Comments
Description
Transcript
SUSはWindows管理者の 救世主となるか
Microsoft Software Update Services 構築の実際 特 集 2 SUSはWindows管理者の 救世主となるか たかはしもとのぶ text by TAKAHASHI, Motonobu はじめに 本誌をお読みの方であれば、 Web サイトなどでイヤというほど目に .com/)は、セキュリティ関連のホット していることでしょう。ですから、いま フィックス(HotFix)や、Microsoft 社 さら繰り返すまでもないでしょう。 が重要だと考える製品のアップデート このように、一見聞こえのよいセリフ 「Microsoft 社はセキュリティ強化プロ の並んだSUS ですが、本当に使えるプ グラムであるSTPP(Strategic Techno- ロダクトなのか大いに気になるところで logy Protection Program)の一貫とし す。筆者も早速このSUS について検証 て、2002 年6 月24 日からSUS(Micro などを行なってみましたので、以下その soft Software Update Services)とい 結果をふまえてSUS の実体について説 うプロダクトを無償でリリースしていま 明していきたいと思います。 というような説明文 [注 1]を、各所の Windows Update の 概要 SUS の説明をはじめる前に、SUS の ベースとなったWindows Update につ 注1)このレベルの情報は山ほどありますが、とり あえずMicrosoft 社からのプレスリリースのページ を紹介しておきます(http://www.microsoft.com/ japan/presspass/releases/062402sus.asp) 。 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 70 Security Magazine ・怪しいActive X Control をインスト ールされてしまう ・セキュリティ関連のホットフィックス がWindows Update で提供可能にな 入手可能になってから若干のタイム ーバーともいうべきもので、企業内の各 の配布とその管理を行ないます」 ることができるWeb サイトです。 るまでには、ホットフィックス自体が す。SUS は企業内Windows Update サ クライアントに対するホットフィックス などを、比較的簡単にインストールす ラグがある ・すべてのホットフィックスが Windows Update からインストール可能 というわけではない いて簡単に説明しておきましょう。 ご存知のように、Windows Update といった懸案事項もありますが、いまま (http://windowsupdate.microsoft で何かと繁雑で、とても一般の人に覚 えてもらえるレベルではなかったホット 図 1 : Windows 自動更新 フィックスなどのインストール作業を、 一般の人にも何とか覚えてもらえるレ ベルまで簡便に行なえるようにしたとい う点では、Windows Update の意義は 大きいと思います。 また、Windows XP や、追加モジュ ールをインストールした[注2]Windows 2000 では、 「Windows の自動更新」と いう機能を利用することで、自動的に 修正モジュールをダウンロードしてイン ストールすることも可能となっており、 その手間はさらに低減されています。 しかし、図 2 に示すように、W i n dows Update はどちらかというと個人 図 2 : Windows Update の概念図 ユーザーをターゲットとしたサービスの ため、企業内での利用を考えると以下 修正プログラム に挙げるような問題点がありました。 問題 1 Qxxxxx1 Qxxxxx2 …… ファイアウォール Windows Updateサイト プロキシサーバー マシンにインストールする 本社サイト ホットフィックスなどの管理ができない 企業システムでは、管理上の手間を WAN接続 削減するために、各マシンの環境を同 一にしている場合が多いと思いますが、 HTTPで直接Windows Updateサイトから個別に取得 Windows Update には、マシンにイン ストールするホットフィックスなどをシ 修正プログラムは、マシンごとにまちまち ステム管理者が指定したものに限定す る、あるいは指定したものについては強 クライ アント 支社サイト 制的にインストールする、また各マシン にどのようなホットフィックスがインス 問題 2 トールされているかをシステム管理者か でWindows Update からホットフィッ ら簡単に参照できるようにするといっ クスやInternet Explorer の最新版など た管理機能はまったくありません。 をダウンロード、インストールしてしま Windows Update を利用してホット うと、最悪業務システムが動作しない フィックスなどをインストールしようと などの問題を引き起こしてしまうこと すると、インターネット上のWindows もあります。 Update サイトからファイルをダウンロ 管理が行き届かないまま、各マシン 注2)Windows Update から「Windows 自動更新 2002 年6 月」を選択して(図1) 、インストールし ます。 通信量が増大する ードします。しかも、古いモジュールを Microsoft Software Update Services 構築の実際 Security Magazine 71 インストールできないようにするという 図 3 : SUS の概念図 配慮のためか、キャッシュを無効にする 修正プログラム 設定が行なわれているため、途中にキ Qxxxxx1 Qxxxxx2 …… ャッシュサーバーなどを配置していて も、毎回インターネット上からファイル のダウンロードが行なわれてしまいま ファイアウォール Windows Updateサイト プロキシサーバー 本社サイト す。ファイルにはInternet Explorer な ど数10MB に達するものもありますの HTTPまたは ファイルコピーで複製 で、マシンの台数が多いと、インターネ ット回線の通信量にも無視できない影 SUSサーバー WAN接続 許可された更新 修正プログラム 配布許可 配布拒否 …… SUSサーバー 響が発生してしまいます。 Qxxxxx1 Qxxxxx2 …… HTTPで取得 問題 3 SUSサーバーから許可された修正プログラムだけを取得 インターネット接続が大前提である プロキシ(キャッシュ)サーバー経由 クライ アント 支社サイト でもかまいませんが、とにかくHTTP プ ロトコルでWindows Update サイトに 接続できる環境が必要ですので、完全 SUS サーバーから修正プログラムをダ dows の自動更新」も、指定したSUS にクローズドなシステムでは利用できま ウンロードします。インターネット上の サーバーから修正プログラムをダウンロ せん。 