテキスト ファイルにインポートできます。
評価段階: 環境のベースラインを設定する
Microsoft Excel 内の "ピボットテーブルとピボットグラフレポート" 機能を MBSA コマンド ライン ユーティリティ (Mbsacli.exe /hf) の出力と連携して使用することにより、運用環境に何が展開されているかを識別し、適切なベースラインを設定することができます。バックグラウンド情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「インベントリ/監査を実行する」セクションを参照してください。
注: SUS クライアントは、SUS サーバーで利用可能になった (許可された) 更新プログラムを自動的に適用します。したがって、これらの更新プログラムをビルド イメージに含める必要はなく、新しいコンピュータがドメインに参加したときに適用されます。しかし、実際は、コンピュータを正しく運用するため、またはセキュリティの脆弱性を軽減するために重要な SUS により使用可能にした更新プログラムは数多くあります。これは、管理者が、新しいコンピュータが運用に展開された瞬間から保護されるように、基本となるビルドに新しいセキュリティ更新プログラムを追加しておく必要があることを意味します。
評価段階: SUS インフラストラクチャをデザインする
ソフトウェアの配布インフラストラクチャの評価は、効果的なパッチ管理プロセスのもう一つの重要な部分です。バックグラウンド情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「既存のソフトウェアの配布インフラストラクチャを査定する」セクションを参照してください。
図 3 に示すように、microsoft.com の Microsoft Windows Update サーバーからソフトウェア更新プログラムを自動的にダウンロードするには、SUS 親サーバーを 1 台だけ構成する必要があります。テストに合格し、展開を許可された更新プログラムのみが、親サーバーで許可されることに注意してください。
SUS 親サーバーは、事前に構成された同期スケジュールを使用して、microsoft.com の Microsoft Windows Update サーバーから重要な更新プログラムやセキュリティ更新プログラムを毎日ダウンロードします。SUS 親サーバーでは、ファイアウォール経由で、TCP の発信ポート 80 が開かれている必要があります。
SUS テスト サーバーは、SUS 親サーバーから更新プログラムをダウンロードするように構成されます。また、同期を毎日行うようにスケジュールされます。この同期スケジュールは、SUS 親サーバーが microsoft.com の Microsoft Windows Update サーバーとの同期を行った 1 時間後に行われるように設定されます (1 時間は SUS 親サーバーの同期スケジュールの可能な最短時間です)。これは、できる限り迅速にパッケージが SUS テスト サーバーに置かれ、許可やテストの準備が整うようにするためのスケジュールです。
SUS テスト チームは、SUS テスト サーバーで新しい更新プログラムを許可する必要があります。更新プログラムが許可されるとすぐに、すべての SUS テスト クライアントでその更新プログラムが利用できるようになります。すべての SUS テスト クライアントが SUS テスト サーバーに同時にポーリングするのを防ぐため、SUS テスト クライアントは (最大 20% をランダムに差し引いて) 22 時間ごとにサーバーにポーリングします。特定の更新プログラムのテストに成功したら、SUS 管理者は SUS 親サーバー上のその更新プログラムを許可する必要があります。
SUS 親サーバー上で更新プログラムの許可が行われると、そのサーバーにレポートしている SUS クライアントは、既定ではその更新プログラムのダウンロードを 22 時間以内に開始します。インストールは、指定されたスケジュールにしたがって開始されるか、またはローカルの管理者が実行した時点で開始されます。SUS 子サーバーにレポートしているクライアント コンピュータは、子サーバーに許可が届いた時点から 22 時間以内に更新プログラムのダウンロードを開始します。
SUS 子サーバーは、毎日、親サーバーとの同期を自動的に行うように構成されています。子サーバーでは、SUS 親サーバーからの許可済みの項目だけでなく、すべてのコンテンツを同期し、ダウンロードします。同期が行われると、SUS 親サーバー上のすべての許可済みの更新プログラムが SUS 子サーバーにミラー化され、ミラー化された SUS 子サーバーから重要な更新プログラムやセキュリティ更新プログラムをポーリングするように構成されている運用 SUS クライアントでその更新プログラムがすぐに利用できるようになります。
図 3 に示されているトポロジ デザインでは、管理者が SUS 親サーバー上の更新プログラムを許可するだけで、すべての運用 SUS クライアントで更新プログラムが利用できるようになります。すべての SUS サーバー上で手動で同期を実行することはいつでも可能です。
マイクロソフトでは、時折、ソフトウェア更新プログラムの検出基準 (メタデータ) を更新します。この更新により、ソフトウェア更新プログラムが "更新" 状態であると表示されるようになります。また、ソフトウェア更新プログラムが再発行され、これにより "更新" 状態がインターフェイスに表示されるようになる場合もあります。ソフトウェア更新プログラムが再リリースされることはほとんどありませんが、再リリースされる場合は、これに関する情報がソフトウェアの更新情報に表示されます。SUS の GUI で元のバージョンの更新プログラムが既に許可されている場合、SUS 管理者は SUS サーバーを行使して、更新プログラムの再リリース バージョンを自動的に許可するか、手動で許可するかのいずれかにできます。
