Windows TIPS ディレクトリ

修正プログラム/更新プログラム/パッチ管理

更新日:2006/03/31

 サブディレクトリ
 修正プログラム/更新プログラム/パッチ管理
クライアント・コンピュータのパッチ適用状態を集中的に調査する(MBSA)
マイクロソフトは、コンピュータへのパッチの適用状態、セキュリティ上の弱点などをリモートから調査するGUIツール、Microsoft Baseline Security Analyzer(MBSA) 1.2の無償提供を開始した。 / これを利用すれば、複数のクライアント・コンピュータのパッチ適用状態を集中的に管理することが可能になる。
セキュリティ・パッチを適用する
システムに重大なセキュリティ・ホールや障害が見つかると、セキュリティ・パッチという緊急の修正モジュールが提供されることがある/システムを安全に保つためには、常に最新のセキュリティ情報を収集するように努め、必要ならばパッチを適用しなければならない。
セキュリティ・パッチの3つのレベル
セキュリティ・ホールなどが発見されると、これに対処するためのパッチが公開される/しかし同じ問題を修正するパッチであっても、とにかく早期の対応を目指したもの、早期対応よりも信頼性を重視したものと、パッチにもレベルがある/セキュリティ・ホールの内容などによって、これらのパッチを適切に使い分ける必要がある
WSUSサーバでクライアントが表示されない場合の対処法
WSUSは安価な修正プログラム管理ソリューションとして広く利用されている。 / ディスク・クローン・ツールなどでクライアント・コンピュータを展開した場合、WSUSサーバが管理用に使用しているレジストリ値が重複してしまい、WSUSサーバ側でクライアント・コンピュータが正しく認識されない場合がある。 / この問題を解消するには、関連するレジストリ値をいったん削除し、クライアント・コンピュータを再起動する
セキュリティ情報をいち早く入手する
マイクロソフトは、自社製品にかかわるセキュリティ・ホールを見付けると、問題を修正する修正プログラムとともに、セキュリティ情報をWebなどで鋭意公開している。 / タイムリーにセキュリティ情報を入手するには、新着情報や更新情報を逐一メールで知らせてくれる「マイクロソフト・プロダクト・セキュリティ警告サービス」が便利である。
Windows Updateを無効化する
まだシステムに適用されていないhotfixを調査し、これをダウンロードして適用可能にするサービスとして、Windows Updateがある。 / 便利な機能なのだが、企業のクライアントに対し、ユーザー各自がWindows Updateを実行するのは難しい。 / そのような場合には、ユーザーによるWindows Updateの実行を禁止することができる。
修正プログラムの内容を調査する
修正プログラムの適用による副作用のリスクを評価するには、修正プログラムの適用によって置き換えられるシステム・ファイルなどを調査する必要がある。 / 修正プログラムの隠しオプションを利用すれば、修正プログラムのインストールはせずに、アーカイブされたファイルだけを展開することができる。
オフラインで修正プログラムを入手・適用する
Blasterワームが猛威を振るった。こうしたワームの攻撃から身を守るには、最終的には攻撃の対象となるセキュリティ・ホールをふさぐしかない。 / これには、システムに修正プログラムを適用する必要があるのだが、そのためにWindows Updateを使うには、セキュリティ・ホールがある状態でインターネットに接続しなければならない。 / インターネットに接続せずに修正プログラムを適用するには、必要な修正プログラムを安全な環境でダウンロードしておき、これをCD-Rなどに書き込んで利用する。 / このような用途で、必要な修正プログラムを効率よく入手するには、TechNetセキュリティにある「製品別修正プログラム一覧」が便利である。
Windows Updateのファイルを個別にダウンロードする
Windows Updateを行うには、各マシンを直接インターネットに接続しておく必要があるが、遅い回線だったり、多くのWindowsマシンがあったりする場合には不便である。 / Windows Updateのモジュールを事前にダウンロードしておいて、そこから各マシンに適用することができれば便利である。 / Windows Updateのファイルを個別にダウンロードするには、Windows Updateをカスタマイズして、Windows Updateカタログを表示させる。
「Microsoftダウンロード センター」を活用する
マイクロソフトは、セキュリティ・ホールやバグを修正するためのhotfixを始め、便利なツールや技術ドキュメントなどをダウンロードするための「Microsoftダウンロード センター」を公開している。/通常のWebページからリンクをたどってファイルをダウンロードすることもできるが、このダウンロード・センターを使えば、効率よくダウンロード・ファイルを検索し、入手することができる。
Windows Updateの不要な項目を表示させないようにする
Windows Updateでは、必須ではないが、インストールした方がよいとされる項目が[推奨する更新]として表示される。 / [推奨する更新]をインストールしない場合、Windows Updateを実行するたびに表示されるので、少々煩わしいと感じられることもある。 / Windows Updateをカスタマイズすれば、[推奨する更新]に表示させないようにできる。
