更新プログラム管理の要点

更新プログラム管理の要点

マ゗クロソフト株式会社

最新対策を知る！

Windows Server®_{Update Services 3.0}

1-1

拝啓 ますますご清祥のこととお慶び申し上げます。

また、平素より弊社製品をご愛顧頂き、誠にありがとうございます。

さて、このたびは弊社Windows Server®_{Update Services 3.0（WSUS 3.0）に関するご提案}

の機会を賜り、誠にありがとうございます。WSUS 3.0 の基本と WSUS 3.0 でご利用の環境 をよりセキュアに運用するためのソリューションをご紹介いたします。 今日、急速に変化する社会環境において、より多くの付加価値を生み出し組織の活動を支え るコンピューティング システムにおいても、より高い付加価値の創造、柔軟性、コスト削減 が強く求められております。弊社がご提案させて頂くテクノロジ、サービスはまさにこれら の課題を解決し、 問題解決に貢献するものと確信しております。 つきましては何卒、本ご提案書の内容をご検討のうえ、ご採用賜りますようよろしくお願い 申し上げます。 敬具 マイクロソフト株式会社

はじめに

Active Directory 基盤

ウ゗ルス パターン フゔ゗ル配布との統合 サーバー監視による安定稼働の実現 WAN ネットワーク帯域の削減を実現

更新プログラム管理

構築例

最新対策を知る！更新プログラム管理の要点

更新プログラム管理の決め手、WSUS 3.0 を解説！

更新プログラム管理の基本

WSUS 3.0 の概要と新機能 WSUS 3.0 の構成 WSUS 2.0 から 3.0 への移行 WSUS 3.0 の運用

更新プログラム管理の活用法

更新プログラム配布時の WAN ネッ トワーク帯域削減方法 サーバー監視による安定稼働と迅速 な問題解決策の提供 ゕンチウ゗ルス ソフトウェゕとの統 合管理でセキュリテゖ強化

構築例

更新プログラム「一元管理」環境の 構築例 P3 P4 P5 P6 P7 P8 P9 P10 ソリューション ゗メージマップ

WSUS 3.0 の概要と新機能

WSUS 3.0 の特徴

- Microsoft®_{Update が提供する更新プラ} グラム、コンテンツを組織内に配布した り管理することができます。 - Windows Server 向け無償アドオン ソフ トウェアです。

-

WSUS 2.0 から簡単にアップグレード可 能で、従来のお客様にも安心してご利用 いただけます。 高度な管理製品へアップグレードが可能 -Microsoft ®_{System Center Configuration}

Manager 2007

-

Microsoft®_{System Center Essentials 2007}

シンプルな設定ウィザード

MMC ベースの管理コンソール

簡単なアップグレード 高度な管理製品へアップ グレード可能

WSUS 3.0 概要

WSUS 3.0 の新機能

簡単な操作 - シンプルな設定ウィザードの採用 - MMC ベースの管理コンソールを採用 し、より簡単に管理が可能 管理性の向上

-

電子メールによる通知

-

PDF 出力などレポート機能の強化 拠点WSUS 3.0 の強化 - 下位 WSUS サーバーのレポートを上位 WSUS サーバーで統合可能 グループ ポリシー でクライアント設定 を一元管理 Microsoft Update からコン テンツを取得 Microsoft Update 更新プログラムを 管理して配布

アップグレード パス

WSUS 3.0 の構成

WSUS 3.0 構成機能強化点

- Microsoft® _Forefront™ _{Client Security}

Microsoft®_Windows®_{Defender の定義}

ファイルが配布可能(最短 1 時間の更新間 隔) - 構成ウィザードの強化でより分かりやす く設定可能 - 下位 WSUS サーバーのレポートを上位 WSUS サーバーに集約可能 - 階層構造における下位の WSUS 3.0 で コンテンツのダウンロード元をMicrosoft Update に設定することが可能

WSUS 3.0 インストール要件

対応OS Windows Server 2003 SP1 以降 Windows Server 2008

Windows XP SP2, Windows Vista® _(管理

コンソール)

Internet Information Services 6.0 データベース Microsoft®_{SQL Server 2005}™ _{SP1 また} はWindows 内部データベース (WSUS インストーラに付属) 必要なコンポーネント. .NET Framework 2.0 MMC 3.0 Report Viewer 2005

