ユーザ用ツール

サイト用ツール


it技術:セキュリティパッチ

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン前のリビジョン
次のリビジョン
前のリビジョン
it技術:セキュリティパッチ [2019/07/22 14:10] – [参照] yajuadminit技術:セキュリティパッチ [2022/09/05 17:58] (現在) – [サービススタック更新プログラム] yajuadmin
行 3: 行 3:
 WindowsUpdate未適用リストについて、下記サイトを参考にリストを作成する。\\ WindowsUpdate未適用リストについて、下記サイトを参考にリストを作成する。\\
 また、パッチのダウンロードも一括で取得でき、更新プログラムのスキャンも可能。 また、パッチのダウンロードも一括で取得でき、更新プログラムのスキャンも可能。
 +
 +<wrap em>※ダウンロードURLがx64が必要なのにx86になっていることがあるため別途x64でダウンロードする。</wrap>
 +
 +==== MBSA ====
 +<wrap em>※MBSAはWindows Server 2016以降対応しなくなった。</wrap>
  
   * [[https://automationlabo.com/wat/?p=973|MBSAを利用してオフライン環境下でWindowsUpdateを行う方法]]   * [[https://automationlabo.com/wat/?p=973|MBSAを利用してオフライン環境下でWindowsUpdateを行う方法]]
   * [[http://www.alt-plus.jp/archives/1316|windowsUpdateのサイレントインストールをしてみる。]]   * [[http://www.alt-plus.jp/archives/1316|windowsUpdateのサイレントインストールをしてみる。]]
 +  
 +<code bat MBSAの手順1のバッチファイル編集まで実施>
 +\\nfs\common\3.システム導入・保守・運用\078.WH構成表システム\3-2 システム保守\3-2-3 サービスデスク\08.構成表開発チーム\050_WHツール\MBSA
 +</code>
  
-wsusscn2.cabだけは、常に最新のカタログを下記サイトかウンロすること\\ +wsusscn2.cab最新にした後に「01_MBSA 一括セッアップ.bat」を実施する、「%USERPROFILE%\AppData\Local\Microsoft\MBSA\Cache」フォルにコピーする
-http://go.microsoft.com/fwlink/?LinkId=76054+
  