Windows Update サイトと通信する必 ードすることや、Active Directory の こうした理由のため、企業内では 要があるSUS サーバーは最低1 台あれ GPO(Group Policy Object)などを使 Windows Update を無効にする、もし ばすむので、インターネットとの通信量 って設定を一元的に制御できるように くは利用を禁止せざるを得ないケース を最低限に押えることが可能となり、問 バージョンアップすることが必要です。 が多かったのではないかと思います。 題2 や問題3 が解決します。また、具体 SUS の概要 SUS は、Windows Update のこうし た現状を踏まえて、企業内での利用を 前提としてデザインが行なわれていま す。 的な方法は後述しますが、SUS サーバ SUS と Windows Update や ー間の複製は、オフラインでのファイル SMS 受け渡しで行なうことも可能なの、物理 このように、SUS は、Windows Up 的にインターネットと接続されていない date の問題点のいくつかを解決するこ 完全にクローズドなネットワークでも、 とにより、企業内でWindows Update SUS の恩恵を受けることが可能です。 の機能を活用することを可能にするソ さらに、SUS サーバーでは、Win- リューションであると言えます。ただし、 dows Update サイトからダウンロード 完全にWindows Update を置き換える 図3 のように、SUS を利用すると、各 した修正プログラムのうち、どれをクラ ことができるものではありません。以下 クライアントのマシンは、SUS サーバー イアントからインストール可能にするか にSUS ではできないWindows Update から修正プログラムをダウンロード、イ を個別に制御できるので、問題 1 で指 の機能を示します。 ンストールすることが可能になります。 摘した修正プログラムの管理の問題も SUS サーバー自身はインターネット上 ある程度解消します。ただし、クライア の Windows Update サイトや、別 の ント側にインストールされる「Win- 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 72 Security Magazine サポートOS SUS はWindows 2000/XP のみをサ 表 1 : SUS/SMS/Windows Update の比較 Windows Update SUS SMS 配布可能なプログラム 一部の修正プログラム、SP など 重要な修正プログラム(Windows Update より限定されている) 任意のプログラム(ただし基本的には要カス タマイズ) 配布対象プログラムの管理 マシンごとに管理、プログラム単 位で指定 中央で一元管理、プログラム単位で 指定 中央で一元管理、さまざまな条件で指定できる 配布時間などの指定 手動、簡単なスケジューリング (厳密な制御ができない) 手動、簡単なスケジューリング (厳密な制御ができない) 手動、厳密なスケジューリング 配布状況の管理 マシンごとに管理、GUI で管理で きる 中央で一元管理、ログファイルベース 中央で一元管理、GUI で管理できる 管理性 一般ユーザー向けのサービスであ り容易 機能が限定されているため容易 非常に難解 ポートします。一方Windows Update SMS(またその他のファイル配布プ ロンサーバーのいずれかに限定されま はWindows 98 以降のWindows 9x 系 ロダクト)をすでに使って修正プログラ す。また、インストール先のパーティシ OS と、Windows NT 4.0 で Internet ムの配布を行なっているのであれば、あ ョン(またはボリューム)は、NTFS で Explorer 4.0 以上が動作するWindows えてSUS を使う必要はないでしょう。 フォーマットされている必要がありま NT 系OS からアクセスできます。 なお、管理性については特に説明し す。ただしFAQ のページにある ていませんが、これについては以下具体 インストール可能な修正プログラム 的なインストールや設定方法について SUS でインストールできるのは、 説明しますので、そちらを参照してくだ ッサ、512メガバイト(MB)のRAM、 さい。機能が限定されていることもあっ および6 ギガバイト(GB)のディス て、設定や管理は非常にシンプルです。 ク空き容量が必要です。 」 ・Windows 重要な修正プログラム 「x86 または互換 P700 レベルプロセ ・Windows 重要なセキュリティ修正プ ログラム という最低限必要なハードウェアにつ SUS のインストール ・Windows セキュリティロールアップ いての記述については、あまり気にする 必要はないようです。実際筆者の手元 だけです。 それでは、以下具体的なインストー では、 ル方法について説明していきましょう。 また、従来からMicrosoft 社が企業 といっても、SUS のインストールは非 「Celeron 566/256MB/空き容量5GB 内でのファイル配布用途などに用いる 常に簡単ですので、迷うことはないと思 (インストール時) 」 製品として販売しているSMS(Systems います。 Management Server)と競合しないよ ただし、SUS サーバーになれるのは、 というマシンで問題なく検証などが行 うにという意図があってか、前述した特 Internet Explorer 5.5 以上を搭載して 定の修正プログラム以外の配布は行な おり、IIS 5.0 がインストールされた えない仕様になっているほか、スケジュ Windows 2000 Server SP2 以降のみと バイナリの取得と ーリング機能や、配布状況の管理機能 なっています。しかも、FAQ のページ インストールの開始 などが意図的に中途半端なものになっ ているという感じがします。 要点を表 1 に簡単にまとめましたの で、参照してみてください。 [注3] なえています。 に記載していますが、ドメインコン まずは、SUS のバイナリをダウンロ トローラはSUS サーバーになることが ードしてください。MSI 形式のバイナ できませんので、SUS をインストールで きるのは、メンバサーバーかスタンドア 注 3)http://www.microsoft.com/japan/windows 2000/windowsupdate/sus/susfaq.asp Microsoft Software Update Services 構築の実際 Security Magazine 73 図 4 :「ファイルの場所の選択」画面 図 5 :言語の設定 リがSUS のホームページ[注4]から取得 サイトとして分離するに越したことはな うに「ファイルの場所の選択」画面が できます。ファイルの容量が47MB あ いでしょう。動作しているIIS のサイト 現われるので、適切なフォルダを選択 りますので、回線が細い場合には注意 がなければ、インストール過程でSUS してください。特に「更新の保管場所」 してください。 という Web サイトが自動的に生成さ で、 「更新を次のローカルフォルダに保 れ、SUS を構成するファイルもそこに 存する」を指定すると、そのフォルダ以 置かれます。 