■マイクロソフトが公開するセキュリティ更新プログラムを迅速に提供する必要性が高まっている。OSの欠陥であるセキュリティ・ホールを狙うウイルス/ワームの早期出現でセキュリティ対策ソフトの対応も間に合わない状況が発生している。マイクロソフトは2005年6月からWindowsへパッチを適用する仕組みに変更を加えた。それに関連するツール/サービスを全4回で解説する。今回は,概要とWindows Updateに代わる新サービス「Microsoft Update」を解説する。
掲載した記事を、編集/再構成したものです。
マイクロソフトは,新しいパッチ更新サービス「Microsoft Update」を本格的に開始した(該当サイト)。サイトは6月7日から存在していたが,マイクロソフトによって正式に発表された7月14日から,Windows 2000/XP/Server 2003を使って「Windows Update」のサイトにアクセスしてきたユーザーに対して,Microsoft Updateへの移行を促す案内とリンクが表示されるようになった。
△ 図をクリックすると拡大されます
|
|
図1●新しいパッチ適用サイト「Microsoft Update」
|
△ 図をクリックすると拡大されます
|
|
図2●Microsoft Update世代のパッチ管理ソリューション
|
また,クライアント管理ソフト「Systems Management Server(SMS)2003」や,社内用パッチ配布ツール「Windows Server Update Services(WSUS)」,セキュリティ診断ツール「Microsoft Baseline Security Analyzer(MBSA)2.0」,そしてOSの自動更新機能も,Microsoft Updateが提供するパッチ・カタログ「Microsoft Updateカタログ」を使うようになった(図2)。
SMS 2003では,Microsoft Updateカタログに登録された修正パッチは,管理ツールから選択するだけでクライアントに配布できるようになる。これまでは,マイクロソフトのサイトからパッチをダウンロードし,リモート・インストール用のパッケージとしてSMS 2003で定義する必要があった。また,パッチの適用状況を診断する新ツール「SMS 2003 Inventory Tool for Microsoft Updates」が,9月21日にリリースされた(関連記事)。
社内用パッチ配布ツールSoftware Update Services(SUS)の後継であるWSUSでも,Microsoft Updateと同じ種類の修正パッチが配布可能になった。WSUSの詳細は,本連載の第3,4回で取り上げる。
MBSA 2.0では,ネットワーク上の他のマシンにOSやMicrosoft Officeのパッチが適用されているかどうか,リモートからチェックできる。前バージョンのMBSA 1.2では,ローカル・マシンにおけるOfficeパッチの適用状況はチェックできたが,リモート・マシンのチェックはできなかった。MBSA 2.0の使い方については,本連載の第2回で概要を説明する。
OSの自動更新機能でもMS Officeの修正パッチを自動的に適用できるようになった。将来的にはSQL ServerやExchange Serverのパッチも自動的に更新できるようになる。ただし,未検証のパッチを適用したくない場合は,自動更新機能やMicrosoft Updateの使用は避けた方が無難だろう。
ユーザーによっては,Microsoft Updateへの移行が新たなトラブルを起こす可能性がある。特にWindows 2000とOffice 2000には注意が必要だ。
Windows 2000に大変化あり
まずMicrosoft Updateへの移行に伴い,Windows 2000で「プロキシ環境下でアップデートできない」という障害が起きる可能性が出てきた。この原因を理解するには,OSの自動更新機能の理解が不可欠なので,詳しく説明しよう。
現在のWindowsにおいて,Windows/Microsoft UpdateとOSの自動更新機能は統合されている。Windows/Microsoft Updateのサイトを利用している場合でも,修正パッチをダウンロードしたり適用したりしているのは,OSの自動更新機能である。
このOSの自動更新機能は,Windows XPで初めて搭載された。当初は修正パッチを自動的にダウンロードしてくるだけの存在だった。それが2002年夏に登場したWindows 2000 SP3とWindows XP SP1から,パッチを自動的にインストールできるようになった。
実はこのとき,OSの自動更新機能は「Windows Update Agent 1.0」というパッチ適用エンジンになっている。同時期にリリースされたSoftware Update Servicesのクライアントという位置付けでもある。
そしてWindows Update Agentは,2004年8月からWindows XP/Server 2003向けに提供され始めた「Windows Updateバージョン5*」で「Windows Update Agent 2.0」になり,さらに重要になった。それまでの「Windows Updateバージョン4」では,修正パッチをダウンロードしたり適用したりするのは,Active Xコントロール(Update Class)やDLL(ダイナミック・リンク・ライブラリ)ファイル(iuengine.dllやiuctl.dll)の役割だった。しかしWindows Updateバージョン5から,Windows Update Agent 2.0が修正パッチのダウンロードや適用を担当することになった。
Windows Updateがバージョン5になった際,「プロキシ環境下でWindows XPマシンだけWindows Updateや自動更新ができない」というトラブルが頻出した。これはWindows Update AgentがBITS 2.0*やWinHTTP 5.1*という機能を使うようになり,それらのプロキシ設定がInternet Explorerと異なっていたためであった。
これに対して,Windows 2000のパッチ適用エンジンは,長らくWindows Updateバージョン4のままだった。今回,Microsoft Updateが本格稼働するとともに,Windows 2000もWindows Update Agent 2.0に移行した。ユーザーがMicrosoft Updateに移行したかどうかは関係ない。7月中にWindows UpdateにアクセスしたWindows 2000マシンは,Windows Update Agent 2.0に自動的に移行した。
その結果,Windows 2000においても「プロキシ環境下でWindows Updateや自動更新ができなくなる」という事態が発生する可能性がある。もし障害が発生した場合は,マイクロソフトのサポート技術情報「KB885961(Windows Update でエラー番号 0x8024402C が表示される場合の対処方法)」や「KB884101(Windows Update に関する技術情報)」などを参照してほしい。
なおSUSの後継であるWSUSのクライアントは,Windows Update Agent 2.0だけになった。ただしWSUSには,Windows Update Agent 2.0を配布する機能が備わっているので,システム管理者が特に設定する必要はない。
Office 2000は移行しない方がいい
△ 図をクリックすると拡大されます
|
|
図3●Microsoft Updateの使用を停止してWindows Updateに戻る方法
|
ところが,Microsoft UpdateのWebサイトには,従来のWindows Updateにあった「Office Updateへのリンク」が消えている。Office 2000ユーザーがMicrosoft Updateに移行しても,Office Updateがしにくくなるだけでメリットがない。Windows Updateに戻りたい場合は,図3のような手順を踏めばよい。
*注釈*
*Windows Updateバージョン5
Windows XP Service Pack 2と同時にリリースされたWindows Updateサイト。
*BITS 2.0
バックグラウンド・インテリジェント転送サービスの略。ファイル転送を効率的に行うためのWindowsシステム・コンポーネント。空いているネットワーク帯域を使用してファイル転送を実行し,ファイル転送処理が中断された場合も,ファイル全体を転送し直すのではなく,中断された位置からファイル転送を正確に再開する。
*WinHTTP 5.1
「Microsoft Windows HTTP サービス 5.1」の略。HTTP 1.1をサポートするためのAPI(アプリケーション・プログラミング・インターフェース)を提供する。
