- PR -

WSUSによる自動更新について

1
投稿者投稿内容
MM
会議室デビュー日: 2007/07/31
投稿数: 12
投稿日時: 2009-03-06 12:14
先月から業務に空きができたため、社内のシステム管理を一部任されるようになりました。
社内のマシンに対するパッチ配信をWSUSを行うようになっていますが、そのサーバが不調であるため、手始めにその調査を行っていました。

おおよその問題は解消され、現在は問題なくパッチ適用が行われているように見えます。
(ネットワーク設定の問題でWSUSが更新をダウンロードできなくなっていたのと、それによりWSUSのパッチが適用されなかったのが原因でした)

ですが、最近になって本当に問題なく運用できているのかに疑問が生じました。
そこでこの会議室で質問をさせていただきこうと考えました。

・・・

WSUSの不調がある程度解消した後、他サーバ機(社内Webサーバ)で発生している問題の調査を行っていました。
そのサーバ機はかなり問題を抱えていたため、マシンをリプレイスして環境の再構築を実施しました。

新サーバ機はOSからインストールを行いました。
(Windows Server 2003 R2 Standard Edition)
OSインストール後、すぐにWSUSサーバを経由してパッチ適用を実施しました。

このサーバ機のソフトウェア構成上、.NET FrameworkのVer2以上が必要であったため、IEでWindows Updateサイトにアクセスし、.NET Frameworkの最新版をインストールしました。
その過程で「優先度の高い更新プログラム」が検出されたので、そちらもインストールしました。

ここで疑問に感じたのが、WSUS経由で自動更新を行っているにも関わらず、なぜ「優先度の高い更新プログラム」が検出されたのか、ということです。
最初は「緊急度は高くないが、優先度が高い」という位置づけのパッチなのかと理解しました。

ですが、よくよくその時に適用されたパッチを見てみると、「パッチ適用されないでよいのだろうか」と思えるものもありました。
例えば、以下のパッチです。


Windows Server 2003 の ActiveX Killbits に対するセキュリティ更新プログラム (KB960715)


2月に公表されたパッチですが、WSUSで確認すると、このパッチをダウンロードした形跡がありません。
つまり、社内のクライアントマシンには、このパッチは適用されていない状態だと考えられます。

パッチ公表から1ヶ月経過していることから、単なるタイミングの問題でもないだろうと思います。

これはWSUSに依然として問題があるということを意味するでしょうか?
あるいはWSUSの設定に問題があるでしょうか?
それとも、単に「適用は必須でない」パッチだ、ということでしょうか?


よろしくお願いいたします。


【備考:「優先度の高い更新プログラム」として検出されたもの(実施日:2009/3/4)】
Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830)
Windows Server 2003 の ActiveX Killbits に対するセキュリティ更新プログラム (KB960715)
Windows Server 2003 用の更新プログラム (KB955839)
Windows Server 2003用 Windows Internet Explorer 7
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2009-03-06 13:18
junといいます。
こんにちわ。

新サーバ機の

WSUSクライアントとしての動き と
WindowsUpdate の動き は

全く別物だということではないのですか?

そもそもWSUSの設定をした時点でWindowsUpdateって使えるのでしたっけ?
#無効になるような?
MM
会議室デビュー日: 2007/07/31
投稿数: 12
投稿日時: 2009-03-06 13:40
jun様

ご返答ありがとうございます。

「WSUSクライアント」としてポリシー設定されていたとしても、ブラウザ(IE)を利用してWindows Updateサイトに接続し、パッチ適用することはできています。
但し、コンパネの「自動更新」は、設定変更ができないようになっています。

私が確認したいと思っていることは、

「WSUSクライアント」としてWSUSからパッチ適用していれば、セキュリティに関するような重要なパッチはしっかり適用されるのか?

ということです。
もし、そうでないとすると、なんらかの作業を定期的に手動で行う必要があるのではと思います。
そうなると、社内のシステム管理運用ルールを見直す必要があるのでは考えています。

jun様の投稿にも、

WSUSクライアントとしての動き と
WindowsUpdate の動き は
全く別物だということではないのですか?

とありましたが、これはそのことを示唆しているでしょうか?