下にダウンロードしてきた修正プログラ ダウンロードが完了したら、インスト ールを行なう前に「インターネットイン フォメーションサービス」から、動作中 [注5] のIIS のWeb サイト をすべて停止 しておくことをお勧めします。 IIS の設定を終えたら、早速アイコン ムが格納されます。初期ダウンロード をクリックしてインストールを開始しま で150MB 程度[注6]の容量が必要とあ しょう。 りますが、その後ホットフィックスなど SUS の実体は、大きく分けると各種 ウィザードにしたがって、インストー がリリースされるたびにどんどん増加し の管理を行なうためのWeb アプリケー ルを行なっていくとセットアップの種類 ていくことを考えると、数GB の容量を ション、クライアントに修正プログラム として「標準」と「カスタム」を指定す 確保しておいた方がよいでしょう。 を配布するためのWeb サイト、および る画面が現れます。ここで「標準」を 図5 に示す「言語の設定」では、Win- Software Update Service というサービ 選択した場合、以下で説明する設定が dows Update サイトからダウンロード スから成りたっています。 デフォルトの値に設定されます。設定 する修正プログラムの言語を指定しま Web アプリケーションの部分は、デ 自体は後で変更できますが、SUS の す。大半の方は「日本語のみ」でよい フォルトで「既定のWeb サイト」にイ Web サイトを構成するファイルの位置 のではないかと思いますので、そのよう ンストールされますが、その際、Web を後から変更するのは面倒ですので、 に変更しておきましょう。その次の「以 サイトのディレクトリ直下にいくつかの 「カスタム」でのインストールをお勧め 前に許可された更新の新しいバージョ ファイルを置いてしまうので別のWeb します。以下「カスタム」を選択した場 ンの処理」は、デフォルトのままでかま 合を例にとって説明します。 注 4)http://www.microsoft.com/japan/windows 2000/windowsupdate/sus/default.asp 注5)この「Web サイト」は、IIS 用語のWeb サイ トを意味します。 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 74 Security Magazine 「カスタム」インストールの設定 「カスタム」を選択すると、図4 のよ 注6)これは1 言語の場合で、すべての言語の場合 は600MB 程度必要とドキュメントにあります。な お、筆者の環境では、日本語のみ(PC-98xx シリ ーズ用の日本語NEC は含めません)の初期ダウン ロード状態で120MB 程度でした。 図 6 : IIS Lockdown の実行。強制的に実行される 図 7 : SUS サイト content という仮想ディレクトリや、SUSAdmin というディレクトリなど が確認できる ルやフォルダについては図 8 のように ACL が設定され、基本的にはAdministrators ローカルグループのアカウント いません。最終的に「インストールの準 のが現実だと思いますので、この仕様 以外が利用できないように設定されて 備完了」という確認画面が現れますの は筆者としてはちょっと乱暴過ぎるよ います。逆に言えば、Administrators で、 「インストール」ボタンを押すとイ うに思います。セキュリティ強化を促 グループのアカウントであれば、別マシ ンストールがはじまります。 す意味で、IIS Lockdown が自動起動さ ンから管理することも可能です。 なおNEC のPC-98xx シリーズ用の修 れるところまではよいと思うのですが。 正プログラムが必要な場合は、 「特定の 言語」ボタンを押して、明示的に「日 本語NEC」を選択する必要があります ので注意してください。 SUS クライアントの インストール IIS サイトの生成 最終的にインストールが完了すると、 図7 のようにSUS というWeb サイトが [注7] 作成されます 。SUS 関連のファイ SUS を利用するには、クライアント 側にもSUS に対応した「Windows 自動 IIS Lockdown の実行 インストールの過程で図 6 のように 注7)前述したように、デフォルトの状態でインストールを行なった場合は、 「既定のWeb サイト」に対して ファイルが追加されます。 IIS Lockdown が実行されます。これは 強制的に実行され、回避することはで 表 2 : IIS Lockdown により行なわれる設定の変更 スクリプト マッピングの削除: ASP .ASP ファイルの有効化 きません。IIS Lockdown が実行される スクリプト マッピングの削除: IDQ 無効化 と、表2 のようにASP 以外の動的コン スクリプト マッピングの削除: SHTML、SHTM、STM 無効化 テンツが禁止され、サンプルや管理サイ スクリプト マッピングの削除: IDC 無効化 トなどが削除されますので、ある意味セ スクリプト マッピングの削除: printer 無効化 スクリプト マッピングの削除: HTR 無効化 キュアにはなります。しかしIIS を他の サンプル Web ファイルの削除 ファイルの削除 用途にも使っている場合や試験用サー スクリプ仮想ディレクトリの削除 ディレクトリの削除 バーなどの場合は、勝手に設定を変更 MSDAC 仮想ディレクトリの削除 ディレクトリの削除 されてしまい迷惑でもあります。 WebDAV の無効化 WebDav の無効化 IIS 匿名ユーザーによるシステムユーティリティの実行阻止 阻止 IIS 匿名ユーザーアカウントによる Web コンテンツの書き込み阻止 阻止 Microsoft が推奨するように、専用サ ーバーにしてしまえばよいのでしょう が、小規模なサイトではそうもいかない 詳細は、 「Microsoft Software Update Services の展開」の「付録 A:Software Update Services Setup を理解する」を参照 Microsoft Software Update Services 構築の実際 Security Magazine 75 図 8 : SUSAdmin ディレクトリのセキュリティ Administrators と SYSTEM はフルコントロー ルだが、それ以外の 2 つのアカウントには書き込 み拒否という特殊なアクセス権のみが設定されて いるので、基本的にはまったくアクセス権はない。 また、Everyone など、ACL のないアカウントに ついても、当然アクセス権はない 図 9 : SUS の管理画面 図 10 :「オプションの設定」メニュー SUSの初期設定 インストールが完了すると、 「http:// localhost/SUSAdmin/」にアクセスす 更新」をインストールする必要があり [注8] ます 。ドキュメントなどには明記さ れていませんが、これは W i n d o w s ることで、図9 のようなSUS の管理画 面が表示されます。SUS の設定や管理 は、すべてここから行ないます。 Update などからインストール可能な 実環境で設定を行なう上では、あら 「Windows 自動更新 2002 年6 月」と同 かじめ運用のポリシーを決めておく必 じものですので、既にこれをインストー 要がありますが、まずは機能説明を兼 ライアントが使用する名前を指定し ルしている場合は、改めてインストール ねて、一通り各メニューを紹介してお てください する必要はありません。