• ベストアンサー

WSUS セキュリティパッチ

先日、オフラインでのセキュリティパッチの適用に関して質問させていただきまして、 その際にWSUSのことを教えていただきました。 その後、自分で調べてみたのですが、よくわからなかったので知っている方がいらっしゃれば 教えてください。 WSUSを利用して、オフライン環境にあるクライアント端末に最新セキュリティパッチを適用できる ようにしたいのですが、うまく適用できる方法はないでしょうか? ※IEやサービスパックは適用しません。 よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.4

ちょっと気になることがあるので書かせて頂きます。 WSUSをUpdate元としているクライアントを手動で更新させることは可能です。 Windows Vista及びWindows 7であれば、 「コントロール パネル\システムとセキュリティ\Windows Update」で 「更新プログラムの確認」をクリックすればいいです。 Windows XPであればコマンドプロンプトで wuauclt.exe /detectnow コマンドを実行すればいいです。 このコマンドはWindows Vista及びWindows 7でも有効です。 WSUSをクライアントOS上で運用するのはOSの使用許諾契約に違反します。 理由は周知されていることですので割愛します。 WSUSサービスを使用しますので例外(追加のライセンス条件)にあるIISの項目にも当てはまらないです。 運用する場合は必ずサーバOS上のに構築して下さい。

takeru3323
質問者

お礼

お礼が大変遅くなりました。 前回に引き続き、情報・アドバイス本当にありがとうございます。 アドバイスを元に対応してみます。

その他の回答 (4)

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.5

>Windows XPであればコマンドプロンプトで >wuauclt.exe /detectnow >コマンドを実行すればいいです。 コマンドを打っても、すぐにダウンロードが始まるわけではありません。 バックグラウンドでWSUSと更新プログラムの有無をデータベースチェックして、それから自動DLが始まりますので、コマンドを打ってから30分程度かかることもあります。 病院のクライアントPCの数が200台以上ありますので、それも関係しているでしょうが、IEでWindowsUpdate更新するみたいに迅速ではありません。 また、コマンドを打ってバックグラウンドでWSUSと通信を始めると、CPUにもよりますが50%(Pen4)くらいCPU使用率が持っていかれます。 Pen3だと1Ghz CPUでも100%になります。 C2Dでも20~30%になります。 WSUSと常時接続しているPCだと、そんなに使用率は持っていかれません。(コマンドを打たない状態で・・・) >WSUSサービスを使用しますので例外(追加のライセンス条件)にあるIISの項目にも当てはまらないです。 Win2K~Win7でもIISが標準で付いています。 HTTP(WWW)・FTPサーバ モドキがきちんと出来ます。 クライアント同時アクセス数が5ユーザーって言うだけ。 SQLサーバもMicrosoft SQL Server 2000 Desktop Engine をインストール。 自宅で勉強用・動作チェック確認する為に一度インストールしましたので。(現在はアンインストールされていますが・・・) installできたと言う事は、問題なかったのでしょう。(ただしWSUS初期の物。 最新バージョンはサーバOSに限定されています。) 使用許諾契約違反ではありません。 Win2000Proで使う方法(インストール方法)もMSが説明しています。 参考までに・・・ http://technet.microsoft.com/ja-jp/library/cc708532(WS.10).aspx Vista・Win7の「更新プログラムの確認」っと言うのは無知でした。m(_ _)m 病院の電子カルテの関係では、Win2k・WinXP専用ですので。 Vistaは無し(ダウングレードXP)で次はWin7対応になる予定。 って感じなので、自宅のPCもVista・Win7は全てダウングレードXPで使用しています。 ANo.4 maesenさんの情報に誤りが多々ありますので、ご注意下さい。 この場を借りて、maesenさんご指摘有難うございます。      

