WSUSのインストールとMBSAについて

WSUSのインストールとMBSAについて

Windows

WSUSのインストールとMBSAについて

WSUSのインストールとMBSAについてです。

 

ドメイン内にWSUSサーバを配置することにより各クライアントへの
Windows Updateの配信及びセキュリティ情報の取得等が可能です。

 

ドメインに参加しているWindows XP pro端末の一括管理を例に挙げます。
ドメインに参加していないWindows XP pro端末や2000端末等については
一部設定不可の項目があります。

 

WindowsXP Home等、不可能な端末があります。

 

 

IISのインストール

まず、IISをインストールします。チェックボックスは下記を参照下さい。

 

 

 

Microsoft .NET Framework Version 2.0 再頒布可能パッケージ (x86)
をダウンロード、インストールします。
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5

 

Microsoft Report Viewer 2005 再頒布可能パッケージをダウンロード、
インストールします。
http://www.microsoft.com/downloads/details.aspx?familyid=8A166CAC-758D-45C8-B637-DD7726E61367&displaylang=ja

 

WSUS3.0 SP1をダウンロード、インストールします。
http://www.microsoft.com/downloads/details.aspx?FamilyID=f87b4c5e-4161-48af-9ff8-a96993c688df&DisplayLang=en

 

「管理コンソールを含む完全なサーバーインストール」を選択する手順より
セットアップを実施します。

 

同期先は「Microsoft Update」を選択します。

 

 

 

同期の設定

マイクロソフトより更新ファイルをダウンロードするため、「同期」のプロパティ
よりダウンロードすべき(配信を行うクライアントと同一の)OS、オフィス製品等を
選択した後、同期を開始します。1~2時間かかりました。

 

 

 

左メニューより「すべての更新プログラム」をクリックします。
右ウィりンドゥにダウンロード済み更新ファイルが一覧表示されるので、「列の選択」を行い、
リリース日にて並び替えを行っておきます。

 

 

 

グループポリシーの設定

ドメインコントローラにログインし、「Active Directory ユーザとコンピュータ」を
開き、設定したいコンピュータをcomputersコンテナからOUに移動させます。

 

OUのグループポリシーを開き、WindowsUpdateのダウンロードページを
WSUSサーバに設定します。
且つ、自動インストール日時の設定を行います。

 

 

 

 

 

クライアントへの配信

WSUSサーバへログインし、任意の更新プログラム1つを承認します。
適用先は全てのコンピュータと設定します。

 

 

 

グループポリシーにて設定した時間になると、クライアントへの
インストールが始まります。

 

※インストール時間にPCが起動していなかった等により更新ファイルの
適用が不可であった場合、その後ある間隔でクライアント側がWSUS
サーバを見に行きますが、いつ見に行くというのはアクセスが集中するのを
避けるために正確には決められません。

 

※手動で更新があるか見に行きたい場合は、以下のどちらかの
コマンドをクライアントのコマンドプロンプトにて入力します。

 

wuauclt.exe /detectnow

 

wuauclt.exe /resetauthorization /detectnow

 

1つでも更新ファイルがWSUSサーバから配信されたクライアントは、
「すべてのコンピュータ」を右クリック、「検索」することで発見可能になります、多分。

 

 

 

「すべてのコンピュータ」配下にグループを作成し、発見されたコンピュータを入れます。
「未承認」を選択し、インストール許可を与えますが、その際にグループ単位で承認、
未承認を決定できます。

 

 

 

ダウンストリーム・サーバとは、ツリー上位の「アップストリーム・サーバ」から
パッチ情報(およびパッチ・ファイル)を同期するサーバのことです。
今回は設定しません。

 

 

レポート機能とMBSA

「レポート」をクリックします。

 

 

 

現在のクライアント状態の確認が可能です。

 

 

 

MBSA(Microsoft Baseline Security Analyzer)にてさらに詳しい
クライアントのセキュリティ情報が閲覧可能です。
http://www.microsoft.com/japan/technet/security/tools/mbsa2/default.mspx

 

 

 

 

MBSA実行時はネット接続が必要です。

 

MBSA実行時エラー

“コンピュータに古いバージョンのクライアントがあり、
セキュリティ データベースに新しいバージョンが必要です。
現在のバージョンは で最低限必要なバージョンは 5.8.0.2678 です“

についてはWindows Update エージェントの最新バージョンをインストールします。
http://support.microsoft.com/kb/946928/ja

 

インストール後はサーバの再起動が必要です。