改訂された更新プログラムをテストしないで運用環境に自動的にリリースされないようにするには、管理者は、SUS サーバーで [許可された更新の新しいバージョンを自動的に許可せずに、これらの更新を後で手動で許可する] を選択します。
同期間隔
親サーバーは、毎日同期するスケジュールで microsoft.com の Microsoft Windows Update サーバーから更新プログラムを取得するように構成する必要がありますが、管理者が SUS サーバー管理ページで [今すぐ同期] オプションを手動で選択して、更新プログラムを頻繁に要求することもできます。
ダウンロードは、ネットワークが混雑していない時間帯に行われるように構成する必要があります。以下の図 4 に示すように、通常は 1 日に 1 回で十分です。
図 4 更新プログラムのダウンロード用の SUS の構成
拡大表示する
子サーバーは、定期的な間隔で親サーバーから新しい更新プログラムを自動的に取得するように構成する必要があります。この間隔は、親サーバーが microsoft.com の Microsoft Windows Update サーバーから更新プログラムを取得してから少なくとも 1 時間後に行われるように設定する必要があります。
管理者が、予定されている次のダウンロードの前に更新プログラムを認識した場合は、[今すぐ同期] オプションを使用することができます。
識別段階: 通知を取得する
環境を評価し終えたら、次の段階は問題の識別と利用可能な更新プログラムに関する情報の取得です。バックグラウンド情報については、モジュール「パッチ管理フェーズ2 - 識別」の「新しいソフトウェア更新プログラムを探索する」セクションを参照してください。
Microsoft Security Notification Service
電子メールによる通知は、ソフトウェア更新通知の最も一般的な形態です。電子メール通知を受けるためのオプションの 1 つは、「マイクロソフト プロダクト セキュリティ警告サービス 日本語版のご案内」 (http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx) の購読を申し込むことです。
SUS 更新プログラム警告サービス
SUS 更新プログラム警告サービスにサインアップした場合は、通常、下図 5 のような、電子メール メッセージを介した SUS を使用して、展開可能な新しい更新プログラムが通知されます。電子メールでは、microsoft.com の Windows Update サーバーで新しい更新がダウンロード可能であることを示しますが、この更新プログラムについての情報は示しません。
図 5 Microsoft Software Update Services を介して利用可能な新しいソフトウェア更新プログラムについて管理者に通知する電子メール メッセージの例
拡大表示する
識別段階: 通知を処理する
通知を受け取ったら、どのソフトウェア更新プログラムが利用可能になったかを識別する必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ2 - 識別」の「新しいソフトウェア更新プログラムを探索する」セクションを参照してください。
SUS では、新しい電子メール更新通知を受信したときは常に、SUS サーバーと microsoft.com の Windows Update サーバー間で同期を強制的に行う必要があります。これは、図 6 に示す、SUS サーバー管理ページの [今すぐ同期] オプションを使用して実行できます。
図 6 SUS サーバーと Microsoft Windows Update サーバーのコンテンツを強制的に同期
拡大表示する
注: SUS サーバー管理ページに表示される更新プログラムのみが SUS により展開できます。
運用環境内のコンピュータに対する個々のソフトウェア更新プログラムの関連性を判断するには、関連するセキュリティ情報またはサポート技術情報を一読している必要があります。これらの文書には、以下の手順に従って、SUS サーバー管理ページ内からアクセスできます。
| • | ソフトウェア更新プログラムの詳細を検索するには 1. | 許可ログのハイパーリンクをクリックします。 | 2. | 調査する特定の更新プログラムを検索します。 | 3. | 特定の更新プログラムの [詳細] をクリックします (図 7 参照)。  図 7 SUS 許可ログ | 4. | [更新の詳細] ダイアログ ボックスで、[情報] アイコンをクリックします (図 8 参照)。  図 8 更新プログラムのサポート情報へのアクセス |
|
注: 管理者が、SUS サーバー管理ページによる許可のために特定の更新プログラムを選択すると、その更新プログラムはその他の更新プログラムとの依存関係を自動的に通知します。特定の更新プログラムを許可すると、その特定の更新プログラムに依存するすべての更新プログラムが自動的に許可されます。自動更新クライアントは、更新プログラムが正しい順番でインストールされるようにします。
識別段階: セキュリティ更新プログラムが安全であることを確認する
上記で説明したように、Microsoft Windows Update サーバーから利用可能なすべてのセキュリティ更新プログラムは、デジタル署名されています。署名は、新しい更新ごとに、セキュリティ更新プログラムをダウンロード時に SUS サーバーにより自動的に確認されます。バックグラウンド情報については、モジュール「パッチ管理フェーズ2 - 識別」の「ソフトウェア更新プログラムの適合性を判断する」セクションを参照してください。