ファイアウォールの空白時間に注意
Windows OS内蔵のファイアウォール機能には、システム起動時にサービスが開始するまで若干のタイムラグがある。このタイムラグの間にワームなどに感染する危険性があるので注意する。 / これを避けるためには、外部ルータを使ってパケットをフィルタするのがよい。 / システムのインストールやパッチの適用などは、インターネットから隔離された安全な場所で行うこと。
修正プログラムをアンインストールする
セキュリティ・ホールなどを解消する修正プログラムだが、適用によってシステムが不具合を起こす場合がある。 / 特定の修正プログラムを選択的にアンインストールする方法と、「システムの復元」により、コンピュータの状態を一括して以前の状態に戻す方法がある。
Windows 2000のインストールとService Packの適用を一度に行う方法
SP適用済みインストールを使えば、Windows 2000のインストールと同時にService Packもインストールすることができるので便利である。 / SP適用済みインストールを行うには、オリジナルのCD-ROMのイメージにService Packのファイルを統合モードで上書きする。 / CD-Rに書き込んだSP適用済みイメージから直接インストールするには、Windows 2000のインストール用起動フロッピーを使う。
Windows Server 2003 SP1の自動更新をブロックする
Windows Server 2003 SP1は2005年4月に正式公開され、すでにダウンロード・サイトなどから入手できる。 / 2005年7月26日からは、自動更新サイトでの提供が始まる予定であり、この日を過ぎるとシステムに自動的にSP1が適用される。 / 検証作業が未了などの理由でSP1の適用を延期したい場合は、SP1のブロック・ツールを利用して、レジストリを設定する。 / このツールを利用しても、2006年3月30日を過ぎると自動的にSP1が適用される。
SQL Server 2000/MSDEのバージョンをチェックする
SQL Server 2000やMSDEにService Packやパッチを適用するには、インストールされているSQL Serverのバージョンを調査し、対応する修正プログラムを適用する必要がある。 / SQL Serverのバージョンを調べるにはosqlなどで接続して「select @@version」文を実行するか、sqlservr.exeファイルのバージョンを調べる。 / システムに複数のインスタンスがインストールされている場合は、インスタンス名を指定して接続、調査し、すべてのインスタンスに対して適切な修正プログラムを適用する。
Windows XP SP2のWindows Update/自動更新での適用を一時的に保留する
XP SP2は、展開前に既存環境との互換性を十分テストする必要がある。 / しかしWindows Updateや自動更新機能により、エンドユーザーの簡単な操作でXP SP2が適用できてしまう。 / このためマイクロソフトは、管理者が検証を終えるまでこれらでのXP SP2の適用を禁止するしくみを作り、ツールを公開した。
セキュリティ・パッチの適用状態を調べる― hfnetchkツールの使用法 ―
システムに重大な影響を与えるセキュリティ・ホールや障害に対しては、ホットフィックスという修正モジュールが提供される。システムのセキュリティを安全に保つためには、ホットフィックスの速やかな適用が欠かせない/HFNetChkは、システムにまだインストールされていないホットフィックスの一覧を表示するためのツールである/ローカルやリモートのマシンを調べて、システムやIE、IIS、SQL Serverのホットフィックスの適用状態を調べることができる。
グループ・ポリシーでWindows Updateの実行を禁止する
インターネットでマイクロソフトが無償公開しているWindows Updateを利用すれば、Windowsを最新の状態に維持できる。 / しかしWindows Updateの実行には管理者権限が必要であり、パッチ管理を中央で集中化させたい場合にはなじまない。不用意な適用により、互換性問題が生じる場合もある。 / グループ・ポリシーを利用すれば、ユーザーによるWindows Updateの実行を禁止することができる。
MDACのバージョン調査ツールを利用する
MDACは、さまざまな種類のデータベースにアクセスするための、汎用的で統一的なインターフェイスの総称である。 / MDACには多くのバージョンが存在し、さまざまな製品とともに出荷されているので、システムにインストールされているMDACのバージョンも多岐に渡る。 / MDACのバージョンを調査するにはComponent Checkerツールが利用できる。
「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する
マイクロソフトが無償公開した「悪意のあるソフトウェアの削除ツール」を使えば、重大なウイルス/ワームにコンピュータが感染していないかどうかを確認できる。 / 当初はWindows Updateでの提供、またはダウンロード・センターからツールをダウンロードして実行するしかなかったが、その後Webページから実行可能なActiveXコントロール版が公開された。 / 操作が容易なので、初心者に実行を指示する場合などに便利である。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間