運用
|
|
|
さてそれではXP SP2の導入方法について見てみよう。実際の導入方法としては次のような手段が考えられる。
XP SP2のさまざまな導入方法 | ||||||||||||
主なXP SP2の導入・展開方法。管理者権限さえあればユーザーは自由にインストールできるが、自動更新やSUSなどでは、管理者がその配布をブロックすることができる。図中の「○/×」は、その経路での適用を管理者が制御できることを示している。 | ||||||||||||
|
XP SP2はOSに密接に関連しているとはいえ、単なるプログラムであり、管理者権限さえあればユーザー自身でインストールすることが可能である。自動更新やSUSなどでは、管理者がその配布をブロックするように設定することも可能であるが(図中の「○/×」は管理者が制御できる可能性があることを示している)、ダウンロードしたファイルやCD-ROM上のファイルを直接実行された場合は防ぐ方法はない(レジストリ設定は影響しない)。せいぜい管理者権限を与えないようにするぐらいである。
以下、それぞれの方法について簡単にまとめておく。
自動更新による導入・展開
自動更新は、XP SP1以降で導入された、自動的にパッチやService Packなどを導入し、必要ならばシステムの再起動なども行うための仕組みである。自動更新を有効にしておくと、新しいパッチやService Packなどが提供された場合、ユーザーが明示的に指示しなくても自動的にシステムにインストールされるようになる。これにより、管理者の手を煩わせることなく、常に最新のセキュリティ・パッチをシステムに適用することができる。
自動更新による適用許可は、コンピュータの管理者権限が必要だ。しかし管理者がひとたび自動更新を有効にすれば、後は自動的に更新が実施されるようになり、管理者の作業は不要になる。
ただしこの自動更新によるXP SP2の配布は、9月29日(水)から開始される予定となっており、原稿執筆時点ではまだ開始されていない。XP SP2の特定顧客向けの提供(MSDN版などを含む)はすでに8月上旬から始まっており、さらに以下のWindows Updateによる配布も9月の初めから開始されているが、自動更新による提供は、その対象となるユーザーの多さや社内での導入テスト期間などのために、このように遅れて提供されることになっている。
自動更新では、マイクロソフトが修正プログラムの提供を開始次第、自動的に適用が実施されるため、管理者が互換性テストなどを評価する時間的な余裕はない。また修正プログラムのダウンロードは各クライアント単位で実施されるので、多数のクライアントが存在する場合にはネットワーク・トラフィックの増大にも注意が必要だ。修正プログラムの適用が進まず、脆弱性が放置される危険は回避できるが、適用による不具合発生のリスクは大きい手段だ。これらのことから考えて、企業内クライアント用の適用手段としては、あまり推奨できる方法ではない。
マイクロソフトは、9月29日よりもさらにテスト期間を要するユーザーのために、自動更新や次のWindows UpdateによるXP SP2の適用を最大で8カ月(2005年4月12日まで)延期するための手段を用意している。詳しくはWindows TIPS「Windows XP SP2のWindows Update/自動更新での適用を一時的に保留する」で参照していただきたい。各クライアント・コンピュータで特定のレジストリ値を設定することにより、自動更新やWindows UpdateでXP SP2という項目が表示されなくなる。
Windows Updateによる導入・展開
Windows Updateは、ユーザー自身でシステムに最新のパッチを適用したり、Service Packなどを導入するために利用できる、身近で確実な方法である。XP SP2の導入を各ユーザーの持つコンピュータをユーザー自身で管理しているような環境では(各ユーザーが、自身のコンピュータに対する管理者権限を持っているような環境)、この方法が向いているだろう。小規模なワークグループ・ネットワークを利用している場合、あまり規模の大きくないドメイン・ネットワークを利用しており、管理者の目の届くところにすべてのコンピュータがあるなら、このような方法でも構わないだろう。ユーザーが自分の都合でセキュリティ・パッチを適用したり、XP SP2を導入することができるので、例えばある程度時間が空いたときに実行したり、終業時に適用するなどの融通が効く。