SUS 親サーバーは、新しい更新プログラムをダウンロードし、その更新プログラムを拡張子 (.tmp) の一時ファイルに格納します。ファイルはデジタル署名が正しく確認された後のみ、元のファイル拡張子 (たとえば .exe) に戻され、図 9 に示すように \Content\Cabs フォルダに格納されます。
図 9 SUS サーバーのデジタル署名付きの更新プログラムの場所
更新プログラムがデジタル署名の確認に合格しない場合、SUS ダウンロード サーバーのイベント ログにエラーが書き込まれ、図 10 に示すように、同期ログが署名確認エラーによる更新プログラムのダウンロードの失敗を示します。
図 10 デジタル署名検証の失敗
SUS 管理者は、同期ログを毎日確認して、ダウンロードの失敗をチェックする必要があります。SUS クライアントは、microsoft.com の Windows Update サーバーまたは SUS サーバーのどちらから更新プログラムをダウンロードしても、同じプロセスを実行します。
SUS の親サーバーは、組織内のクライアントや SUS サーバーの更新プログラムの発行元なので、SUS 管理者はウイルス スキャン プログラムがサービスとしてサーバー コンピュータにインストールされ、すべての着信ファイルと発信ファイルをスキャンするように構成されていることを確認する必要があります。
ソフトウェア更新プログラムのインストール手順の確認
アンインストールが機能することをテストすることが重要になります。アンインストール後は、サーバーが問題なく動作することをチェックして、イベント ログおよびシステム モニタ カウンタを監視する必要があります。
ソフトウェア更新プログラムは SUS により自動的にアンインストールできないため、コントロール パネルの [アプリケーションの追加と削除] を使用して手動で削除する必要があります。多数のコンピュータが影響を受ける場合は、このタスクを実行するスクリプトを開発する方が適切です。
評価と計画段階: 更新をスケジュール設定する
変更およびコンピュータの再起動を行える時期が特定されている (停止期間)、ビジネス上重要なコンピュータを使用する場合は、ソフトウェア更新プログラムの展開およびその結果として必要なシステムの再起動はこれらの停止期間内にスケジュール設定される必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」セクションを参照してください。
| • | SUS 環境で更新をスケジュール設定するには 1. | グループ ポリシー オブジェクト (GPO) のポリシー設定を、[自動的にダウンロードし、インストールの前に通知する] 設定を使用して、必要な更新プログラムをダウンロードしても、"インストールしない" ように構成します。 | 2. | 該当するサーバーのイベント ログを監視して、必要な更新プログラムがダウンロードされ、インストール待ちの状態になっていることを確認します。 | 3. | そのサーバーにログオンして、変更管理で合意した日時にインストールし、必要な場合は、コンピュータの再起動を許可します。 |
|
ワークステーションでの新しい更新プログラムのインストール (および可能性のあるコンピュータの再起動) を通常の勤務時間外に実行するようにスケジュール設定する場合は、[自動更新のインストールの予定を変更する] GPO 設定を使用して、予定されていたインストールに失敗したコンピュータが、自動更新サービスが開始された時点でインストールが行われるようにスケジュールを変更できることが不可欠です。
注: この GPO 設定を使用しない場合は、(クライアント コンピュータの電源がオフになっていたことにより) 予定していたインストールに失敗したとき、この時点以後にコンピュータを再起動しても、インストールは行われません。その代わりに、SUS クライアント ソフトウェアは、インストールの再試行を、スケジュールが設定された次の開始時刻まで待機します。これにより、予定したインストール時刻にコンピュータがオンラインでない限り、更新プログラムが適用されないという問題が発生する可能性があります。
既定では、更新プログラムのインストールに再起動が必要なときは、コンピュータが強制的に再起動される前に、ローカル管理者権限を持たないユーザーが作業を保存または確保できるように、5 分間だけ猶予が与えられます。
| • | 強制的な再起動を防ぐには 1. | [自動更新のインストールで、システムを自動的に再起動しない] GPO 設定を使用して、再起動の動作を制御します。この GPO 設定が有効なときは、ユーザーがログオンしているときに自動更新による自動的な再起動は行われません。 | 2. | この設定の効果があるのは、エンド ユーザーが各自のコンピュータに "再起動" 権限を持っている場合のみです。 |
|
注: 更新プログラムを適用する製品が Windows Installer を使用して展開された場合は、インストーラにより元のインストール ファイルにアクセスする必要がある場合があります。 ソフトウェア更新プログラムの自動インストールを実行する場合は、これらのファイルは、製品を最初にインストールしたときと "同じ" 場所にある必要があります。製品を CD ドライブなどの物理メディアからインストールした場合、Windows Installer は現在挿入している CD から元のファイルを検出しようとします。
評価と計画段階: 緊急変更要求を展開する