takeru3323
質問者

お礼

お礼が大変遅くなりました。 お忙しい中、いろいろな情報ありがとうございました。 情報を元に対応してみます。

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.3

WSUSは2台は必要ありません。 WSUSインストールPCにLANポートを2つ設ければ良い話です。 >WSUSサーバーとクライアントは別場所にありまして・・・ (もう運用しているのかな??) オフライン環境のPCでも、パッチをあてる時だけWSUSかMSに接続させてパッチをあてるのがベストだと思います。 WSUSは、WindowsUpdate・MSUpdateのHPに相当するページがないので、手動更新が出来ない。 (自動ダウンロードがすぐに始まるとは限らない。) MSUpdateサイト http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ja >月1程度に更新されたパッチを遠地のクライアントに適用させるためにUSB等に入れて対応させたいと思っています。 そう言う事でしたら、必要なファイルをネットにつながるPCでダウンロードセンターからUSBに保存して、パッチをあてればよいかと。。。 (どのような方法であってもバッチファイルを作成しなくて良いが、順番にインストールさせる必要性がある場合は、バッチファイルで実行させた方が楽です。) http://www.microsoft.com/downloads/ja-jp/default.aspx わざわざWSUSを用意する必要はないかと思われます。 が・・・・  オフライン環境PCが1~3・4台くらいなら、更新の時だけネットに継げるようにした方が楽な気がします。(WSUSも使わず。) ネット環境が無い場合は、基本ウィルス対策重視を考えれば良い気がします。 セキュリティパッチが必要となる主な理由は、ネットワークに繋がっている環境下でのセキュリティホールの対策です。 次にウィルスに感染しているファイルの対策。 ファイルデータ破壊か、ファイルデータを流出させる目的のウィルスが大半だと思います。 ネットに繋がっていないのなら、流出の心配はない。 ------ 思いついた事を箇条書き ※ 以下 無視 可 ※ WSUS用PCが1台必要になる。 (現存のPCにインストールでもかまわないけど、基本は24時間稼動PCとします。) 24時間安定稼動を考えると、サーバーOSを推奨。 ダウンロードファイルは増え続ける一方なので、WinXPオンリーにするとかしてファイル容量を抑える。 (Win2k~Win7で設定すると結構容量を食います。) 全てのパッチがDLされるので、USBにコピーするのは楽です。  必要不必要なパッチの番号をWSUSで管理されるので楽です。 ダウンロードセンターからのDLで行うなら、必要最小限のファイルですむ。  その代わりファイルダウンロードが手動で時間がかかる。 必要なパッチの番号を自己管理する必要がある。 WSUS・ネットに継がないデメリット、インストール順番を間違えると取り返しが付かない事になる場合がある。(可能性として) すいません。 USBでファイルを持ち運びと言う事で、上手く意見がまとまりませんでした。 m(_ _)m WSUSの必要性がない気がします。   

  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

前の質問でWSUSのことを書いたのは私かな。 もしかしたらWSUSに過度な期待を抱かせてしまったかもしれません。 まず、WSUSとはなんぞやということ理解する必要があります。 下記のWebサイトなどがわかりやすいと思いますので一連の記事を読んで見て下さい。 http://www.atmarkit.co.jp/fwin2k/operation/wsus3_01/wsus3_01_01.html PC側のネットワークがオフラインが必須である場合、WSUSサーバもインターネットからパッチがダウンロード出来ないことになります。 そのためオフラインでWSUSを運用するためにはサーバが2台必要になります。 1台は、インターネットに接続する環境下においてマイクロソフトのUpdateサイトがらパッチを取得するWSUSサーバ。 もう一台は、クライアントにパッチを配信するためのオフライン側にあるWSUSサーバ。 リソースが余っているサーバが余っていればWSUSサービスを同居させることも可能な場合があります。(ディスク容量には特に注意して下さい) サーバを2台用意する必要があるのでそれなりのコストが掛かります。 サーバが準備できるのであれば、下記のWebサイトを参考にしてエクスポート・インポートできる構成でセットアップすればいいでしょう。 (WSUS2.0の記事しか日本語がありませんが、WSUS3.0でもほぼ同じだと思います) http://technet.microsoft.com/ja-jp/library/cc720512(WS.10).aspx これは余計なことかもしれませんが。 パッチの運用には質問者さんの場合ぱっと考えてこんな感じの選択があると思います。(他にも選択肢はあるかもです) ・Updateはあきらめる ・PCをインターネットに接続できるようにしてUpdateを行う ・PCをインターネットに接続できるようにするがプロキシサーバなどを経由することでセキュリティを高める ・PCはオフラインのままで、毎回手動でパッチのexeファイルをダウンロードして、手動で適用する ・WSUSのみインターネットに接続できるようにして(PCはインターネットは×)、WSUSサーバを一台導入する ・WSUSをオフライン運用出来るように2台導入する 運用コスト(人件費)とセキュリティリスクを元に選択していく必要があると思います。 WSUSサーバの構築はそれほど難しくはないとは思いますが、質問者さんが実現不可能であれば業者に委託するものひとつの方法です。 >WSUSを利用して、オフライン環境にあるクライアント端末に最新セキュリティパッチを適用できるようにしたいのですが、うまく適用できる方法はないでしょうか? >※IEやサービスパックは適用しません。 これは運用次第でどうにでもなるのでWSUSサーバが構築できれば解決出来ます。