新規にインス きます。 文字どおり、クライアントマシンが トールする場合は、Windows Update 最初に行なうことは、 「オプションの から行なってもかまいませんし、SUS の 設定」からSUS サーバーの設定を確認 ホームページ[注9]の下の方にあるリン することです。 「オプションの設定」メ クから行なってもかまいません。インス ニューを表示すると、右側のペインに現 トール時には特にオプションなどはあり れる設定項目を図10 に示します。見て します ません。 のとおり、設定項目はたったこれだけで 修正プログラムのダウンロード元を このファイルはMSI 形式のファイル になっていますので、Active Directory す。 以下個々の項目について説明します。 す。 注8)Windows 2000 SP3 やWindows XP SP1 か らはSUS 対応のWindows 自動更新がデフォルト でインストールされる予定です。 注 9)http://www.microsoft.com/japan/windows 2000/windowsupdate/sus/default.asp 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 76 Security Magazine 名前を指定します。 ③コンテンツを同期するサーバーを選択 指定します。 SUS サーバーを選択した場合に、 「許 可された項目の一覧を同期する(置換 のGPO を利用するなどして一括して自 動的にインストールすることも可能で SUS サーバーにアクセスする際に使う ①プロキシサーバーの構成を選択します モード) 」のチェックボックスをチェッ Windows Update サイトへの接続に クすると、クライアントにどの修正プロ プロキシサーバーを経由する必要があ グラムを配布するかという「許可された る場合は、ここで設定を行ないます。 項目」情報も、ダウンロード元のSUS サーバーから取得するようになります。 ②この更新サーバーを見つけるためにク この場合、このサーバー上では情報を 図 11 :「サーバーの同期」メニュー は、インストール時に行なった設定が反 映されているはずです。 このうち、設定を変更する必要があ るのは、①と②だけでしょう。④と⑤の 設定は、インストール後で変更するこ とはあまりないと思います。③について は後で説明しますが、1 台目のSUS サ ーバーの場合は設定を変更する必要は 変更できません。 ここで「Microsoft Windows Updates ありません。 サーバーで更新を維持する」を選択し 設定が一通りすんだら、図11 の「サ ④以前に許可された更新の新しいバー た場合は、クライアントマシンはSUS ーバーの同期」メニューから「今すぐ同 ジョンを処理する方法を選択してく サーバーからではなく、Windows Up 期」を選択してください。しばらく時間 ださい date サイトから修正プログラムをダウ がかかりますが、Windows Update サ 一度「許可された項目」に追加した ンロードしますが、クライアントマシン イトから修正プログラムが一式ダウン 修正プログラムが更新された時に、自 は「許可された項目」の情報をSUS サ ロードされます。定常運用にはいったら 動的に「許可された項目」に追加する ーバーから取得します。 かどうかを決定します。デフォルトでは 追加しません。 この設定は、クライアントマシンに適 用する修正プログラムは管理したいが、 「同期スケジュール」から設定を行なっ て、夜間などにダウンロードを行なうよ うにするとよいでしょう。 修正プログラム自体はSUS サーバーか ダウンロードが完了したら、図12 の ら配布したくないという状況で使いま ような「更新の許可」メニューを開い 修正プログラムをローカルに保管す すが、通常この設定にする必要はない てください。このようにSUS サーバー るかどうか、また保管する場合にどの言 と思いますので、本記事でもこれ以上 にダウンロードされたクライアントに配 語のものを保管するかを設定します。 は触れません。保管する言語について 布可能な修正プログラムが一覧になっ ⑤更新を保管する場所を選択します 図 12 :「更新の許可」メニュー(初期状態) 図 13 :「更新の許可」メニュー(許可の設定後) Microsoft Software Update Services 構築の実際 Security Magazine 77 て表示されていますので、実際に配布 を行ないたいものにチェックボックスを つけ、 「許可」ボタンを押してください。 配布可能となったものは、通常は図13 ローカルポリシーによる「Windows 自動更新」の設定 コラム 1 とりあえず手軽に設定する方法として、ローカルポリシーによる設定方法について 説明しておきましょう。 のように、各修正プログラムの右に まずは、 「スタート」メニューの「ファイル名を指定して実行」から gpedit.msc 「 (許可済み) 」と表示されています。な を実行して、ローカルコンピュータポリシーの MMC スナップインを起動します。つ お、一括で許可という機能はありませ いで図 14 のように管理用テンプレートのコンテキストメニューから「テンプレート んが、右側のペインのスクロールバーで の追加と削除」を選択して、本文でも説明した wuau.adm を追加します。 囲まれた「利用可能な更新」にフォー カスを合わせれば、後はTAB キーで移 動しながらスペースを押してチェックボ ックスをチェックしていくことで、比較 的素早く多数の修正プログラムを「許 可」することが可能です。 これで、SUS サーバーについては、初 期設定が完了です。 なお、ここで説明した以外のメニュ これで、 「管理用テンプ レート」-「Windows コ 図 14 :「テンプレートの追加と削除」メニューの選択 ンポーネント」の下に 「Windows Update」と いうフォルダが現れ、な かにポリシーが 2 つ現れ ますので、適宜設定して ください。設定項目自体 は、本文で説明したレジ ストリと同じです。 ーのうち「関連項目」にある各種メニ ューは、見てのとおりドキュメントや外 部のWeb サイトへのリンクです。 「ログ の表示」と「サーバーの管理」について み込ませるなどの方法で自動的に設定 は、SUS サーバーの管理に利用するも することが可能です。ローカルポリシー ーバーを使います のですので、後で説明します。 やGPO を利用する場合のポリシーテン ・REG_DWORD: AUOption プレートとしてwuau.adm というファイ SUS クライアントの設定 ルがあらかじめ用意されています。なお 1 =WUServer で指定されたSUS サ 2 =更新をダウンロードする前、およ びインストールする前に通知する SUS では、冒頭で説明したように各 各方式の具体的な方法はSUS とははず クライアントマシンがSUS サーバー(ま れますのでここでは説明しません。