WSUS 3.0 クライアントの設定

クライアントの各種設定はActive Directory® _のグ ループ ポリシーで一括設定 Active Directory がない場合は、ローカル ポリシー またはレジストリで設定可能

WSUS 3.0 階層構成

中央一元管理 分散管理 WSUS 3.0 は 2 つの階層構造をサポート 分散管理は、拠点の管理者が更新プログラムの管 理を担当

クライアント要件

対応OS Windows 2000 SP4 Windows XP SP1 以降(*注) Windows Vista Windows Server 2003 初期出荷版以降(*注) Windows Server 2008

(注) Windows XP SP1 および Windows Server 2003 初期出荷版は、サービスパック サポート 期間を終了しております。

低速

WAN 先の WSUS 3.0 構成例

Microsoft Update からコン テンツをダウン ロード 低速なWAN か らは、許可設定 のみを同期 拠点のブロードバンド 中央一元管理 許可設定 ポリシー

WSUS 2.0 から 3.0 への移行

WSUS 3.0 移行概要

- WSUS 2.0 SP1 からアップグレード可能。

-

Windows 2000 Server 上に WSUS 3.0 はインストールできません。Windows Server 2003 に WSUS 3.0 をインストー ル後、WSUS 2.0 のコンテンツ、許可設 定の移行が必要です。 データベース - WMSDE を利用している場合 Windows 内部データベースにアップグレード。

-

SQL Server 2000 を利用している場合 先にSQL Server 2005 SP1 へアップグ レードしておく必要があります。

移行方法

移行方法は直接アップグレードと移行 アップグレードの2 種類 直接アップグレード WSUS 2.0 と同じサーバー上で、WSUS 3.0 のアップグレード インストール 移行アップグレード WSUS 3.0 を新しいサーバーにインストールし て、古いサーバーから、コンテンツと承認設定 を移行

Windows 2000 Server に WSUS 2.0 をイ ンストールしている場合、移行アップグ レードを利用

移行アップグレード

新しいサーバーにWSUS 3.0 をインストール コンテンツ、承認設定を移行 承認設定の移行は、2 つのツールを利用 - WsusMigrationExport.exe - WsusMigrationImort.exe グループ ポリシーを新しいサーバーに変更しクラ イアントを新しいサーバーに接続 自動更新クライアントは、クライアントが次回の同 期時、自動的にアップグレードされます 階層構造のWSUS 2.0 がある場合、移行期 間中、WSUS 2.0 と 3.0 の混在環境が可能 です。アップグレードは必ず上位WSUS サーバーから行います

直接アップグレード

設定、更新プログラム、および承認状態が保持 されます カスタマイズされたIIS の設定は、アップグレード 後に再適用する必要があります(ポート、SSL、 ホスト ヘッダ) 自動更新クライアントは、クライアントが次回の同 期時、自動的にアップグレードされます

WSUS 2.0 と 3.0 の混在

WSUS 2.0 WSUS 3.0 WSUS 3.0 WSUS 2.0 同期可能 同期不可

アップグレードの手順

WSUS 2.0 WSUS 3.0 階層構造の WSUS は必ず上位 WSUS から 順番にアップグレードします

WSUS 3.0 の運用

運用面の機能強化

- MMC 3.0 を採用し、管理がより簡単に - 複数の WSUS サーバーを 1 つの MMC コンソールで管理可能 - 階層構造の WSUS サーバーのレポートを 上位WSUS サーバーへ集約し組織内の状 態を一括把握可能 - レポート機能を強化。PDFや Microsoft® Office Excel®_{での出力が可能} - クリーンナップ ウィザードが標準添付 データベースの清掃がより簡単に - Microsoft®_{System Center Operations}

Manager 管理パックの提供により高度な 監視が可能

複数

WSUS サーバーの管理

Excel 出力例

PDF や Excel へレポートを出力可能

1 つの MMC 管理コンソールから複数の WSUS サーバーの管理が可能

レポートを集約

(ロールアップ)

階層構造のWSUS サーバーの下位 WSUS サーバー レポートを上位WSUS サーバーに 集約

クリーンナップ ウィザード

定期的に実行し、丌要なデータを削除 データベースの健全性をウィザードで簡単に維持 削除項目 - 丌要な更新および 30 日間以上承認され ていない古いリビジョンの更新 - 30 日以上アクセスしていないコンピュータ - 期限切れの更新 - 置き換えられた更新