緊急変更要求には、特定の手順と考慮事項が必要です。バックグラウンド情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」セクションを参照してください。
変更要求が、ソフトウェア更新プログラムがビジネスにとって重要であることを示している場合は、以下を行う必要があります。
| • | グループ ポリシーを使用して、定期的にスケジュール設定された保守期間の前に、クライアントがソフトウェア更新プログラムを強制的にインストールするようにします。 |
| • | 通常の同期スケジュールを上書きし、それによって、SUS 子サーバーは、 SUS サーバー管理ページの [今すぐ同期] オプションを使用して、更新プログラムをダウンロードする SUS サーバーとすべての子サーバー間のレプリケーションを強制することにより、ネットワークが混雑していない時間帯に更新プログラムを同期します。 |
評価と計画段階: リリースを構築する
更新プログラムを展開する前に、更新プログラムの実行可能ファイルと配布物の準備が必要な場合があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを作成する」セクションを参照してください。
SUS により展開される更新プログラムは、microsoft.com の Windows Update サーバーから直接ダウンロードされ、既に .exe ファイル形式にパッケージ化されているため、展開用に再パッケージ化するための追加の作業は必要ありません。
SUS を使用してパイロット公開を実行する
バックグラウンド情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「受け入れテスト」セクションを参照してください。
| • | パイロット公開を実行するには 1. | SUS パイロット サーバーのみで更新プログラムを許可します。他のすべての SUS サーバーでは更新プログラムを許可しません。 | 2. | 新しいサイト レベル GPO ("SUS pilot GPO" と呼びます) を作成し、ポリシー設定を構成して、この GPO を適用するコンピュータが更新プログラムの SUS パイロット サーバーを参照するようにします。 | 3. | SUS パイロット クライアントだけがこの GPO に対して "ポリシー設定の読み取りと適用" 権限を持つようにセキュリティのフィルタ処理を適用します。 | 4. | SUS パイロット GPO を、サイトに割り当てられた GPO のリストの上位に置くことにより、高い優先順位を持つようにします。ポリシーが適用されていることを確認するには、[強制] (Windows Server 2003) または [上書き禁止] (Windows 2000) オプションが有効になっていることを確認します。 | 5. | 更新プログラムが正しく運用環境に展開されたら、管理者は SUS パイロット GPO を削除する必要があります。パイロットに関係するクライアントは、グループ ポリシーを更新したら、新しい更新プログラムを運用 SUS サーバーに戻す必要があります。 |
|
パイロットが成功しなかった場合、パイロット SUS サーバーでその更新プログラムは "許可されない" 必要があり、既にその更新プログラムをインストールしたクライアントでアンインストールされる必要があります。管理者は、可能な場合には、コントロール パネルの [アプリケーションの追加と削除] を使用して、アンインストールを手動で行う必要があります。更新プログラムを手動でアンインストールできない場合は、Windows XP ではシステムの復元ユーティリティを使用し、Windows Server 2003 と Windows 2000 では、バックアップと復元ツール (または使用可能なその他の復旧テクノロジ) を使用して、クライアントへ更新プログラムをインストールする前の最後の既知の適切な状態に戻します。
展開段階: 公開スケジュールを通知する
更新プログラムを安全で正常に展開するには、更新プログラムのインストール プロセスを支援するために特定の作業が必要な場合もあるので、ユーザーに通知する必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「展開を準備する」セクションを参照してください。
| • | 公開スケジュールを明確に通知するには 1. | ユーザーや管理者に更新プログラムについて警告し、インストール方法についての情報を提供するために、明確で容易に身元を確認できる電子メール メッセージを送信します。営業時間外にデスクトップに更新プログラムを展開する場合、指定された日にエンド ユーザーが夜間コンピュータの電源をオンにしたままにする必要があることを、電子メール メッセージで示します。 | 2. | このメールは、ユーザーや管理者にソフトウェア更新プログラムをインストールするのに必要なアクションを通知するために "ご協力お願いします" というフラグを付ける必要があります。これらのアクションは、特定の SUS クライアントに有効なダウンロードおよびインストール ポリシーの設定によって異なります。 | • | ダウンロードの通知とインストールの通知
ローカル管理者権限でログオンしているユーザーには、クライアント コンピュータに適用される新しく許可された更新プログラムが通知されます。[新しい更新をインストールする準備ができました] がタスク バーに表示されたときには必ず、更新プログラムをダウンロードするオプションを選択する必要があります。インストールを完了するには、ダウンロード完了後、 [新しい更新をインストールする準備ができました] が表示されたときに、ソフトウェア更新プログラムをインストールするオプションを選択する必要があります。
