リモートワークのWindowsUpdateを考える -SKYSEA編-
はじめに
こんにちは、システムソリューション営業本部の中道です。働き方改革の一環として、リモートワークをはじめ「会社に来て仕事をする」という概念が変わりつつあります。
特に昨今の新型コロナウイルスの感染予防対策により急速にリモートワークが進んでいることから、早急な対策が必要です。
様々な課題がある中で今回は「Windows Update」について考えてみたいと思います。
WindowsUpdateとは
WindowsOSに搭載されている、システムを最新に保つために自動的に実行されるシステムの更新機能を指します。Windows Updateには大きく2つの種類に分かれており、主に脆弱性対応や機能改善を目的として毎月配布される「品質更新プログラム(QU)」、主に新機能の追加等を目的として1年に2回配布される「機能更新プログラム(FU)」が存在します。
Windows端末におけるセキュリティ対策の基本となる機能ですが、リモートワーク等で端末を外部に持ち出す機会が増え、従来までのWindows Update運用手順では対処できない場面も多くなってきています。
そこで、今回は弊社で取り扱っている「SKYSEA Client View」(以下、SKYSEAと記載)を利用したWindowsUpdateの管理方法についてご紹介致します。
概要
SKYSEAとは
SKYSEAのシステムについては弊社の以下技術ブログに記載していますので、そちらをご確認くださいHTTPゲートウェイサーバーとは
製品ホームページ上では、「インターネット経由での資産情報・ログ収集を行う場合に、管理機、端末機からHTTP(S)での通信を受けつけ、その通信をマスターサーバー、データサーバーに転送するサーバーです。」と説明されています。簡単に言えば、会社内部に存在するSKYSEAサーバーと、外部ネットワーク(インターネット)に接続された端末を繋ぐために必要なサーバーです。
実際に管理を行うのはSKYSEAの管理機になりますが、HTTPゲートウェイサーバーを利用することで社外に存在する端末の状況を把握することが可能になります。
Windows Update設定と適用状況の確認
管理機からWindowsUpdateの設定を配布する
まずは、SKYSEAで設定・管理することが可能なWindows Updateに関連する設定項目について見てみましょう。一つ目が[更新スケジュール設定]です。
[更新スケジュール設定]では、名前の通りWindows Updateを実行する日時や更新プログラムの内容を設定することができ、さらにWindows Updateの実行時に端末の電源操作を実行したり、端末側にポップアップを表示したりすることも可能です。
※端末の種類によって、端末の電源操作が利用不可能な場合があります。
二つ目が[WSUSクライアント設定]です。
[WSUSクライアント設定]では、WSUSサーバーの指定やWindows Updateの更新設定を行うことができます。
※もう少し細かく説明すると、こちらの設定は端末のローカルグループポリシーに対して反映されます。
Active Directoryが存在する環境ではグループポリシーの設定値と競合してしまうため、注意が必要です。
これらの2種類の設定はそれぞれ独立しているため、[WSUSクライアント設定]で社内のWSUSサーバーを指定し、[更新スケジュール設定]で各端末の更新スケジュールを構成する、といった設定を行うことも可能です。
更新プログラムの適用状況確認
SKYSEAでは、端末の資産情報の一つとしてWindows Updateの実行状況(どんな更新プログラムが適用されているか)を収集しています。収集した端末情報はSKYSEAの管理コンソールから簡単に閲覧することができるようになっています。
こちらが実際の画面です。
[Windows更新プログラム別]や[端末機別]といったような表示形式の変更も可能で、さらに一覧のエクスポートまで実行することができてしまいます。
更新プログラムの配布
特定の更新プログラムを端末に適用したい場合には、[ソフトウェア配布]機能を利用することも可能です。※事前作業として、Windows Update Catalogから当てたい更新プログラムをダウンロードする必要があります。
実際に端末に対して更新プログラムを配布したいと思います。
今回はWindows更新プログラムを配布するので、「実行ファイルやWindows更新プログラム」を選択して必要な項目を埋めていきます。
表示名部分には判りやすい名前を入力しましょう。空白の場合はソフトウェア名称が表示されてしまうので、判断しにくいです。
実行パラメータに記述された「/quiet /norestart」はインストール時、勝手に再起動を防いでくれるパラメータで、いくつかこのようなパラメータが用意されています。