WSUSの担う役割を考えると、重要なパッチは自動的に適用されるべきなのではと思うところはありますが、パッチによっては取捨選択しなければならないものもあり、それはシステム管理者が責任を持って適用するかどうかをチェックしなければならないということなのでしょうか?

私の所属する会社は規模がそれほど大きくないということもあり、システム管理の体制はとても十分といえる状況でありません。
私はシステム管理者ではなく、いわば「お手伝い」として調査にあたっていますが、この機会になるべく「あるべき」運用ルールに見直せればと考えています。


よろしくお願い致します。
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2009-03-06 15:14
JUNです。
こんにちわ。

WSUSクライアントの設定を有効にしている自分のPCでWindowsUpdateをしてみたら、
マイクロソフトのサイトに接続ができちゃいました・・・・
ただし、『WindowsUpdateの自動更新』は無効になっている模様。
ようはWSUSクライアントの設定が優先されている模様ですね。

両者は挙動としては別物だと思いますので
WSUSクライアントの設定がしてあれば、
自動で導入しているWSUSサーバからポリシーにしたがって
アップデートは適用されると思われます。
(逆に手動で勝手にパッチをインストールされるほうがウルサイかも・・・)



[ メッセージ編集済み 編集者: jun 編集日時 2009-03-06 15:15 ]
MM
会議室デビュー日: 2007/07/31
投稿数: 12
投稿日時: 2009-03-06 15:52
jun様

ご返答ありがとうございます。

私の言葉足らずで状況が伝わっていない部分があるかもしれないので補足します。

先日セットアップしたサーバ機は、WSUSからパッチ適用されていないわけではありません。
その点は問題なく動作しているものと思われます。

むしろ、問題と感じているのが、WSUS側で重要なパッチのダウンロードが漏れているのではないかということです。
但し、まったくダウンロードできていないというわけでもありません。
例えば、先月(2月)に公開された十数個のパッチをダウンロードしています。

・・・

私のほうでも、WSUSの設定を確認してみましたが、ダウンロードするパッチの種別を設定できることに気付きました。
(そのような設定があることは、少し考えれば気付きそうなことですが、恥ずかしながらこの投稿をする前はノーチェックでした)

[クラスの選択]の現状の設定では、

・セキュリティ問題の修正プログラム
・重要な更新
・定義更新プログラム

の3つにチェックが入っています。

元の投稿に書いたパッチ、


Windows Server 2003 の ActiveX Killbits に対するセキュリティ更新プログラム (KB960715)


は、「セキュリティ問題の修正プログラム」に該当するようにも思うのですが、別のクラスとして分類されているのかもしれません。
このパッチについて情報を収集してみましたが、以下のサイトの情報が一番詳しいようです。

http://www.microsoft.com/japan/technet/security/advisory/960715.mspx


「お知らせ内容」に「更新プログラムの公開」との記述があります。
これはクラスが「更新」に属しているということかもしれません。
しかし、「推奨するアクション」として、「この更新プログラムをインストールすることを推奨」と記載があります。

そうすると、これは「WSUSのクラス設定の変更」を検討しなければならないのかな、と思い始めています。
ただ、そうなると、本当は必要のないパッチまでダウンロードしてしまい、システム管理者が一つ一つ内容を吟味して適用するかを判断しなければならないのだろうかとも思います。
弊社のシステム管理者は専任というわけではないので、それはそれでなかなか厳しいように感じます。

コストとのトレードオフということになるのだとは思いますが、皆様のご意見をいただければ幸いです。


よろしくお願い致します。
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2009-03-07 10:02
JUNです。
おはようございます。

そういうことですね。

確かに設定されているクラスではダウンロードされないようですね。。

設定されている3つのクラスは比較的無難な設定だと思います。。。

もし、業務で利用されているアプリケーションがあって、
パッチを適用する事で影響があるのでしたら、個別調査して
適用するか否かの判断をシステム管理者が判断すべきだと思います。

ただ、そうでないなら、Servicepackの適用やIEのバージョンアップは
させないようにするぐらいでそんなに大きな問題はなさそうですが・・・
1

スキルアップ/キャリアアップ(JOB@IT)