だがこの方法では、自動更新の場合と違ってXP SP2を導入するタイミングを管理者が制御することはできない。ユーザーがWindows Updateを起動してしまえば、いつでもXP SP2を導入することができる(上記のレジストリを操作することにより、やはり最大で8カ月延期することはできるが)。これを防ぐ唯一の手段はユーザーにコンピュータの管理者権限を与えないようにすることであるが、もともとWindows Updateをユーザーに許可しているような環境ではそれは不可能だ(通常、Windows Updateを実行するには管理者権限が必要になる)。
なお前述した自動更新同様、Windows UpdateによるXP SP2の導入では、ネットワークのトラフィックに注意する必要がある。各ユーザーのマシンがそれぞれ独自にXP SP2のファイルをダウンロードすることになるので(高速インストールでは約70Mbytes)、同時にインターネットへアクセスすると、メールやWebアクセスといった通常の通信が影響を受ける可能性がある。
XP SP2 CD-ROM/ダウンロード・サイトを使った導入・展開
自動更新やWindows Updateだけでなく、XP SP2はCD-ROMでも提供されている。雑誌付録やPC販売店や郵便局、郵送などによる配布のほか、TechNetやMSDN、インテグレータ経由など、さまざまなチャネルを通じての配布が予定されている。またダウンロード・サイトにも同じものがアップロードされているので、一度ダウンロードしておけば、インターネット回線に負担を掛けることなく、組織内に効率的にXP SP2を配布することができる(Service Packは、同一社内であればライセンスに抵触せずに配布が可能)。
XP SP2のプログラム・ファイルは、圧縮された状態でも270Mbytesもあるため、高速な通信回線が用意できないような個人/SOHOユーザーや、小規模な組織、通常はインターネットを接続できない高度なセキュリティが求められる環境などで特に有用であろう。
XP SP2 CD-ROM |
雑誌付録や店頭などで配布される予定のXP SP2 CD-ROM。ダウンロード版のXPSP2.EXEは270Mbytes程度だが、CD-ROM版ではそれ以外にも、さらにサポート・ツールやデプロイ・ツール、シンボル・ファイル(開発者が使用するもの)、.NET Framework 1.1、各種ドキュメントなどが入っているため、容量は480Mbytes程度になっている。 |
SUSによる導入・展開
SUS(Software Update Services)は、パッチやService Packを社内で集中的に管理・配布するためのサーバ・システムである。SUSの詳細については「運用―Microsoft Software Update Servicesの実力を探る」を参照していただきたい。
SUSとは、簡単にいえば社内向けのWindows Update/自動更新用サーバ・システムである。マイクロソフト社で公開されたパッチやService PackをいったんSUSサーバで受信してから、社内向けに再公開することにより、社内へ配布するパッチを取捨選択したり、テストなどのために適用をしばらく見合わせたりすることができる。社内のクライアントに対する修正の適用を中央で完全で制御できるわけだ。
SUSは、基本的にはActive Directory環境で利用できるサービスである。自動更新と同じクライアント・モジュールを利用しているが、グループ・ポリシーを変更して、マイクロソフト社のWindows Updateサービスではなく、社内に設置したSUSサーバをアクセスするようになっている。ただしレジストリを手動で設定すれば、Active Directoryドメインに属していないクライアント・マシンでもSUSクライアントとして利用できるし、(ドメインへの参加機能のない)Windows XP Home Editionでも利用することができる。詳しいレジストリの設定については、以下の記事や、サポート技術情報を参照していただきたい。
- Microsoft Software Update Servicesの実力を探る―6.SUSクライアントの制御(Windows Server Insider)
- グループ ポリシーまたはレジストリの設定を使用して自動更新を構成する方法(サポート技術情報)
