Windows TIPS ディレクトリ

修正プログラム/更新プログラム/パッチ管理

更新日:2006/03/31

 サブディレクトリ
 修正プログラム/更新プログラム/パッチ管理
クライアント・コンピュータのパッチ適用状態を集中的に調査する(MBSA)
マイクロソフトは、コンピュータへのパッチの適用状態、セキュリティ上の弱点などをリモートから調査するGUIツール、Microsoft Baseline Security Analyzer(MBSA) 1.2の無償提供を開始した。 / これを利用すれば、複数のクライアント・コンピュータのパッチ適用状態を集中的に管理することが可能になる。
WSUSサーバでクライアントが表示されない場合の対処法
WSUSは安価な修正プログラム管理ソリューションとして広く利用されている。 / ディスク・クローン・ツールなどでクライアント・コンピュータを展開した場合、WSUSサーバが管理用に使用しているレジストリ値が重複してしまい、WSUSサーバ側でクライアント・コンピュータが正しく認識されない場合がある。 / この問題を解消するには、関連するレジストリ値をいったん削除し、クライアント・コンピュータを再起動する
オフラインで修正プログラムを入手・適用する
Blasterワームが猛威を振るった。こうしたワームの攻撃から身を守るには、最終的には攻撃の対象となるセキュリティ・ホールをふさぐしかない。 / これには、システムに修正プログラムを適用する必要があるのだが、そのためにWindows Updateを使うには、セキュリティ・ホールがある状態でインターネットに接続しなければならない。 / インターネットに接続せずに修正プログラムを適用するには、必要な修正プログラムを安全な環境でダウンロードしておき、これをCD-Rなどに書き込んで利用する。 / このような用途で、必要な修正プログラムを効率よく入手するには、TechNetセキュリティにある「製品別修正プログラム一覧」が便利である。
Windows Updateのファイルを個別にダウンロードする
Windows Updateを行うには、各マシンを直接インターネットに接続しておく必要があるが、遅い回線だったり、多くのWindowsマシンがあったりする場合には不便である。 / Windows Updateのモジュールを事前にダウンロードしておいて、そこから各マシンに適用することができれば便利である。 / Windows Updateのファイルを個別にダウンロードするには、Windows Updateをカスタマイズして、Windows Updateカタログを表示させる。
Windows Updateの不要な項目を表示させないようにする
Windows Updateでは、必須ではないが、インストールした方がよいとされる項目が[推奨する更新]として表示される。 / [推奨する更新]をインストールしない場合、Windows Updateを実行するたびに表示されるので、少々煩わしいと感じられることもある。 / Windows Updateをカスタマイズすれば、[推奨する更新]に表示させないようにできる。
ファイアウォールの空白時間に注意
Windows OS内蔵のファイアウォール機能には、システム起動時にサービスが開始するまで若干のタイムラグがある。このタイムラグの間にワームなどに感染する危険性があるので注意する。 / これを避けるためには、外部ルータを使ってパケットをフィルタするのがよい。 / システムのインストールやパッチの適用などは、インターネットから隔離された安全な場所で行うこと。
Windows Server 2003 SP1の自動更新をブロックする
Windows Server 2003 SP1は2005年4月に正式公開され、すでにダウンロード・サイトなどから入手できる。 / 2005年7月26日からは、自動更新サイトでの提供が始まる予定であり、この日を過ぎるとシステムに自動的にSP1が適用される。 / 検証作業が未了などの理由でSP1の適用を延期したい場合は、SP1のブロック・ツールを利用して、レジストリを設定する。 / このツールを利用しても、2006年3月30日を過ぎると自動的にSP1が適用される。
グループ・ポリシーでWindows Updateの実行を禁止する
インターネットでマイクロソフトが無償公開しているWindows Updateを利用すれば、Windowsを最新の状態に維持できる。 / しかしWindows Updateの実行には管理者権限が必要であり、パッチ管理を中央で集中化させたい場合にはなじまない。不用意な適用により、互換性問題が生じる場合もある。 / グループ・ポリシーを利用すれば、ユーザーによるWindows Updateの実行を禁止することができる。
MDACのバージョン調査ツールを利用する
MDACは、さまざまな種類のデータベースにアクセスするための、汎用的で統一的なインターフェイスの総称である。 / MDACには多くのバージョンが存在し、さまざまな製品とともに出荷されているので、システムにインストールされているMDACのバージョンも多岐に渡る。 / MDACのバージョンを調査するにはComponent Checkerツールが利用できる。
「悪意のあるソフトウェアの削除ツール」をWebページから素速く実行する
マイクロソフトが無償公開した「悪意のあるソフトウェアの削除ツール」を使えば、重大なウイルス/ワームにコンピュータが感染していないかどうかを確認できる。 / 当初はWindows Updateでの提供、またはダウンロード・センターからツールをダウンロードして実行するしかなかったが、その後Webページから実行可能なActiveXコントロール版が公開された。 / 操作が容易なので、初心者に実行を指示する場合などに便利である。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間