以下 インストールの準備ができたら通 たはWindows Update サイト)から修 にレジストリとその意味について説明 知します 正プログラムを取得するというプル型 します。 3 =更新を自動的にダウンロードし、 4 =更新を自動的にダウンロードし、 ScheduledInstallDay と Sche のモデルですので、クライアント側でも SUS サーバーを利用するため、先ほど HKLM¥SOFTWARE¥Policies¥Micro duledInstallTime で指定された インストールした「Windows自動更新」 soft¥Windows¥WindowsUpdate¥AU スケジュールでインストールしま の設定が必要になります。 ・REG_DWORD: NoAutoUpdate 設定は基本的にレジストリを修正す ることで行ないます。もちろんローカル ポリシー(コラム1) 、GPO やシステム ポリシーを使ったり、スタートアップス クリプトでREG ファイルを自動的に読 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 78 Security Magazine 0 =自動更新を行ないます 1 =自動更新を行ないません ・REG_DWORD: UseWUServer 0 =WUServer で指定されたSUS サ ーバーを使いません す ・ REG_DWORD: ScheduledInstall Day 0 =毎日 1 ∼7 =日曜日(1)から土曜日(7) の曜日 AUOption =4 の時に、自動インスト NoAutpUpdate=0、UseWUServer=1 と、インストール完了後に自動で再起 ールが行なわれる曜日を指定し に設定して、WUServer とWUStatus 動が行なわれますので、自動でインスト ます。 Server にSUS サーバーのURL を指定し ールする(AUOption =4)場合は、自 たうえで、ポリシーに応じてAUOption 動的な再起動で編集中のファイルが破 Time を3 か4 に設定することになるでしょう。 棄されるなどの問題が発生しないよう 0 ∼ 2 3 = 2 4 時間形式の時刻。A U いずれにしても、上記レジストリを設定 に運用に注意する必要があります。ま Option =4 の時に、自動インス すると、各マシンのGUI による設定画 た、SMS とは違い、SUS では一度クラ トールが行なわれる時刻を指定 面は図15 のようにグレーアウトして設 イアントがインストールした修正プログ します。 定できなくなります。 ラムをアンインストールする機能は提供 ・ REG_DWORD: ScheduledInstall 自動更新が有効になっている各マシ されていません。どうしてもアンインス HKLM¥SOFTWARE¥Policies¥Micro ンは、1 日に1 回定期的にSUS サーバー トールが必要になった場合は、SUS 以 soft¥Windows¥WindowsUpdate¥ に接続して、SUS サーバーが「許可さ 外の方法で行なう必要があります。 ・REG_SZ: WUServer れた更新」に含めた修正プログラムを SUS サーバーのURL を指定します。 ダウンロードし(AUOption=2 の時は、 たとえばSUS サーバーがSHIORI と ダウンロードをしてよいか通知します)、 いう名前で参照可能な場合、 「http: ダウンロード完了後に、ユーザーに通 //shiori」のように指定します。 知、もしくは指定された時刻に自動的 なお、値が設定されていない場合は、 にインストールを行ないます。なお、 てしまえば、これ以降行なうことは、新 Windows Update サイトから修正プ SUS サーバーに接続する時間は制御す 規修正プログラムがダウンロードされる ログラムのダウンロードが行なわれま ることができませんので、厳密なトラフ たびにそれを「許可された更新」に含 す。 ィック管理ができません。このあたり めるかどうかを判断して設定すること も、SMS を意識して故意に機能を落し 以外、基本的にログの監視になります。 ・REG_SZ: WUStatusServer 後述するステータスサーバーのURL ているような感じがします。 SUS の管理 一度インストールして運用を開始し SUS サーバーのログ監視は、基本的 を指定します。よくわからない場合 インストール後再起動が必要な修正 に前述した図9 のSUS の管理画面にあ はSUS サーバーと同じ値を設定して プログラムを自動でインストールする る図16 のような「同期ログの表示」と ください。 図 16 :「同期ログの表示」メニュー 通常は、自動更新を有効にするには、 図 15 :グレーアウトした「自動更新」の設定画面 Windows Update サイトや別 の SUS サーバとの同期に関す るログになる Microsoft Software Update Services 構築の実際 Security Magazine 79 図 17 :「許可ログの表示」メニュー 図 18 :「サーバーの監視」 「許可された更新」の操作に関するログになる 図17 のような「許可ログの表示」画面 ステータスサーバーによる ントの状態を把握できるようになって から行ないます。なおこれらのファイル クライアントの状態の管理 います[注10]。ここまでやるなら、ログ はSUS のWeb サイト以下の¥AUtoup SUS を管理していくうえで、各クラ ファイルを解析する画面(またはツー date¥Administration フォルダ以下に、 イアントへの修正プログラムの配布状 ル)もつけてくれてもよさそうなところ おのおのhistory-sync.xml とhistory- 況などは把握しておきたいことでしょ ですが、SMS との競合を避けるためか、 approve.xml という名前のXML 形式の う。SUS ではちょっとトリッキーな方 そうしたツールはついていません。 ファイルとして保管されていますので、 法でIIS のログファイルを活用すること スクリプトなどでログの解析を行なうこ で、こうした情報を収集しています。 とも可能です。 SUS クライアントが記録するログの 例をリスト1 に示します。 SUS のクライアントは、何らかのア /wutrack.bin をGET する際に、さま また、図18 の「サーバーの監視」で クションを行なうと、ステータスを示す ざまな変数が指定されていますが、こ は、メモリ中に格納されている最新の さまざまな引数を指定してステータス れがSUS クライアントのステータスを 修正プログラムに関する情報を参照す サーバーとして指定されたサーバー上の 意味するものになります。変数部分を ることが可能です。 /wutrack.bin というダミーのファイル 模式化すると 実際にトラブルが発生した場合の対 をGET します。これにより、IIS のログ 応方法や、発生しそうなトラブルの一 に/wutrack.bin ファイルへのアクセス 覧については、 「Microsoft Software というかたちで記録が行なわれ、ログフ Update Services の展開」の「トラブル ァイルを解析することでSUS クライア 注10 :SUS クライアントの設定にあるステータス サーバーとは、この目的で接続するサーバーを指定 する設定項目です。 