更新プログラムの承認

承認設定の種類 - インストールの承認 - 未承認 - 拒否

WAN を圧迫しないためには？

拠点への更新プログラム配布をWAN 帯域 にできるだけ影響を不えず配布することは 管理者の共通の悩みです。 WSUS 3.0 と組み合わせて使える WAN 帯 域の使用率削減方法を2 つご紹介します。

Microsoft

®

_{Internet Security}

and Acceleration Server 2006

(ISA Server) のプロキシ

動的コンテンツである更新プログラムを キャッシュするISA Server の機能を活用し、 WAN 帯域の圧迫を回避できます。

ピア キャッシング

- ピア キャッシングとは Windows Vista で キャッシュとして保持している更新プログラ ムを近く(同一セグメント) の Windows Vista が利用し、WAN の帯域を削減するための新 技術です。 - Active Directory 環境で利用可能です。 - クライアントの設定はグループ ポリシーで 管理します。 ポリシーで設定可能な項目 - 使用するネットワーク帯域 - 保持するキャッシュのサイズ - キャッシュを保持する期間 (既定値: 14 日間) 拠点 WSUS 3.0 Active Directory

更新プログラム配布時の

WAN ネットワーク帯域削減方法

ISA Server がないとき、WAN 帯域は更新プログ

ラムのダウンロードで圧迫されます ISA Server があるとき、WAN 帯域は ISA Server のキャッシュにより圧迫されません

拠点 拠点 WSUS 3.0 WSUS 3.0 更新プログラムは 動的コンテンツの ため、通常のプロ キシではキャッ シュできません ISA Server

ISA Server がないとき

ISA Server プロキシ

Windows Vista ピア キャッシング

ピア キャッシングがないとき

拠点 WSUS 3.0 Vista ピア キャッシングがないとき、WAN 帯域は 更新プログラムのダウンロードで圧迫されます Vista ピア キャッシングがあるとき、WAN 帯域は更新プログラムのダウンロードで圧迫されません

最大の特徴 管理パック

管理パックはマイクロソフト開発チームのナレッジ が詰まった監視ノウハウ集 イベント ログ の意味 監視ルール 監視に使うコマンド集(タスク) Ops Mgr 2007 WSUS 3.0

サーバー監視による安定稼働と迅速な問題解決策の提供

安定稼働を実現

System Center Operations Manager 2007 (Ops Mgr 2007) で Windows 環境を 一括監視。

これからは、WSUS 3.0 も Active Directory も ISA Server (*) も別々にイベ ント ビューアを確認する必要はありませ ん。監視は、すべてOps Mgr 2007 の管 理コンソールから行えます。 (*) 対応管理パックは順次 Web 上で公開されます。

Ops Mgr 2007 で安定稼働を実現

WSUS 3.0

Active Directory ISA Server Ops Mgr 2007 の管理コンソール で一括監視 イベント ログ、パフォーマンス データを Ops Mgr 2007 で収集 報告されたデータを管理 パックに基づき監視

サービス単位で監視

管理コンソールよりサービス単位で監視し、障害 が発生した時点で、どのコンポーネントに発生し ているのか即座に分析が可能。トラブル シュー ティングにかかる時間を大幅に短縮します。

Microsoft Update

WSUS 3.0 + Forefront でセキュアに

WSUS 3.0 Forefront 管理、レポート サーバー 定義ファイルと 更新プログラム をダウンロード

信頼性、定義ファイルへの取り組み

世界共通の 取り組み 日本独自の取り組み 世界中の利用者 ウイルス解 析センター 米国、アイル ランド、日本 ウイルス解 析センター 日本 各国の専門 機関、警察、 インターポー ル等 経済産業省、 総務省、 Cyber Clean Center Microsoft Update Hotmail® Windows Defender Live OneCare™ マイクロソフト 定義ファイルへ反映

アンチウイルス ソフトウェアとの統合管理でセキュリティ強化

本当のセキュリティ強化を実現

家のセキュリティに例えると、更新プログ ラムはドアの鍵の更新、アンチウイルスは、 セキュリティ会社との契約、脆弱性は家の 戸締まりのようなもの。セキュリティに気 を付けても、戸締まりをしないといった丌 注意があると、本来のセキュリティ機能が 意味をなしません。