現在検出されている更新プログラムがインストールされていない限り、自動更新クライアントは SUS サーバーに対してこれ以上更新を連絡しません。 | | • | 自動ダウンロードとインストールの通知
クライアント コンピュータに適用する承認済みの新しい更新プログラムは、自動更新クライアントによって自動的にダウンロードされます。ソフトウェア更新プログラムをインストールするには、ローカル管理者権限でログオンしているユーザーは、[新しい更新をインストールする準備ができました] 通知が表示されるときに、インストールするオプションを選択する必要があります。
現在検出されている更新プログラムがインストールされていない限り、自動更新クライアントは、SUS サーバーに対してこれ以上更新を連絡しません。 | | • | 自動ダウンロードとインストールのスケジュール設定
このオプションが選択されている場合は、ローカル管理者権限でログオンしているユーザーには、新しい更新プログラムが利用可能であることが通知され、インストール予定時刻より前に更新プログラムをインストールするオプション、またはインストールの完了後に再起動を遅延するオプション (必要な場合) が提供されます。
ローカル管理者権限を持たないユーザーには、このオプションはありません。更新プログラムはスケジュールが設定された時刻にバックグラウンドでインストールされます。これらのユーザーは、[自動更新のインストールで、システムを自動的に再起動しない] ポリシー設定が有効になっている場合にのみ、コンピュータの再起動を遅延するオプションを持ちます。この設定が無効な場合は、自動更新クライアントは、システムが 5 分以内にシャットダウンし、この期間が過ぎた後で、システムの再起動が自動的に行われることをユーザーに通知します。 注: [自動更新のインストールの予定を変更する] GPO 設定を使用して、予定されていたインストールに失敗したコンピュータは、自動更新サービスが開始されたときにインストールが行われるようにスケジュールを変更できることも不可欠です。 |
|
|
展開段階: SUS サーバー上で更新を行う
クライアントが新しい更新プログラムをインストールするには、この更新プログラムがローカル SUS サーバーに存在する必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「展開を準備する」セクションを参照してください。通常のビジネス運用への影響を避けるには、ネットワークが混雑していない時間帯に SUS 子サイトに更新プログラム (および許可された更新プログラムのリスト) を同期するようスケジュール設定する必要があります。各子サーバーの同期ログを確認して、そのサーバー上で特定の更新プログラムが利用できるかどうかを確認する必要があります。図 11 は、このプロセスを示しています。
図 11 子サーバーで更新プログラムが利用できることの確認
更新プログラムが SUS 子サーバーに存在しない場合は、手動で同期を実行して更新プログラムをダウンロードしてから、更新プログラムを受け取ったことを確認するため、同期ログを調べます。
注: 境界ネットワークに SUS サーバーが存在する場合、SUS ダウンロード サーバーからの SUS 関連のコンテンツは、オフライン メディアにコピーされ、境界ネットワークに転送された後、ソース ファイルを取得するように構成されるローカル SUS サーバーからサーバーにコピーされます。
| • | 段階的な公開により更新プログラムをリリースするには 1. | SUS 親サーバーからの更新プログラム "許可" リストの同期を無効にします。子サーバーは更新内にファイルのコピーを持っていますが、このコピーはクライアントには展開されません。それは許可リストが同期されていないためです。 | 2. | 異なるサイトへの公開を開始するには、許可リストの同期を有効にする必要があります。 |
|
展開段階: クライアント コンピュータにソフトウェア更新プログラムを提供する
ソフトウェア更新プログラムを運用環境に展開するには、最初に、ソフトウェア更新プログラムをクライアント コンピュータに提供する必要があります。公開には、段階的な公開と、すべてのクライアントが同じ展開期間内に更新プログラムを受け取ることができる公開があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「対象のコンピュータにソフトウェア更新プログラムを展開する」セクションを参照してください。
オープンな公開
段階的な公開を必要としない場合は、次のプロセスを実行する必要があります。
| • | オープンな公開を実装するには 1. | SUS 親サーバーで更新プログラムを許可します。これにより、図 12 に示すように、更新プログラムを取得するために SUS 親サーバーを使用するクライアントに対して更新プログラムが利用可能になります。  図 12 SUS 親サーバー上の更新プログラムの許可
拡大表示する | 2. | SUS クライアントは、新しい更新プログラムが利用可能になったときに、ローカル管理者に通知するように自動更新クライアントが構成されていた場合、次の検出サイクル、またはローカル管理者によって指示されたときに、新しく許可された更新プログラムのダウンロードを開始します。 |
|
SUS クライアントは、新しい更新プログラムを検索するために 17 時間から 22 時間ごとに SUS サーバーにポーリングします。新しい更新プログラムが許可され、ローカル SUS サーバー上で利用可能になると、その更新プログラムが自動的にダウンロードされ、新しい更新プログラムが利用可能であることがログオンしているユーザーに通知されます (そのユーザーにローカル管理者権限がある場合)。ダウンロードが完了したら、自動更新クライアント用に選択された以下のインストール オプションに従ってインストールが行われます。