シューティング」 (P64)などに詳細な 情報がありますので、そちらを参照して ください。 リスト 1 : SUS クライアントが記録したログの例 2002-08-03 10:55:44 192.168.10.107 - 192.168.10.107 80 GET /wutrack.bin U=71f2dcb0975a1c4087f346cf28faaf69&C=iu&A=n&I=&D=&P=5.0.893.2.110.3.0&L= ja-JP&S=s&E=00000000&M=&X=020803105544673 200 Industry+Update+Control *) 上記は、デフォルトの W3C 拡張ログファイル形式になっています。 *)実際は改行なし 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 80 Security Magazine /wutrack.bin?U=<ping_ID>&C=<client> &A=<activity>&I=<item>&D=<device>&P =<platform>&L=<language>&S=<status> &E=<error>&M=<message>&X=<proxy> 表 3 : SUS クライアントのログの意味 activity 動作に関する情報を示します n :初期化 s :セルフアップデート d :検出 w:ダウンロード。成功および失敗、また該当する場合は取り消しと拒否が 記録されます i :インストール。再起動のない失敗と成功、再起動を伴う成功、該当する 場合は拒否が記録されます item activity で指定された処理が行なわれるコンポーネント(もしあれば)を示 します device 処理対象のデバイス ID(もしあれば)を示します platform クライアントマシンのシステムに関する情報を示します このフィールドには、 “.”区切りで OS 関連の情報が記録されています <maj_os_ver>.<min_os_ver>.<build_num>.<plat_id>. <suite_mask>.<prod_type>.<processor_arch> plat_id システムの系列を示します 1 : Windows 9x 系 OS(Windows 95/98/Me) 2 : Windows NT 系 OS(Windows NT/2000/XP) suite_mask インストールされている製品に関する情報を示します このフィールドはビットマスクになっていますが、以下よく使われるであろ うビットのみ記載します[注 11] たとえば、リスト 1 の 110 という値は、0x10+0x100 で、ターミナルサ ーバーがインストールされていることを示します prod_type システムに関する情報を示します processor_arch プロセッサアーキテクチャを示しますが、32 ビットマシンの場合、この値 は 0 です language ja-JP(日本語/日本)といった ISO 形式でクライアント OS の言語/地域 を示します status 処理のステータスを示します。以下値を示します S(成功):処理は、完全かつ無事に実行されました R(成功−再起動が必要):ここまでの処理の実行は成功しました。再起動 して続行する必要があります F(失敗):ユーザーによる取り消し以外の理由で、処理の実行が失敗しま した C(取り消し):ユーザーによって、実行中に処理が取り消されました D(拒否):ユーザーによって、処理が拒否されました N(項目なし):処理を実行できる更新項目がありません P(保留):(おそらく)想定されていない状態です[注 12] error 処理の結果を 8 桁の 16 信数で示します[注 13]。使用されない場合、値は 0 になります *)実際は改行なし のようになります。それぞれの意味は表 3 のとおりです。 実際に運用を行なう際には何らかの 解析ツールを作成して統計情報を収集 した方がよいでしょう。 SUS クライアントの 動作ログファイル そもそもSUS クライアントからサー バーへの接続自体が行なわれていない といったトラブル時に参照できるログと して、SUS クライアント(Windows 自 動更新)の自体のログが%WinDir%¥ Windows Update.log というファイルに 自動的に出力されています。SUS クラ イアント自体の動作に問題が発生した 時は、このログを参照するようにしまし ょう。ログの一部をリスト2に示します。 ここでは、3 行目で、iuident.cap フ ァイルのダウンロードに失敗したこと や、8 行目で更新すべき修正プログラム の有無をSUS サーバーに問い合わせた ことなどが確認できます。 message 発生したエラーの説明が含まれます proxy 状態メッセージのタイムスタンプを格納します。タイムスタンプの形式は、 YYMMDDHHMMSSmmm です SUS の展開と運用 注11、13)詳細は、 「Microsoft Software Update Services の展開」を参照してください。 ここまで、SUS サーバーおよびクラ 注12)マニュアルをみると、 「返される情報はすべて、開発者および顧客の問題を解決するサポートによって 使用されます」と記述されています。 イアントの設定方法について説明して きました。以下では、実際に導入を検 そもそも SUS を導入する 討する上での考慮点などについて説明 必要があるか? していきましょう。 冒頭で説明したように、SUS の恩恵 を受けられるのはWindows 2000/XPの 当たり前ですが、メリットもないのに みですので、これ以外のクライアントし やみくもに導入しても仕方ありません。 かないのであれば、導入するメリットは Microsoft Software Update Services 構築の実際 Security Magazine 81 リスト 2 : Windows Update.log の内容(一部) 1: 2002-08-04 18:01:25 09:01:25 Success IUCTL 2: 2002-08-04 18:01:27 09:01:27 Error IUCTL 0x801901F7) 3: 2002-08-04 18:01:27 09:01:27 Error IUCTL to H:¥Program Files¥WindowsUpdate¥V4 (Error 0x801901F7) 4: 2002-08-04 18:01:27 09:01:27 Success IUCTL from H:¥Program Files¥WindowsUpdate¥V4 5: 2002-08-04 18:01:27 09:01:27 Success IUCTL software available 6: 2002-08-04 18:01:27 09:01:27 Success IUENGINE 7: 2002-08-04 18:01:28 09:01:28 Success IUENGINE 8: 2002-08-04 18:01:30 09:01:30 Success IUENGINE http://shiori/autoupdate/getmanifest.asp 9: 2002-08-04 18:01:32 09:01:32 Success IUENGINE 10: 2002-08-04 18:01:32 09:01:32 Success IUCTL ありません。