MENU

WSUSのインストールとMBSAについて

WSUSのインストールとMBSAについてです。

 

ドメイン内にWSUSサーバを配置することにより各クライアントへの
Windows Updateの配信及びセキュリティ情報の取得等が可能です。

 

ドメインに参加しているWindows XP pro端末の一括管理を例に挙げます。
ドメインに参加していないWindows XP pro端末や2000端末等については
一部設定不可の項目があります。

 

WindowsXP Home等、不可能な端末があります。

 

 

IISのインストール

まず、IISをインストールします。チェックボックスは下記を参照下さい。

 

 

 

Microsoft .NET Framework Version 2.0 再頒布可能パッケージ (x86)
をダウンロード、インストールします。
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5

 

Microsoft Report Viewer 2005 再頒布可能パッケージをダウンロード、
インストールします。
http://www.microsoft.com/downloads/details.aspx?familyid=8A166CAC-758D-45C8-B637-DD7726E61367&displaylang=ja

 

WSUS3.0 SP1をダウンロード、インストールします。
http://www.microsoft.com/downloads/details.aspx?FamilyID=f87b4c5e-4161-48af-9ff8-a96993c688df&DisplayLang=en

 

「管理コンソールを含む完全なサーバーインストール」を選択する手順より
セットアップを実施します。

 

同期先は「Microsoft Update」を選択します。

 

 

 

同期の設定

マイクロソフトより更新ファイルをダウンロードするため、「同期」のプロパティ
よりダウンロードすべき(配信を行うクライアントと同一の)OS、オフィス製品等を
選択した後、同期を開始します。1〜2時間かかりました。

 

 

 

左メニューより「すべての更新プログラム」をクリックします。
右ウィりンドゥにダウンロード済み更新ファイルが一覧表示されるので、「列の選択」を行い、
リリース日にて並び替えを行っておきます。

 

 

 

グループポリシーの設定

ドメインコントローラにログインし、「Active Directory ユーザとコンピュータ」を
開き、設定したいコンピュータをcomputersコンテナからOUに移動させます。

 

OUのグループポリシーを開き、WindowsUpdateのダウンロードページを
WSUSサーバに設定します。
且つ、自動インストール日時の設定を行います。

 

 

 

 

 

クライアントへの配信

WSUSサーバへログインし、任意の更新プログラム1つを承認します。
適用先は全てのコンピュータと設定します。

 

 

 

グループポリシーにて設定した時間になると、クライアントへの
インストールが始まります。

 

※インストール時間にPCが起動していなかった等により更新ファイルの
適用が不可であった場合、その後ある間隔でクライアント側がWSUS
サーバを見に行きますが、いつ見に行くというのはアクセスが集中するのを
避けるために正確には決められません。

 

※手動で更新があるか見に行きたい場合は、以下のどちらかの
コマンドをクライアントのコマンドプロンプトにて入力します。

 

wuauclt.exe /detectnow

 

wuauclt.exe /resetauthorization /detectnow

 

1つでも更新ファイルがWSUSサーバから配信されたクライアントは、
「すべてのコンピュータ」を右クリック、「検索」することで発見可能になります、多分。

 

 

 

「すべてのコンピュータ」配下にグループを作成し、発見されたコンピュータを入れます。
「未承認」を選択し、インストール許可を与えますが、その際にグループ単位で承認、
未承認を決定できます。

 

 

 

ダウンストリーム・サーバとは、ツリー上位の「アップストリーム・サーバ」から
パッチ情報(およびパッチ・ファイル)を同期するサーバのことです。
今回は設定しません。

 

 

レポート機能とMBSA

「レポート」をクリックします。

 

 

 

現在のクライアント状態の確認が可能です。

 

 

 

MBSA(Microsoft Baseline Security Analyzer)にてさらに詳しい
クライアントのセキュリティ情報が閲覧可能です。
http://www.microsoft.com/japan/technet/security/tools/mbsa2/default.mspx

 

 

 

 

MBSA実行時はネット接続が必要です。

 

MBSA実行時エラー

“コンピュータに古いバージョンのクライアントがあり、
セキュリティ データベースに新しいバージョンが必要です。
現在のバージョンは で最低限必要なバージョンは 5.8.0.2678 です“

についてはWindows Update エージェントの最新バージョンをインストールします。
http://support.microsoft.com/kb/946928/ja

 

インストール後はサーバの再起動が必要です。