注: ダウンロードを通知するオプションとインストールを通知するオプションが選択されている場合は、更新プログラムは自動的にダウンロードされません。ログオンしているローカル管理者はこれに対してダウンロードを行うよう要求する必要があります。
自動更新インストール オプションは次のとおりです。
| • | 定期インストール:
更新プログラムは、スケジュールが設定されたインストール時刻にインストールされます (ローカル管理者がそれよりも前にインストールしない場合)。コンピュータは、インストールを行うようにスケジュールが設定された時刻にオンラインになっている必要があります。ただし、[自動更新のインストールの予定を変更する] GPO 設定により、予定していたインストール時刻にインストールできなかったコンピュータは、自動更新サービスの再開時に、インストールを実行します。 |
| • | インストールの通知:
ローカル管理者は、(ログオンしているときに) 更新プログラムがインストールできるようになったという通知を受けます。通知を受けた管理者は、更新プログラムをすぐにインストールすることも、より適切な時刻までインストールを延期することもできます。ローカル管理者権限を持たないユーザーは、保留中の更新プログラムを認識しません。 |
インストールされる更新プログラムで再起動が必要な場合、ローカル管理者には、より適切な時刻まで再起動を延期するオプションが与えられます。再起動を行うまでは、新たな更新プログラムのダウンロードまたはインストールは行われません。
インストールのスケジュールを設定するオプションと [自動更新のインストールで、システムを自動的に再起動しない] GPO 設定を有効にすることにより、コンピュータの再起動権限を持つユーザーおよびローカル管理者権限を持つユーザーは、インストール後に再起動するという問い合わせを受けます。たとえば、ターミナル サービスにより、そのコンピュータに他のユーザーがリモート デスクトップ ツールを使用して、対話的にログオンしていない場合のみ再起動を実行できます。
SUS 子サーバーは、上記で説明した方法で、次の同期間隔に更新プログラムの許可を同期し、クライアントに対して更新プログラムを利用可能にします。
ローカルの管理者権限を持つユーザーは、図 13 に示されているタスク バー アイコンにより、予定しているインストール時刻を待機しているすべての更新についての通知を受け取ります。通知を受け取ったユーザーは、(ログオンしているときに) すぐにインストールを強制的に行うか、予定しているインストール時刻に自動的にインストールが行われるのを待機できます。
図 13 ログオン ユーザーへの新しい更新プログラムの通知
これらの権限を持たないユーザーについては、[自動更新のインストールで、システムを自動的に再起動しない] ポリシー設定が有効になっている場合、図 14 に示すように、更新プログラムがインストールされ、コンピュータを再起動する必要があることを示す唯一の手段は、通知メッセージだけです。
図 14 自動的に再起動しない SUS クライアント
これ以外の場合は、自動更新クライアントは、システムが 5 分以内にシャットダウンされ、この期間が過ぎた後で、システムの再起動が自動的に行われることをユーザーに通知します。
段階的な公開
段階的な公開により更新プログラムをリリースする場合は、次のプロセスを実行する必要があります。
| • | 段階的な公開を実装するには 1. | SUS 親サーバーで更新プログラムを許可します。 | 2. | 親サーバーがサポートするクライアントへの更新プログラムの展開が正常に完了した後、公開の次の段階でクライアントをサポートする SUS 子サーバーの許可リストの同期を有効にする必要があります。 |
|
たとえば、すべての Windows XP クライアントに影響する更新プログラムを、最初にシアトルのクライアントにリリースし、展開が完了後、ケンブリッジのクライアントにリリースする場合、SUS 管理者が最初にシアトルの SUS サーバーで更新プログラムを許可すると、クライアントが更新プログラムのダウンロードとインストールを開始します。SUS 管理者は、シアトルでの展開が完了したときに、公開の準備段階中は無効になっていた、ケンブリッジの SUS サーバーの許可リストの同期を有効にします。正常に許可リストが同期された後、シアトルのサーバーで許可された更新プログラムが、ケンブリッジのサーバーがサポートするクライアントで使用可能になります。
緊急変更要求
場合によっては、SUS サーバー管理ページでの更新プログラムの許可の取得から対象サーバー上での更新プログラムの展開までの遅延を避ける必要がある場合もあります。ビジネスに不可欠なサーバーでは、差し迫ったセキュリティ侵害を防ぐようにデザインされた更新プログラムを、スケジュールが設定された次のインストール時刻まで待機するのではなく、できるだけ迅速に展開する必要があります。
以下のプロセスはソフトウェア更新プログラムを配布し、それをビジネスに不可欠なサーバーにインストールを強制するために取る必要がある手順を示しています。ワークステーションに適用されるソフトウェア更新プログラムについても、同様なプロセスが行われます。
注: このプロセスは、ソフトウェア更新プログラム ファイルと更新許可リストを SUS サーバーで利用するため、十分なネットワーク帯域幅が使用できるビジネス拠点でのみ正常となります。