WSUS 3.0 を利用する Forefront Client Security で更新プログラム、定義ファイル、 脆弱性をセットで管理することができます。 セットで管理することで、本当のセキュリ ティ強化を実現していただけます。

豊富なレポートで状態を確認

主な分析項目 - ポリシーの展開率は？ - 現存する脆弱性は？ - マルウェア検出状況は？ - 長期間管理されていない危険なコンピュータは？

脆弱性のチェックも可能

Forefront Client Security はクライアントの脆弱性 のチェックが可能 -丌要なサービス -共有の設定 - 無期限パスワード

サポート窓口を一元化

マイクロソフト サポート窓口 - 定義ファイル - 更新プログラムなど 定義ファイル の配信と管理 更新プログラムの配信と管理 脆弱性のチェック Active Directory

更新プログラム「一元管理」環境の構築例

ライセンス参考価格

本構成の前提条件: ハードウェア、SI 費用、 Active Directory 構築費用、Windows Server CAL は含まれておりません。 - 記載の価格は参考価格です。(2007 年 9 月現在)。 - ISA Server はプロセッサ ライセンスです。 - 参考価格は、Select 契約の価格レベル A の新規 ライセンス(L) で算出しております。 - お客様の実際のお支払額は、お客様の直接のご 発注先であるLAR 様・販売会社様との間で決定 されます。 Select のご利用は別途ご契約が必要になります。 - Forefront Client Security は、サブスクリプ ションのご提供になります。年額もしくはライセ ンス契約期間のご提供になります。

- with SQL Server は SQL Server 付きライセン ス参考価格です。

構築環境の前提

PC 台数 500 台

Active Directory 構築済み

Windows Server 2003 CAL を購入済み 本社、支社、営業所の計3 拠点 * WSUS、ISA Server は冗長化構成を取 ることも可能ですが、本構成図と参考価 格は冗長化構成を取っておりません。

4

つの対策ができる！オススメ構成

-

更新プログラムの一元管理

-

サーバー監視

-

WAN 帯域削減

-

アンチウイルスと脆弱性対策

(Forefrontを除く) ライセンス参考価格

Ops Mgr 2007 WSUS 3.0 ISA Server

構成図

Forefront 管理 レポート サーバー 営業所* 支社 本社

Windows Server 2003 Standard Edition x 4 ¥ 82,200- x 4 = ¥

328,800-Ops Mgr 2007 Server with SQL Server ライセンスx 1

¥ 159,100- x 1 = ¥

159,100-エンタープライズOML x 3

¥ 51,900- x 3 = ¥

155,700-ISA Server 2006 Standard Edition x 1 ¥ 157,600- x 1 = ¥

157,600-Forefront Client Security を除く合計 =

¥

801,200-Forefront Client Security Management Console with SQL Server

(¥ 262,800- / 年額) x 1 = ¥

262,800-Forefront Client Security サブスクリプ ションx 500

(¥ 1,356- / 年額 ) x 500 = ¥

678,000-Forefront Client Security 年額分 合計 =

¥

940,800-* 営業所は Windows Vista を導入し ピア キャッシング機能を利用

Active Directory

製品に関する詳細な情報は、弊社 Web サ゗ト

http://www.microsoft.com/japan/windowsserversystem/updateservices/

http://www.microsoft.com/japan/technet/windowsserver/wsus/30/

または担当営業までお問い合わせください。

本書は情報提供のみを目的としており、本書の内容について、Microsoft は、明示的あるいは非明示的ないかなる保証もいたしません。本書に記載 した情報は、将来予告なしに変更することがあります。本書を使用する場合の全体的なリスクまたは本書の使用による結果について、Microsoft は いかなる責務も負うものではありません。本書に記載されている会社、組織、製品、人物、゗ベントの例は架空のものです。実在の会社、組織、製 品、人物、または゗ベントとの関連を示唆するものではありません。適用可能な著作権方法すべてにお客様は準拠する必要があります。著作権上の 権利に限定されることなく、本書の一部または全部を無断で使用、複製することはできません。

Microsoft、Microsoft ロゴ、Active Directory、Excel、Forefront、Hotmail、OneCare、PowerPoint、Windows、Windows Server、Windows Vista は、米国 Microsoft Corporationおよびその他の国における登録商標または商標です。

その他の製品名と会社名は、各企業の登録商標または商標である場合があります。