  • pc_net_sp
  • ベストアンサー率46% (468/1003)
回答No.1

WSUSを立てて、オフラインPC(PC-Aとします)はローカルネットのみでWSUSにアクセスできるようにします。 PC-AのWindowsUpdate先のサーバをWSUSに設定します。 WSUSでPC-Aにあてたいセキュリティパッチを選別して設定すれば、IEやサービスパックの適用はしないようになります。 WSUSにダウンロードされるデータも大量になるので、WSUSにダウンロードするファイルの種類を設定するとコンパクトになります。 詳細はMicrosoftのWSUSの説明ページを読んでください。 http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=3BA03939-A5A9-407B-A4B0-1290BA5182F8 細かい設定等は身近にWSUSを入れているPCが無いので、画面を見ながら説明することが出来ません。 実績は、初期のWSUSから出入りさせて頂いている病院のサーバで運用しています。 参考画面などもセキュリティの関係で持ち出せませんし、VMwear サーバで動かしていますのでリモートアクセスで操作しますので、参考画面も不要な物が入ってしまいます。 「microsoft wsus マニュアル」でググって頂き、「行政機関向けWSUS運用ガイド - Microsoft」のWordファイルを読んでいただきますと、たいがいの事が分かるかと思います。 「行政機関向け」っとありますが、WSUSの運用ガイドです。 また、インストールするバージョンのWSUSの運用ガイドを探してください。 検索ワード「wsus 運用ガイド」      

takeru3323
質問者

補足

早速の回答ありがとうございました。 理解に時間がかかるかもしれませんが、ガイド読んでみます。 あと、ちょっと説明不足だった部分があるのですが、WSUSサーバーとクライアントは別場所にありまして、月1程度に更新されたパッチを遠地のクライアントに適用させるためにUSB等に入れて対応させたいと思っています。 やはりバッチみたいなものを作成する必要があるんでしょうか?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • WSUS からのパッチが当たらない。

    WSUS からのパッチが当たらない。 約50台のクライアントがのるドメイン環境で、1台(Xp)新規に追加しました。 が、WSUSのパッチが一晩経ってもあたりません。 WSUSのコンソールにはクライアントからのレポートがあがっているのに一切あたりません。 ”BITS”が休止しているのかな?と思いましたが、それだと他のマシンも同様になるはずですが パッチが当たらないのはその新規1台だけです。 普通だとすぐにパッチが当たってダウンロードマークがでるのですが… 最初に読み込んだ何かのアップデートがコケてファイルが壊れたか・・・ レジストリでWiondowsUpdateの機能をなんらかの事情で休止させてしまったか・・・・ でも、レポートはあげてるし・・・ と迷ってても時間がもったいないので、一度リカバリーしてやり直しをしたら 元気にパッチが流れてきました・・・。 どなたか何かご経験をお持ちでしょうか?何でもかまいません! 事後報告で、設定の確認はできませんが、今後の参考にしたいと考えます。

  • WSUSのパッチ適用について

     今回、自分が通う会社で簡単なネットワークを構築するように頼まれました。規模はPC約40台、プリンタが2台位です。  外部のネットワーク(インターネット)等は接続されていない、クローズしたネットワークですが、上司からセキュリティパッチ等はちゃんとやってね。と言われ、Windows Server Update Serviceをインストールしてみました。ですが、パッチの適用がいまいち分かりません。質問したい事は以下のとおりです。 Q1 WSUSは閉ざされたネットワークでもパッチの適用は可能か? Q2 Q1がOKな場合、パッチをどこのフォルダに入れれば、適用されるか? Q3 Q1がNOの場合、WSUSに変わるおすすめのソフトを教えてください。(出来れば、お金がか からないソフトがいいです)  よろしくお願いします

  • WSUSのClientについて

    WSUSにてClient側(2000)のIE要件を教えて下さい。 HomePage、Technotesなどには2000ProSP3よりと書いてあります。またServer要件にはIE6SP1と書かれております。 ClientもIE6からなのでしょうか? WSUS側でIE5などの2000Proを検出はするのですが、インストール必要条件にてIE5のパッチしか出てきません。プログラムの中を探してもないし、フォルダを探してもそれらしきインストーラはありません。もちろん、WSUSの設定は2000の更新プログラムは全て選択して同期できております。