| • | SUS およびグループポリシーを使用して更新プログラムを迅速に展開するには 1. | 一時的なグループ ポリシー オブジェクト (GPO) を組織単位 (OU) 構造の適切な部分に割り当て、適切なコンピュータに更新プログラムが適用されるようにセキュリティ フィルタ処理を使用します。この一時的な SUS GPO は、通常使用している SUS GPO よりも高い優先順位を設定する必要があります。この GPO 内のポリシーの設定では、自動更新クライアントを無効にするように構成し、コンピュータのグループ ポリシーの既定の更新間隔を 5 分に変更する必要があります。 | 2. | ドメイン コントローラ レプリケーションを強制的に行い、すべてのドメイン コントローラが新しいグループ ポリシー オブジェクトのコピーを所持するようにします。 | 3. | OU 内のすべてのクライアントでグループ ポリシーの更新を最大 120 分間待機します。 | 4. | 新しい GPO ポリシー内のポリシー設定を変更して、自動更新クライアントを有効にし、自動ダウンロードと自動インストールも設定します。自動インストールが現在時刻から 1 時間後に行われるように設定します。 | 5. | ドメイン コントローラ レプリケーションを強制的に行い、すべてのドメイン コントローラが変更したグループ ポリシー オブジェクトのコピーを所持するようにします。 | 6. | すべての SUS クライアントで、更新された SUS GPO 設定の更新を約 5 分間待機します。GPO が有効になったら、自動更新クライアントは、SUS サーバーから新しい更新プログラムのダウンロードを開始する必要があります。インストールは、指定した時刻になると開始されます。 | 7. | すべての対象のコンピュータに正しく更新プログラムがインストールされたら、これらすべての変更を行うために使用した一時的な GPO を削除します。グループ ポリシーの設定が更新された後に、サーバーは既存の自動更新のダウンロードとインストール オプションに戻ります。 |
|
注: この手順は、ビジネスの運用にとって重要であると判断した更新プログラムに対してのみ検討する必要があります。通常の状況では、管理者は標準の SUS インストール スケジュールまで待機する必要があります。
展開段階: 展開の進捗状況を監視およびレポートする
さまざまな理由で更新プログラムのインストールができない場合があるので、展開の進捗状況を監視できることが重要になります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「対象のコンピュータにソフトウェア更新プログラムを展開する」セクションを参照してください。
SUS 環境で展開済みの更新プログラムが正常にリリースされることを監視するために、MBSA ツールを実行し、MBSA 出力リストで作成されたレポート内で、特定のソフトウェア更新プログラムが不足していると表示されるかどうかを監視する必要があります。
また、MBSA では、インストール済みの更新プログラム、および SUS サーバーで許可され、まだインストールされていない更新プログラムを識別することもできます。
| • | 複数台のコンピュータをスキャンするには 1. | MBSA がインストールされたワークステーションにドメイン管理者としてログオンし、MBSA の GUI モードを実行します。 | 2. | [スキャンする複数のコンピュータの選択] をクリックし、スキャンするドメイン名または IP アドレス範囲を入力します。ドメイン全体をスキャンする場合は、入力する名前は DNS 内の完全修飾ドメイン名 (FQDN) ではなく、ドメインの NetBIOS 名にする必要があります。 | 3. | 図 15 で示すように、[SUS サーバーを使用する] を選択し、「http://server」と入力します。server は対応する SUS サーバー名に置き換えます。  図 15 ドメインまたは IP アドレス範囲のコンピュータのスキャン
拡大表示する | 4. | [スキャンを開始する] をクリックし、結果を待ちます。 | 5. | [表示するセキュリティ レポートの選択] をクリックし、レポートを表示するコンピュータを選択します。 | 6. | [結果の詳細情報] をクリックし、詳細を表示します。 |
|
展開の進捗状況として、以下を含む、特定のコンピュータがソフトウェア更新プログラムをインストールできない理由が多数ある場合があります。
| • | コンピュータがさまざまな理由でオフラインになっている (ユーザーが機能していない、ユーザーがダイヤルする必要がある、ユーザーがモバイル ユーザーである、またはコンピュータが保守を行っているなど)。 |
| • | コンピュータが再構築中または再イメージ化されている。 |
| • | 自動更新クライアントを持つコンピュータが SUS サーバーと通信していない。 |
| • | 自動更新クライアント サービスが、ユーザーによって、または保守の一環として、停止されている。 |
| • | コンピュータのディスク領域が少ない。 |
これらのいずれかの理由により、指定の SLA 内で更新プログラムが適用されないクライアント コンピュータが存在する場合は、どのように軽減するための手順を取ったらよいかを判断する必要があります。コンピュータのすべてに更新プログラムを適用できない場合も、これらのコンピュータに更新プログラムを適用できない、またはすべきでない理由を完全に理解する必要があります。
次に、ソフトウェア更新プログラムのインストールの失敗に対処し、コンピュータ間の整合性を保持するためのガイドラインを示します。
| • | 最初の段階中に失敗したコンピュータを識別するために、常に、展開の最初の段階の後で環境をスキャンし直してください。 |