グループポリシーを使うSUSでは、Active Directoryの組織単位(OU)で修正する適用を制御できる。この機能を使えば、1つのSUSサーバを使うケースでも、部署ごとに段階的な適用を実施することができる。
SMSによる導入・展開
SMS(Microsoft Systems Management Server)は、主にコンピュータ・システムのインベントリ(資産)管理などを行うためのサーバ・システムであり、例えば組織内のコンピュータ・システムの状態を調べたり、インストールされているソフトウェアの情報を収集してレポートしたりする用途に使われる。またソフトウェアをリモートからインストールして管理するなどの機能も持っており、これを使ってパッチやService Packの配布などを行うこともできる。
だがもともと大規模ネットワーク・システムにおける資産管理を目的としているソフトウェアであり、クライアント数が数百〜数千台というような組織でなければあまりメリットはない。少なくともXP SP2やセキュリティ・パッチのクライアント・マシンへの適用のためだけに導入・利用するようなソフトウェアではない。
SMS 2.0/SMS 2003を利用したXP SP2の適用方法については、以下のサポート技術情報に詳細がまとめられている。
共有フォルダを使った導入・展開
これはXP SP2の導入方法としては非常に原始的な方法であり、特別なサーバやシステムが必要というものではない。単に組織内の特定のサーバの共有フォルダ上にXP SP2の実行ファイルを配置しておき、各クライアントではそれをダウンロードして実行し、XP SP2を導入するというものである。共有フォルダ上のプログラムを起動させるにはいろいろな方法があるが、一番簡単な方法としては、社内メールや掲示板などでファイルの置き場所を告知し、ユーザーに実行してもらうというものである。各ユーザーが個別にXP SP2のプログラムをWindows Updateやダウンロード・サイト、CD-ROMなどで準備する必要がなく、インターネット接続回線の帯域を圧迫することもない。
グループ・ポリシーによる導入・展開
Active Directoryを導入している場合、XP SP2を自動的に導入するようにグループ・ポリシーを利用することができる。コンピュータがすべてきちんとActive Directoryで管理されているような組織ではこの方法で全社的にXP SP2を展開することができるが、ワークグループ・ネットワークを使っているとか、複数のドメインが分散していたりするような環境では、あまり役には立たないかもしれない(XP SP2未適用をマシンを見つけ出して、それらに適用しなければならないため)。
パッチ管理用専用ソフトウェアを使った導入・展開
数は少ないものの、セキュリティ・パッチやService Packなどを管理するための専用ソフトウェアがいくつかのベンダから販売されている。このような専用ソフトウェアと、いままで述べてきたような有償/無償の(マイクロソフト社製の)ソリューションとの大きな違いは、パッチ適用前のシステム状態の調査やパッチの適用、そして適用結果の調査といった、パッチ管理に伴う一連の作業をすべてワンストップで行うことができるというところであろう。自動更新やWindows Update、SUSなどでは、Service Packを配布することはできるが、正しくXP SP2が適用されているかどうかを外部から知る手段は含まれていない。各コンピュータにどのようなパッチやService Packが適用されているかを調査するには、例えばMBSAやHFNetCHKといったツール(いずれも無償提供)を併用しなければならない。
だがパッチ管理用の専用ソフトウェアでは、この事前の調査やパッチ/Service Packの配布・適用、そして適用結果の調査といった一連の作業が1つのツールにすべて集約されている。組織内のパッチの適用状況をリモートから簡単に調査し、必要ならばパッチを適用することができるし、新しいパッチの情報もツール・ベンダから提供され、更新されているので、管理者が独自に情報収集をしたり、パッチをダウンロードする手間は不要である。
代表的な製品としては次の2つがある。
INDEX | ||
[運用]システム管理者のためのXP SP2展開計画 | ||
第1回 Windows XP SP2の導入・展開 | ||
1.XP SP2導入の概要 | ||
2.XP SP2の導入手順 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|