またSUS が配布できるの は、セキュリティ修正モジュールなどを Starting Library download error. Will retry. (Error Failed to download iuident.cab from http://shiori Ignore above error, use local copy of iuident.cab Checking to see if new version of Windows Update Starting Determining machine configuration Querying software update catalog from Shutting down Shutting down 各クライアントへの 15000 台のクライアントをサポートでき 「Windows の自動更新」の配布 るとありますので、SUS サーバーのパフ 中心とした修正プログラムに限られま 導入を決定したら、対象となる各ク ォーマンス面が問題となることはない すので、すでにこうした修正プログラム ライアントに対して更新された「Win- でしょう。後はWAN 越しの各サイトに を配布する体制が整っているのであれ dows の自動更新」を配布する必要があ SUS サーバーを配置するかどうかを、ネ ば、やはりSUS 導入のメリットはない ります。 ットワークトラフィックとサーバー導入 でしょう。逆に考えると 自動的に行なうには、さまざまな方 法が考えられます。Active Directory を ・ Windows 2000/XP クライアントが 存在している ・セキュリティ修正モジュールなどを随 時インストールする必要がある ・現在クライアントに一括して修正プ ります。 導入していれば簡単ですが、導入して いない場合でも、クライアントマシンの 「許可された更新」の設定を行なう場所 管理者権限があれば、タスクを配布し 組織のポリシーにもよりますが、大半 てそのなかでインストールを実行するな の組織では、中央のSUS サーバーで行 どいくつか方法が考えられます。 なった設定を各SUS サーバー(もしあ ログラムを配布する体制がない。もし くは各マシンが個々に W i n d o w s コスト的な観点から決定することにな れば)に配布するのが管理の一元化の SUS サーバーの配置と構成 観点でよいでしょう。 Update サイトを使っているので、イ 最後にSUS サーバー自身をどこにど ンターネット接続回線の帯域を圧迫 のように配置するかを考える必要があ SUS サーバー間の修正プログラムの複 している ります。考慮するうえでのポイントとし 製方法 ては、以下の4 つがあげられます。 ような状態であれば、管理コストが非 常に低いSUS は導入の価値があると言 えるでしょう。 ポリシーに依存します。主にトラフィッ SUS サーバーの台数と場所 Microsoft のドキュメントによると、 最小ハードウェア [注 1 4 ] の構成でも 注 14)前掲しましたが、CPU がP3-700/メモリ 512MB/ディスクの空き6GB です。 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 82 Security Magazine これは、組織のネットワーク構成や クの観点からいうと、各拠点間がイン ターネット経由で結ばれているのであれ ば、各拠点の SUS サーバーが独自に Windows Update サイトから取得する 設定にした方がよいでしょうが、インタ ーネット接続が1 箇所の場合や、 「許可 図 19 : SOHO や小規模な組織の導入例 された更新」の設定を一元管理したい 修正プログラム 場合は、マスタのSUS サーバーがWinQxxxxx1 Qxxxxx2 …… dows Update サイトから取得した修正 プログラムをさらに組織内の別のSUS サーバーが取得する設定にした方がよ ファイアウォール Windows Updateサイト いでしょう。 SUSサーバー なお、通常SUS サーバー間の複製は、 直接HTTP で通信することによって行 許可された更新 ないますが、物理的な接続が許可され (すべて許可) ないようなクローズドなネットワークの 修正プログラム Qxxxxx1 Qxxxxx2 …… 場合でも、オフラインでのファイル(お よび設定)の複製により、SUS サーバ ーの構築が可能です。 クライアント(AUOption=3) 各クライアントの「Windows の自動更 新」の設定 考慮のポイントは、AUOption を3 (インストール前に通知)にするか、4 化とバックアップを考慮しても2 台配置 接続されている場合は、WAN の帯域と しておけばよいでしょう。 各拠点のクライアントマシンの台数に (自動インストール)にするかだと思い SUS サーバーはWindows Update サ もよりますが、ある程度以上の規模で ます。各ユーザーに管理者権限を与え イトから修正プログラムをダウンロード あれば図20 のような多段構成を検討す ず、全クライアントを一元管理してい し、サーバー内に蓄積します。これによ るとよいと思います。 るような組織であれば、4 の選択もある り、クライアントのWindows Update この場合、クライアントに配布する 、各クライアントの のトラフィックがインターネットに流れ 修正プログラムは、本社側のサーバー 管理はクライアントマシンの利用者に ることを防ぎます。クライアント側を厳 で一元管理できるように、支社側のサ 任せているような環境では、勝手に再 密に管理していないのであれば、 「許可 ーバーでは、コンテンツを同期するサー 起動しては困る場合もあると思います された更新」では、すべての修正プログ バーとして、本社のSUS サーバーを指 ので、3 が無難ではないかと思います。 ラムを許可して、どれをインストールす 定するとともに、 「許可された項目の一 これらを考慮した、典型的と思われ るかはクライアント側にまかせてしまえ 覧を同期する(置換モード) 」のチェッ ばよいでしょう。クライアント側では、 クボックスをチェックしておきましょ [注15] と思いますが る導入形態をいくつか示します。 「AUOption =3」に設定して、各クラ SOHO や小規模な組織 事務所が1 箇所の場合は、図19 のよ うに単純にSUS サーバーも1 台、冗長 う。 イアントマシンの管理者が必要な時に 必要な修正プログラムをインストール できるようにしておきます。 完全にクローズドなネットワークな組織 この場合は、Windows Update サイ トから修正プログラムをダウンロードし 注 15)ただ、こうした厳格な管理を行なっている 組織では、すでに何らかのファイル配布のしくみを 構築している場合が多いようですので、そもそも SUS を導入する必要がないように思います。 