| • | 展開の進捗状況を常に監視し、レポートします。再スキャンと監視により、例外として報告された対象コンピュータに再展開が行われます。 |
| • | 常に、優先順位を付けて、失敗した展開の根本的原因を見つけてください。 |
| • | コンピュータがオフラインまたは再構築中である場合は、自動更新クライアント サービスが正常な状態であれば、コンピュータが次にオンラインになるときにソフトウェア更新プログラムがダウンロードされ、インストールされます。 |
| • | 展開の成功率を増すには、このセクション全体のガイドラインを参照してください。 |
| • | 展開が正常に行われなかった場合の対処 1. | 自動更新クライアントの SUS 関連のエラーに関するイベント ログを確認します。自動更新クライアントで発生する可能性のあるイベントの完全な一覧については、http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx から入手できる「Software Update Service の展開」ホワイト ペーパーの付録 B「Software Updates Services イベント ログ メッセージ」を参照してください。 | 2. | 失敗した自動更新クライアントを検索するには、SUS サーバーの IIS ログを調べます。クライアントの IP アドレス エントリとログ エントリを調べます。問題がダウンロードの失敗による場合は、出力されたエントリごとに (404 などの) HTTP リターン コードを確認します。 | 3. | Windows Update ログ ファイルを調べます。このログ ファイルには、自動更新クライアントが実行したすべての作業がログ記録され、このファイルは、各クライアント コンピュータのシステム フォルダのルートにあります。以前の作業とエラー メッセージの詳細情報をスキャンする必要があります。 | 4. | Iuhist.xml ファイルを調べます。このファイルは、インストール済みの履歴全体と更新プログラムがどこからダウンロードされたかをログに記録します。ファイルは Program Files\WindowsUpdate\V4 にあります。 |
|
自動更新クライアントが更新プログラムをダウンロードしていない場合は、レジストリで自動更新クライアントのステータスを確認する必要があります。
| • | 自動更新クライアントのステータスを確認するには 1. | レジストリ内で、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update に移動します。 | 2. | 自動更新クライアントの AUState 値を検索します。クライアントが新たに許可された更新プログラムを検索するには、AUState の値が 2 に設定されている必要があります。AUState の値が 5 に設定されると、クライアントはダウンロード済みの更新プログラムのインストールを保留し、これらの更新プログラムがインストールされるまで、新しい検出を実行しません。クライアントは、インストール完了後に AUState を 2 に再設定します。AUState が 7 に設定されると、クライアントが無効になります。AUState が 8 に設定される場合は、インストールは行われますが、コンピュータは再起動しません。 |
|
展開段階: 失敗した展開を処理する
展開が失敗し、停止してロールバックする必要があると判断した場合は、公開を停止して、失敗した更新プログラムをアンインストールし、それらを再び展開する必要があります。バックグラウンド情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「対象のコンピュータにソフトウェア更新プログラムを展開する」セクションを参照してください。
許可された更新プログラムの展開の停止
展開が失敗し、それ以上インストールが行われないように、SUS サーバーで更新プログラムの許可を取り消す必要があります。ローカル管理者は、更新プログラムを既にダウンロードしていて、まだインストールしていないクライアントでは、インストールされる更新プログラムの一覧からその更新プログラムを手動で削除できます。
図 16 では、管理者が Q318138 更新プログラムをインストールしないことを選択しています。
図 16 インストールしない更新プログラムの選択
注: 図 16 に示すように、ローカル管理者が特定の更新プログラムをインストールしないことを選択した場合、SUS 管理者が SUS サーバー管理ページでその更新プログラムを再度許可しても、その更新プログラムはインストールされません。このような場合、コンピュータのローカル管理者は、そのクライアントでコントロール パネルの [自動更新] の [拒否された更新] ボタンを使用することによってのみ、その更新プログラムをインストールできます。
コンピュータに許可済みの更新プログラムがインストールされた場合、その更新プログラムを削除できるのは、コントロール パネルの [プログラムの追加と削除] を使用する場合のみです。削除できない更新プログラムもあることに注意してください。このような場合は、Windows XP コンピュータでは、システムの復元ユーティリティを使用してロールバックできます。Windows 2000 システムや Windows Server 2003 システムでコンピュータを更新前の既知の適切な状態に戻すには、これらのシステムのバックアップと復元テクノロジに依存する必要があります。ただし、特定の更新プログラムを審査およびテストするときに、この情報が調査され、確立される必要があります。また、アンインストールできない更新プログラムを展開する前に、常にバックアップする必要があります。
