デバイスを保護するには、常に最新のアップデートを適用することが最も重要であることは誰もが認めるところですが、各クライアントデバイスやサーバーデバイスから直接アップデートをダウンロードする方法以外にも、いくつかの代替手段があります。その中には、Microsoft独自のエンタープライズソリューションであるSystems Center Configuration Manager(SCCM)や、パッチを集中的にダウンロードしてネットワーク全体に展開するコンポーネントであるWindows Server Update Services(WSUS)などがあります。
これらは多くの場合、高額なライセンス料がかかったり、広範なハードウェア要件が求められたりするため、管理や経営陣からの購入承認を得るのが困難になる場合があります。さらに複雑なのは、毎週数十もの新しいパッチ(例:Patch Tuesday)がリリースされるなど、アップデートが驚異的な頻度でリリースされ、サポートされるオペレーティングシステムの数と組織内のデバイス数を掛け合わせた数に相当します。そのため、パッチ管理プロセスが、たとえ最大規模のIT部門でさえ見落としてしまうことは容易に想像できます。
WSUS オフライン更新は、GNU GPL ライセンスに基づき無料でご利用いただける、シンプルかつ軽量で洗練されたソリューションです。キャッチフレーズは「…セキュリティ、時間、帯域幅はお金だから」です。強力でインテリジェントに記述されたスクリプトを革新的に活用することで、クライアントとサーバーの更新プロセスを効率化し、Microsoft のパブリック カタログ サーバーから更新プログラムを直接ダウンロードして展開します。準備ができたら、すぐに展開できます。このプロセスでは更新プログラムがローカルに保存されるため、オフラインで展開できます。これにより、デバイスは既知の脅威から保護され、長時間のオンライン更新プロセス中にセキュリティが侵害されることはありません。
参照: ITリーダーのためのエッジコンピューティングガイド (Tech Pro Research)
これを設定する核心に入る前に、開始する前に必要な要件がいくつかあります。
- Windows 7 以降を搭載した Windows PC (オプション) または Windows Server 2008 以降を搭載した Windows Server (推奨)
- WSUS オフライン更新ソフトウェアをストレージドライブのディレクトリに抽出します
- ブロードバンドインターネットアクセス
- 空き容量のある内部ストレージデバイス
- 書き込み可能な DVD メディアを備えた光学式ストレージ デバイス (オプション)
- スイッチド ネットワーク インフラストラクチャ (オプションですが、強く推奨されます)
最小要件を満たしたので、WSUS オフライン更新を実行して更新リポジトリを作成する方法を見てみましょう。
1. WSUS オフライン更新 ZIP ファイルから抽出した UpdateGenerator.exe を起動します (図 A)。
2. 「Windows」と「Office」の2つのタブがあります。それぞれのタブで、WindowsとOfficeのサポートされているバージョンを切り替えます(図B)。
3. まず、カタログ更新をダウンロードするWindowsの各バージョンのボックスにチェックを入れます。一部のOSは、x86アーキテクチャとx64アーキテクチャに基づいて2つのカテゴリに分かれていることに注意してください。完了すると、「オプション」セクションで、.NET Framework、ランタイム、マルウェア対策が組み込まれた新しいシステム向けのWindows Defender定義など、必要に応じて有効にできる追加の選択肢が表示されます。さらに、このページで「ISOイメージの作成…」または「USBメディア」セクションのボックスにチェックを入れることで、ISOイメージまたはUSB/外部メディアディレクトリを作成する機能も選択できます。準備ができたら、「開始」ボタンをクリックして続行します。
4. このプロセスはコマンドラインウィンドウを起動し、各OSバージョンとタイプに対応するカタログファイルをダウンロードし、リポジトリに現在存在するものと比較します。WSUSオフライン更新を初めて実行する場合、リポジトリは空で、不足している更新プログラムはすべてダウンロードされます(図C)。
5. このプロセスでは、選択したバージョンのWindowsクライアントおよびサーバーOSのすべてのMicrosoft更新プログラムがダウンロードされます。選択した項目の数とインターネット接続の速度によっては、初期プロセスの完了に数時間かかる場合があります。オプションコンポーネントのダウンロードや更新プログラムのISOイメージの作成(後述)などの追加オプションを選択すると、完了時間が長くなる場合があります。完了すると、ログファイルを確認するかどうかを確認する通知が表示されます。「はい」をクリックするとログが開き、「いいえ」をクリックするとアプリが閉じます(図D)。