WAN で複数サイトに分割されている て蓄積するインターネットに接続した 組織 環境にあるSUS サーバーと、手動によ 事務所が複数あって、間がWAN で る複製を行ない、クローズドなネットワ Microsoft Software Update Services 構築の実際 Security Magazine 83 図 20 :複数サイトがある組織の導入例 とりあえずの評価 修正プログラム Qxxxxx1 Qxxxxx2 …… ここまで、SUS について一通り説明 ファイアウォール しました。筆者自身、まだ使い込むと Windows Updateサイト プロキシサーバー 「許可された項目の 一覧を同期する」を チェックして、 SUS親サーバーの 「許可された更新」の 内容を複製する WAN接続 SUSサーバー 本社サイト いうところまではいっていないので、今 後予想外の問題点が出てくるかもしれ SUSサーバー ませんが、とりあえずの評価としては 修正プログラム 許可された更新 配布許可 配布拒否 …… 「可もあり不可もあり」といったところ Qxxxxx1 Qxxxxx2 …… HTTPで複製 でしょうか。 操作性に関しては、非常にシンプル で評価できます。いままでWindows HTTPで取得 クライアント(AUOption=4(もしくは3)) Update に頼ってきた組織にとっては、 ネットワークトラフィックの低減という 点だけでも導入する価値があるのでは 支社サイト ないでしょうか? 一方各クライアントを厳格に管理し 図 21 :完全にクローズドなネットワーク環境への導入例 て運営しているような組織にとっては、 修正プログラム Qxxxxx1 Qxxxxx2 …… スケジューリング機能の低さがネックに なって、いまひとつ導入しづらいと思い ファイアウォール ます。特に SUS クライアントがいつ Windows Updateサイト ダウンロード ネットワーク的に分断されている SUSサーバー 内部サイト 許可された更新 配布許可 配布拒否 …… SUSサーバー SUS サーバーに接続できるかを制御で 外部サイト 修正プログラム Qxxxxx1 Qxxxxx2 …… きない点は、問題となるケースも多いと 思います。 こうした点から考えると、SUS は主 にあまり厳格な管理の必要でない、OA 系ネットワークにWindows Update の 代替として導入するのが一番似合って いるように思います。ネットワークトラ フィックが制御できない点を除けば、あ クライアント (AUOption=4(もしくは3)) る程度厳格な管理もできますが、ほか リムーバブルメディア経由で複製 のプロダクトとの連携機能がないなど、 厳格な管理を行なうにははがゆい点が ーク内でSUS サーバーとして機能させ ワーク内の各クライアントは、内部 多いので、導入は注意深く行なうこと る内部SUS サーバーの最低2 台のSUS SUS サーバーから、自動的に修正プロ が必要でしょう。 サーバーが必要となります。 グラムをダウンロードして、インストー もっとも、ある程度機能や目的を限 ルすることが可能となります(図21) 。 定しているからこそ、最近の多機能指 具体的な複製の方法は、コラム2 を 参照してください。クローズドなネット 特 集 2 SUS は Windows 管理者の 救世主となるか Microsoft Software Update Services 84 Security Magazine 向のMicrosoft 社製品のなかにあって非 S コラム 2 オフラインでの複製 高度なセキュリティを保つために、完全に切り離されているネットワーク間でも、 以下のようにすることで SUS サーバーの情報を複製することができます。 複製先のサーバーは、IIS 5.0 が稼働していることが必要です。複製は、ファイル を手動で複製することで行ないます。 ①配布元サーバーの/(トップディレクトリ)直下にある以下の 3 つのファイルを複製 H O E I S H A Cisco Internetworking Library Cisco ビギナーズガイド 第2 版 先 Web サーバーの SUS 用 Web サイトのトップディレクトリに複製します。 ・ Aucatalog.cab ・ Aurtf.cab ・ approveditems.txt ②配布元サーバーの/Content/cabs 以下にあるすべてのファイルおよびフォルダ を任意のフォルダ(たとえば c:¥SUS¥content¥cabs)に複製します。 ③②で複製したフォルダに対して、/content でアクセスが可能なように、仮想フォ ルダを設定します。 複製自体に必要な設定はこれだけです。 要は、上記ファイルについて、複製元の SUS サーバーと同じ URL で同じ設定で アクセスできるようにすれば OK ということです。この機能により、リムーバブルメ ディアなどを使った複製による SUS サーバー間の複製が実現しますので、物理的に Cisco 製品を利用した 切り離されているネットワーク間でも複製を行なうことが可能になります。 インターネットワーキング について、 常にシンプルな操作性が実現されてい ジ[注16]から参照、ダウンロードできる るわけです。SUS だけですべてが解決 各種ドキュメント、なかでも特に本文 できるわけではないですが、SUS をうま 中でも何度か紹介した「Microsoft Soft く既存のシステムに取り込めば、役立 ware Update Services の展開[注17]」に ってくれるのも確かでしょう。こうした 目を通しておくことを強く推奨します。 ツールをどう使うか、生かすも殺すも後 90 ページ以上あるのでちょっと読みこ はわれわれ管理者の腕にかかっている なすのは骨ですが、これを読み通せば といったところでしょうか。 SUS の設定、運用を行なううえで十分 最後になりましたが、SUS の導入に な知識が身につくと思います。 あたっては、事前にSUS のホームペー すみずみまで解説した 入門書の決定版! ! ■トビー・ベルト、トム・ソーネシー、 アンソニー・ベルト 著 ■シスコシステムズ株式会社 監修 ■前田奈美、鈴木弥生 訳 ■定価:本体 4,800 円 + 税 ■ 780 ページ A5 判 ■ ISBN4-7981-0215-6 VoIP、SAN、CDN、QoS、 ワイアレスネット ワーキングなどの最新のトピックを追加 し、全内容をリファインした改訂版です。 注16)http://www.microsoft.com/japan/windows2000/windowsupdate/sus/default.asp IOS 、ルータ、スイッチ、ハブ、アクセス 注17)http://www.microsoft.com/japan/windows2000/windowsupdate/sus/susdeployment.asp サーバなどの仕組みや設定運用方法に ついて学びたい方の最初の 1 冊にピッタ リ!Cisco 技術者認定試験の資格取得 を目指す方にも最適です。23%増量の 堂々780ページ! Microsoft Software Update Services 構築の実際 (株)翔泳社 〒160-0006 プロフェッショナルSEの知的探究心を 東京都新宿区舟町5 出版局出版営業部 満足させる日本初の ITセレクトショップ TEL.03-5362-3810 FAX.03-5362-3817 http://www.shoeisha.com/ Security Magazine 85