 +==== MBSAの代替 ====
 +Windows Server 2016以降はこっちを使用する。
 +
 +* [[https://mitsushima.work/archives/17968931.html|[Windows10]MBSAが終了しているようなので後継スクリプトを試してみた 〜オフラインPCのパッチ適用状況の確認〜]]
 +
 +<wrap em>※wsusscn2.cabだけは、常に最新のカタログを下記サイトからダウンロードすること\\
 +http://go.microsoft.com/fwlink/?LinkId=76054</wrap>
 +
 +「wsusscn2.cab」は毎月リリースされるセキュリティ関連の更新プログラムに関する情報が含まれているファイルです。この情報から足りないセキュリティパッチを洗い出してくれます。
 +
 +wsusscn2.cabを最新にした後に「StartScanWUA.bat」を実施する必要がある。
 +
 +WindowsUpdate未適用リストとして「ScanWUAResult.txt」が出力される。
 +
 +<code text ScanWUAResult.txt>
 +---WindowsUpdate未適用リスト--- 
 +
 +1> 2022-05 .NET 5.0.17 Security Update for x64 Server (KB5014329)
 +重要度:Important
 +サポートURL:https://go.microsoft.com/fwlink/?linkid=2147044&amp;clcid=0x409
 +MicrosoftUpdateカタログ:https://www.catalog.update.microsoft.com/Search.aspx?q=KB5014329
 +
 +2> 悪意のあるソフトウェアの削除ツール x64 - v5.104 (KB890830)
 +重要度:
 +サポートURL:http://support.microsoft.com
 +MicrosoftUpdateカタログ:https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830
 +
 +3> 2022-08x64 ベース システム用 Windows Server 2016 サービス スタック更新プログラム (KB5017095)
 +重要度:Critical
 +サポートURL:https://support.microsoft.com/help/5017095
 +MicrosoftUpdateカタログ:https://www.catalog.update.microsoft.com/Search.aspx?q=KB5017095
 +
 +4> 2022-08 x64 ベース システム用 Windows Server 2016 の累積更新プログラム (KB5016622)
 +重要度:Critical
 +サポートURL:https://support.microsoft.com/help/5016622
 +MicrosoftUpdateカタログ:https://www.catalog.update.microsoft.com/Search.aspx?q=KB5016622
 +
 +---ここまで---
 +</code>
 +
 +Microsoft®Update カタログからWindows Server 2016の対象KBをダウンロードする。.NET 5.0系は除外する\\
 +https://www.catalog.update.microsoft.com/Home.aspx
 +==== サービススタック更新プログラム ====
 +サービススタック更新プログラム(Servicing Stack Updates(SSU))をインストールすると、オペレーティングシステムが最新の累積更新プログラムを受信できるようになります。サービススタック更新プログラムが欠落している場合、誤った検出結果を受け取る可能性があります。
 +
 +サービススタック更新プログラムを当てないと、新規の累積更新プログラムが検出対象外となる。
 +
 +<wrap em>※セキュリティパッチの更新調査をする上で、先にサービススタック更新プログラムだけは更新させた上で再度検出する。そうしないと累積更新プログラムが検出されない</wrap>
 +
 +サービススタック更新プログラムは、コントロールパネルのプログラムと機能にある「インスールされた更新プログラム」上では、「セキュリティ更新プログラム」という名前で表示される。
 +==== プログラムと機能のインストールされた更新プログラムとの違い ====
 +KB番号によっては、新しいKB番号に内包されてしまっており、既にwsusscn2.cab内から除外されていると思われる。その為、スキャン結果でインスール済として出て来ない。
 +
 +2021年8月のwsusscn2.cabのサイズが850MB、2022年8月のサイズが645MBで少なくなっていることから古いものは除外してしまっている。
 +
 +==== MBSA と Microsoft Update との相違点 ====
 +Microsoft Update は「重要な更新」および「追加で選択できる更新プログラム」など、セキュリティ以外の更新プログラムもユーザーに提供します。MBSA は、これらのセキュリティ以外の更新プログラムを提供しません。よってWindowsUpdateのファイル数が少ない
 +
 +上位互換となるKBがでてそちらが先に当たり、後続がインストールできない(インストール不要)といったことはあります。\\
 +[[https://social.technet.microsoft.com/Forums/office/ja-JP/e4608504-b949-444c-a752-375afd51a9fc/windowsupdate1239812458125011252112452125313696929992123951238812356?forum=winserver8|WindowsUpdateのオフライン適用について(WindowServer 2012 R2) ]]
 +
 +==== MBSAで実行エラー ====
 +AddScanPackageService("Offline Sync Service" でエラーになるのは、Windows Updateサービスが無効になっているため
 ===== セキュリティパッチ適用 ===== ===== セキュリティパッチ適用 =====
 Wusa.exe等に「/quiet /norestart」オプションによりコンピューターが再起動されないようにしている。\\ Wusa.exe等に「/quiet /norestart」オプションによりコンピューターが再起動されないようにしている。\\
 [[https://support.microsoft.com/ja-jp/help/934307/description-of-the-windows-update-standalone-installer-in-windows|Windows の Windows Update スタンドアロン インストーラーについて]] [[https://support.microsoft.com/ja-jp/help/934307/description-of-the-windows-update-standalone-installer-in-windows|Windows の Windows Update スタンドアロン インストーラーについて]]
 +
 +==== 重大度評価(Severity) ====
 +https://docs.microsoft.com/en-us/previous-versions/windows/desktop/bb294979(v=vs.85)
 +
 +^値^項目名^説明^
 +|4|Critical \\ 致命的|このアップデートは、その悪用によりユーザーの操作なしにインターネットワームの伝播を可能にする可能性がある脆弱性を修正します。|
 +|3|Important \\ 重要|この更新プログラムは、悪用によりユーザーのデータの機密性、整合性、可用性、または処理リソースの整合性や可用性が損なわれる可能性がある脆弱性を修正します。|
 +|2|Moderate \\ 適度|この更新プログラムは、デフォルトの構成、監査、または悪用の難しさなどの要因によって悪用が大幅に軽減される脆弱性を修正します。|
 +|1|Low \\ 低い|このアップデートにより、悪用が非常に困難な脆弱性、または影響が最小限の脆弱性が修正されます。|
 +|0|Unspecified \\ 詳細不明|アップデートには重大度の評価はありません。|
 +
 +==== 累積更新プログラム ====
 +「累積的な」と書かれている更新プログラムには、同じ製品に対する過去の全ての更新プログラムの修正内容が含まれています。\\
 +例外がある場合は、サポート技術情報やセキュリティ情報で明示されます。
 +
 +[[https://answers.microsoft.com/ja-jp/windows/forum/all/%E6%9C%80%E6%96%B0%E3%81%AE%E7%B4%AF%E7%A9%8D/d2b1d305-5337-4aae-8b04-b520f3c573bf|最新の累積的なセキュリティ更新プログラムに、以前の更新分は含まれていますか?]]
 +
 +==== サービスパック上位適用 ====
 +サービスパックの上位を適用したなら下位のパッチの適用は不要となる。\\
 +ただ、サービスパックの上位を適用したことで新規のパッチが出現する場合がある。
 +
 +例えば、SQLServer 2014 SP3がまだ未適用の場合にSP2用のパッチがあったとしても、サービスパックのSP3を適用すればSP2用のパッチは適用する必要がない。SP3になったことでSP3用のパッチが出現する。
 +
  
 ===== エラー一覧 ===== ===== エラー一覧 =====
it技術/セキュリティパッチ.1563772242.txt.gz · 最終更新: 2019/07/22 14:10 by yajuadmin