6. WSUSOffline フォルダーのルート内にある Client フォルダーに移動すると、手順 3 で選択した Windows の各バージョンに対応する更新プログラムがそれぞれ含まれた複数のフォルダーが追加されていることがわかります (図 E)(図 F)。
7. デバイスに更新プログラムを展開する準備ができたら(オンラインまたはオフライン)、手順4~5で作成したリポジトリを保存しているサーバー共有または外部メディアに接続します。ルートフォルダ「Client」に移動し、UpdateInstaller.exeを実行します。上記の手順3の選択画面と同様に、更新プログラムと一緒にインストールするオプション項目の横にチェックを入れます(デフォルトでは、更新プログラムは常にインストールされます)。展開の準備ができたら、「開始」をクリックします(図G)。
8. コマンドラインが起動し、デバイスを調べて現在インストールされているアップデートを確認します。インストール済みのアップデートはスキップされ、保留中のアップデートは動的に生成されるリストに追加され、順番にインストールされます。再起動が必要なアップデートやオプションコンポーネントがある場合は、プロセスが停止し、再起動を促すメッセージが表示されます。再起動後、.exe ファイルを再度実行すると、中断したところから処理が再開されます (図 H)(図 I)。
9. 更新プログラムのインストールが完了すると、プロセスは終了し、完了したことを通知するか、再起動を求めるメッセージが表示されます (図 J) (図 K)。
ISO イメージの生成:
ステップ3の「ISOイメージを作成…」セクションでは、ダウンロードしたアップデートのISOイメージを作成できます。このチェックボックスをオンにすると、選択したWindowsクライアントとサーバーのバージョンごとにISOイメージが作成されます。これは非常に便利な機能で、ISOファイルをマウント、DVDへの書き込み、USBフラッシュドライブへのコピーなどを行い、侵害されたシステム、ネットワーク接続が不安定なシステム、あるいはエアギャップデバイスなどアクセスできないシステムに展開できます(図L)。
プロセスが特定のバージョンの Windows の更新プログラムのダウンロードを完了すると、スクリプトはサブコマンドを実行して ISO を作成します (図 M)。
これらのISOファイルは、抽出されたWSUSOfflineディレクトリのルートにあるISOフォルダに書き込まれます。追加のセキュリティ対策として、各ISOファイルの整合性を検証し、改ざんを防止するためにハッシュファイルも生成されます(図N)。
オプションのコントロールと自動化:
手順 7 で UpdateInstaller.exe ファイルを実行して更新プログラムのインストールを開始する場合、コントロール セクションでいくつかのオプション設定を有効にして、インストール パッケージが正しくインストールされ、破損または壊れていないことを確認するなど、特定の機能を実行できます (破損または壊れているとシステムが不安定になる場合があります) (図 O)。
自動再起動とリコール機能を選択すると、オプションの使用を確認するプロンプトが表示され、自動化が問題なく実行されるように WSUS オフライン更新によって行われるいくつかの変更が通知されます (図 P)。
以下は、自動化とリコールが意図したとおりに機能し、システムの再起動が必要な場合に中断したところから再開するために必要な変更の一覧です。
- ファイルの抽出先となる WSUS オフライン更新フォルダは、匿名セキュリティグループに読み取り権限が付与された共有フォルダとして構成する必要があります。(これは手動で行う必要がある唯一の変更であり、以下の他の変更はすべて WSUS オフライン更新によって自動的に行われます)。
- 一時的な管理者アカウントが作成され、自動ログオンに設定され、管理者権限でプロセスの実行を続行して更新プログラムをインストールします。
- UNC パスは CLI ではサポートされていないため、WSUS オフライン共有フォルダーはローカル デバイスにマップされたドライブとして構成されます。
- 更新プロセスが正常に完了するまで、ユーザー アクセス制御 (UAC) は無効になります。
以下も参照:
- ネットワーク セキュリティ ポリシー (Tech Pro Research)
- Windows 10ユーザーは最新のアップデートのインストールを待つべき - 一部のPCで不具合発生 (TechRepublic)
- Windows 10 2018年4月アップデートの新機能 (ZDNet)
- Windows 10 2018年4月アップデート:チートシート(TechRepublic)