  • WSUSサーバーにつきまして

    1台1台WindowsUpdateをするのがしんどくなりましたので、 WSUSサーバを立てようと思います。 何点か質問があります。 ・ドメイン環境下でクライアントがXPSP3、ドメイン環境下では、 クライアントは丸ごと(OSごと)コピーして使用しても問題ない。 (ライセンス的に) ところがすべてのクライアントはコピーなのでGUIDが同一なっている。 このようなクライアントにWSUSはちゃんと認識してパッチを配布するかどうか。 ・また、ワークグループ環境でOSはVistaHome。この場合、SUSは パッチを配れるかどうか。 ご存知の方がいらっしゃいましたらお教えください。。。 よろしくおねがいします。。。

  • WSUSでOffice製品のパッチ配信

    WSUSでOffice製品のパッチ配信 業務でWSUSでOffice製品のパッチ配信を配信させる事になりそうなので 検証を行なったところ、Office製品のパッチがWSUSコンソールに 表示されません。 WSUSコンソールにて以下の設定をしております。 「更新ビューの追加」で以下の2つにチェック 「更新は特定のクラスに含まれます」-「すべてのクラスにチェック」 「更新は特定の製品用です」-「Office」の全てにチェック 作成した更新ビューを選択し、承認:「未承認」を選択、状態を「すべて」を選択し 「最新の情報に更新」を押下していますが、パッチが1つも表示されません。 何か他に必要な設定があるのでしょうか? 環境---------------------------- WSUSサーバ:Win2003 SP2 WSUS3.0 SP1 -------------------------------- 教えてください。

  • ServicePack適用後の修正パッチ適用について

    よろしくお願いします。 長い間修正パッチの適用がされないまま運用されていたWindows2003Serverがあります。 (詳細な状態としては、サービスパックは適用されておらず、  2006年7月頃までは修正パッチが個別に適用されています。) セキュリティを最新の状態にしたいのですが、 サービスパックと修正パッチの関係がいまいち理解できておらず、 適用手順について悩んでいます。 最新のServicePack2を適用すれば、ServicePack2リリース以前に公開された修正パッチは適用する必要は無いのでしょうか?  →yesの場合   1.既に適用されている修正パッチをアンインストールする必要は無いのでしょうか?  →noの場合   1.どのような順番でインストールすれば良いのでしょうか? また、サーバーへのサービスパック適用に関して アドバイス等ありましたら教えていただけると助かります。

  • WSUS エクスポート

    こんにちは。 WSUSの設定で必要なだけの更新プログラムやセキュリティパッチをダウンロードしたファイル等をメディアにエクスポートして、別PCに適用するといった方法は可能でしょうか? 詳しい方がいらっしゃれば、お答えいただければと思います。 よろしくお願いします。

  • WSUSについて

    WSUSについて教えてください。 ドメインがWindows Server 2003 のネイティブ環境です。 その下にWindows Server 2008 R2 でWSUSを構築予定です。 WSUSクライアントは Windows 7 Pro SP1 です。 この内容で、WSUSを構築する際の諸条件を調べていますが、私の探し方が下手糞なのか これといった情報を見つけることができません。 どなたかご存知の方がいらっしゃいましたら是非とも教えてください。 その情報の掲載元のURL等もあわせて教えていただけると、とても助かります。 何卒よろしくお願いいたします。

  • WSUS3.0 特定のコンピュータだけに手軽にパッチを適用させたい

    お世話になります。 WSUS3.0を利用しております。 あるパッチのタイトルを選択した際に「状態」が「この更新プログラムが必要なコンピュータ」 となっているPCだけにパッチを適用させたいのですが、更新レポートを確認して対象PCを何 かしらのグループに集めてからではないと実現できないのでしょうか? それとも、「全てのコンピュータ」に対して承認してやることで自動的に対象PCだけに当てら れるのでしょうか? 前者ですと、対象PC台数が多い時はグループへの移行が煩雑になると思いますので、 何らかの簡単な方法があると思うのですが・・・ 以上、よろしくお願い致します。

  • パッチの適用

    よろしくお願いします。 今後赴任した職場のサーバルームで、 WindowsOSの管理状況を整理しています。 そこでサーバのサービスパックなどの適用状況が サーバ毎にバラバラで、適用方針もこれまでは、特に無いとのことでした。 ※OSも2003、2008、R2やRTMなど一貫性が無く・・ パッチの適用を標準化すべく、以下を考えています。 1.手動で不足分を適用する  サーバがイントラのため、パッチをCDROMにインストールし、各サーバに個別インストール 2.WSUSを導入する 「1.」の場合、現状と最新との不足分(差分)を洗い出すのに骨が折れそうです。 例えば「最終適用日」以降にMS社から発表されたパッチ・・など個別にサイトを検索することを イメージしていました。 そいった意味では「2.」の方が以後の運用も容易でしょうか?。 ご意見を頂けると助かります。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する