各設定を終えて右下の「OK」をクリックすると、登録完了した旨のポップアップが表示されます。
これで各PCへの配布準備は完了です。
それでは更新プログラムを配布していきます。
先ほど作成した更新プログラムを指定し、配布対象端末を選択して右下の「実行」をクリックします。
インストールの有無に関するポップアップが出てくるので、「はい」をクリックします。
配布の適用が完了します。
この時、配布対象になった端末の状況が更新され、状況について確認が出来ます。
HTTPゲートウェイサーバーを経由した場合、次回の端末起動時に配布されるため、端末側を再起動してみました。
上の画像がSKYSEAサーバー側、下の画像が端末側のタスクマネージャーの画面です。
再起動後、SKYSEAサーバー、端末共にトラフィックが増え更新プログラムのやり取りをしていることがわかりますね。
端末側はこの後自動でインストールが始まりますが、再起動させたくない場合には配布設定時のパラメータをカスタムして実現することが可能です。
ちなみにこちらの配布機能を利用することで、サイズの大きい機能更新プログラムについても配布・管理が行えます。
ここでは説明しきれないほど多くの設定項目が存在していますので、機能更新プログラムの配布についてもSKYSEAでは細やかな管理が実現できます。
実際の運用例について
さて、実際にSKYSEA上からWindows Updateの設定、適用、確認まで一通り実施しましたが、皆様の中には「社内ネットワークに接続している端末は社内WSUSサーバーに接続したい」「社外向けの端末のみMicrosoft Update Serverを利用したい」
といった要望をお持ちの方も多いのではないでしょうか。
SKYSEAでは、Active DirectoryにおけるOUのようなグループが存在しており、そのグループを分けることで簡単に設定を変更することができます。
上記の構成パターン例
まず、以下のようなグループをそれぞれ作成します。
①「社内端末グループ」 ⇒ 社内ネットワークに接続している端末用のグループ。Windows Update時には社内に存在するWSUSサーバーから更新プログラムを取得する。
②「社外端末グループ」 ⇒ インターネットに接続可能で、社内のネットワークに接続しない端末用のグループ。Windows Update時にはMicrosoft Updateサーバーから更新プログラムを取得する。
①の社内端末グループは、社内に存在するWSUSサーバーを利用してWindows Updateを実行するため、WSUSサーバーの指定に社内WSUSサーバーの情報を入力します。
②の社外端末グループは、インターネットを通ってMicrosoft Updateから更新プログラムを取得するため、「WSUSサーバーを利用しない」にチェックを入れます。
後は各端末をそれぞれの対象グループに移動させることで、端末の所在に応じた更新プログラムのダウンロード元を指定することが可能になります。
更新プログラムのダウンロード元設定は「グループ」に紐づいているため、「社外端末を社内端末に変更し、WSUSで制御する」といった場合でもグループ移動だけで変更できてしまいます。
※「インターネット経由環境での通信方法設定」によっては、グループ移動によりSKYSEAサーバーとの通信疎通が取れなくなる可能性があります。
次に「社内と社外が頻繁に入れ替わる端末が存在する」といった場合を考えてみます。
この場合、端末のグループ移動による管理も不可能ではありませんが、頻繁なグループ移動が発生するため運用が煩雑になってしまいます。
このような場合、基本的にはWSUSサーバーから更新プログラムのダウンロードを行い、緊急度の高いパッチが配信された時のみSKYSEAの「ソフトウェア配布」機能を利用する、といったことも可能です。
上記の構成パターン例
この場合、さらに「社内外端末グループ」を作成して管理をすることで、それぞれの端末の管理が行いやすくなります。
※Windows Updateの適用状況、ソフトウェアの配布、端末の管理等がグループ単位になるためです
さいごに
今回はSKYSEAを用いて、外部端末のWindowsUpdateを管理しました。SKYSEAではログの収集、Windowsupdate、ソフトウェアの配布などが出来ますので、これらを活用してみたい、デモを見てみたい、もっと詳しく知りたい等ございましたら
弊社お問い合わせフォームからお気軽にお問合せくださいませ!
※このブログで参照されているSKYSEA、SKYSEA Client ViewはSky株式会社の登録商標または商標です。
※このブログで参照されているマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。