- - PR -
WSUSの運用
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-09-25 00:39
初めて投稿いたします。
現在WSUSの導入を検討しているのですが、いまいち運用方法がわからないため、実際に導入されている方の意見が聞きたいと思い、投稿いたします。 更新プログラムの承認状態に「インストール」、「検出のみ」、「削除」、「更新プログラムの拒否」などがありますが、すべての更新プログラムの承認状態が「インストール」という運用では問題があるのでしょうか? 更新プログラムを「検出のみ」という承認状態にした後、そのプログラムが必要なクライアントが存在すれば、承認状態を「インストール」に変更するのであれば、最初から「インストール」でも問題はないのではないかと思います。 クライアント側で更新プログラムが必要か不要かの判断ができるのであれば、最初に記述したようにすべての更新プログラムの承認状態が「インストール」でも問題がないように思えます。 何か間違っているのでしょうか? よろしくお願いいたします。 | ||||||||
|
投稿日時: 2005-09-25 01:53
こんばんわ.
それらの hotfix が他の application と干渉しないと確認しないまま, 適用されるのが容認されるなら,それでよろしいでしょう. WSUS となる前の version の SUS では, client 側では hotfix の適用に管理者権限が必要でした. WSUS となってからは,server 側で許可すれば client 側では管理者権限が無くても hotfix を適用できるようになりました. client 側で選択の余地無く,確認の必要も無い場合は 最初から「インストール」でもよろしいのでは? 以上,ご参考までに. | ||||||||
|
投稿日時: 2005-09-25 22:47
kazさん返答ありがとうございます。
こちらの条件がクリアできるなら、最初から「インストール」でも運用上問題ないということですね。
クライアントの設定がスケジュールによるインストールの場合のみと認識しておりますが WSUSからは自動承認の機能が存在するため、言わばほったらかしの状態での運用でも問題がないのかなと思いました。 そこで、もう少しお尋ねしたいことがあります。 更新プログラムの条件としてサービスパックを除き、WSUSクライアントにはサーバを含まないものとします。 WSUSの運用として前述のようなほったらかし状態で運用してるのでしょうか? それとも、きちんとテストをして、その結果各クライアントに配布という運用方法をとられているのでしょうか? また、テストをされている方の中で何か問題が起こったことがあるという方はいらっしゃるのでしょうか? よろしくお願いいたします。 | ||||||||
|
投稿日時: 2005-09-28 22:12
運用法として一例
グループをOS別に作成 Windows 2000 Windows XP など それぞれに各クライアントマシンを属させます。 各グループでモデルとなるマシンを選定 2000ならSP4インストール直後、XPならSP2インストール直後 のやつなど コンピュータの状態を参照し、 これらモデルマシンで「必要」となっているプログラムを適宜 グループ別にインストールを承認します。 2000 SP4なら まずSRPをあてます。 別に個別のパッチを全部あててもよいのですが、シンプルにいきたいがために まずSRPをあてます。 そして、のこったパッチで「必要」なものをWindows 2000 グループにあてます。 (SRPは既定で検出すらみとめられていませんので明示的にインストールを承認) 更新プログラムの頁ではなく、コンピュータの状態タブからも承認は可能です。 (連続して指定できないのが難ですが・・・・・) XPもモデルマシンが「必要」としているパッチをWindows XPグループに たいしてインストール承認します。 2000専用のパッチはXPクライアントは拾いませんし、 XP専用のパッチを2000クライアントが拾うこともありませんので 全部のプログラムにはじめからインストール承認をしてもインストールは正常に 行われるでしょう。 ただ、緊急性のないものに関してはしばらく様子を見てもよいと思います。 パッチをあてたことにより不具合を起こす例も少なからずあるようですし、 MSがアナウンスを出す例もあるからです。 | ||||||||
|
投稿日時: 2005-09-29 19:46
適用するか保留するか、判断するためのタイムラグがない、検証する時間も自由にならない、 という運用なわけです。パッチの検証放棄な運用ですよね。 もしパッチ配布で問題起きたとき、言い訳のしようが無いと思ったりするんですが。 それでも周り押さえ込めるならありだと思います。 最低限の検証と情報収集した上で配布したのであれば、 検証にかけられる工数との兼ね合いで、想定できなかった的な逃げ道は 作れるので、まだどうにかなると思いますし、 どの環境でも起こりうる致命的な問題であれば、2,3日寝かすだけで情報は出回ります。 完全自動化していて問題が起きた例として、今年6月のTrendmicroの一件があります。 ウィルス定義ファイルについては、この更新頻度を考えると、 自動化してても仕方ないとか、ちょっと思ってしまうんですが、 同様の事態はWindowsでも発生しうる可能性はあると思ってます。 # 最近Hotfixの品質が良いので、それなりに安心は出来てるんですが、 # 2000のRollupUpdate1とか見てると・・・ そして、問題が発生した場合、最悪WSUSクライアントすべてが影響受けます。 ちなみに、パッチの公開許可設定なんて、月に1回、10分程度の作業です。 検証といっても、自分や身の回りの端末数台に入れてみるだけ、 という検証してみるだけでも、致命的な障害回避が出来る可能性は十分ありますし、 情報収集といってもHotfixReportBBSを覗いてみるだけで情報がほとんど集まってたりしてます。 ゼロデイアタックまで起こっている昨今では、パッチリリースした当日に展開しようが 2,3日遅らせようが、そんな大きなセキュリティリスクになるかどうか疑問です。 | ||||||||
|
投稿日時: 2005-09-30 00:21
まるちねすさん
運用例を教えていただきありがとうございます。 大変参考になります。 Mattunさん
そのとおりなのですが、そう言われてしまうとちょっと耳が痛いです。 皆様の返答からは、やはりパッチの全自動化をするならそれなりのリスクが背負っていかないといけないということですね。 #少しでも楽をしたいという甘ったれた根性が叩き直された気分です。 それでは最後に一つだけ質問させてください。 更新プログラムの自動承認で、 検出の自動承認を「すべてのコンピュータ」 インストールの自動承認を「特定グループ(TEST_GROUPとします)」 ※それぞれ、更新プログラムのクラスは同じとします。 とした場合、インストールの承認が優先されるということなので、そのまま 「TEST_GROUP」にはインストール (TEST_GROUPを除く)「すべてのコンピュータ」には検出 の承認がされるという認識でよろしいのでしょうか? よろしくお願いいたします。 #スレッドをわけたほうがいいのかどうか、その辺りがよくわからないので、 #そのまま質問させていただきました。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。