SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

MBSA と DISM を使用した 2008 R2のパッチ適用

leave a comment

インターネットに接続されていない環境で適用対象となるセキュリティパッチを適用するための方法として、Microsoft Baseline Security Analyzer (MBSA) とオフライン検出用のカタログファイルを使用してリストを作る方法があります。
Microsoft Baseline Security Analyzer 2.2 (for IT Professionals) – 日本語
上級ユーザー向けの新しいバージョンの Windows Update オフライン スキャン ファイル Wsusscn2.cab について

OS のセキュリティパッチに関しては各月のパッチが含まれた ISO が提供されていますので、これを利用するという方法もありますね。
Microsoft ダウンロード センターで入手できる、ISO-9660 DVD5 イメージ ファイル形式のセキュリティ更新プログラム

今回は MBSA と DISM を使用したパッチ適用についてまとめてみたいと思います。

■MBSA と DISM を使用したパッチ適用


MBSA をダウンロードしてインストールするか、すでにインストールされている環境から mbsacli.exe をコピーし、上記ユーザー向けの~ の KB 内の URL から wsusscn2.cab をダウンロードし、適用対象のパッチを検出する環境にコピーします。

以下のコマンドを実行すると。オフライン状態でもパッチの検出をすることができます。

mbsacli /xmlout /catalog c:tempwsusscn2.cab > c:tempresult.xml

image

XML 形式で出力されますので、先頭に <?xml version="1.0" encoding="Shift_JIS"?> をつけてExcel で開いてみます。
image

image

テーブル化された状態で開くことができ、DownloadURL という欄に対象のセキュリティパッチのダウンロード先のリンクが表示されていますので、ダウンロードを支援するようなソフトを使用して適宜ダウンロードします。

このファイルなのですが、Windows Server 2008 R2 では拡張子が .cab となっています。
# 2003 は exe 形式でした。
拡張子が msu であれば、wusa.exe を使用してインストールできますが cab の場合は使えないと思いますので DISM を使用して適用をします。
Windows Vista および Windows Server 2008 の Windows Update スタンドアロン インストーラー (Wusa.exe) および .msu ファイルについて
Windows ソフトウェア更新プログラム パッケージのコマンド ライン スイッチ

DISM の説明についてはこちらに。
オペレーティング システムのパッケージ サービスのコマンド ライン オプション

/Add-Package を使用することで msu or cab をイメージに適用することができます。

/online で適用するとオンラインイメージ (起動している OS) に、/image を使用するとオフラインイメージ (マウントした WIM や VHD) に適用することができます。

今回は以下のコマンドを使用しています。
image

再起動のメッセージが表示されないように /norestart を使用しています。

あとはこのコマンドを for や forfiles を使用して回せば一括で適用することができます。
image

事前にキッティングする場合はインターネットに接続することもできると思いますが、お客様先でキッティングする場合はインターネットに接続することができず、WSUS がない場合には自分でパッチを取捨選択して適用する必要が出てきますのでオフライン適用の流れを知っておくとよいかもしれないですね。

Share

Written by Masayuki.Ozawa

7月 11th, 2012 at 8:44 am

Posted in Windows Server

Tagged with ,

Leave a Reply