インターネットに接続されていない環境で適用対象となるセキュリティパッチを適用するための方法として、Microsoft Baseline Security Analyzer (MBSA) とオフライン検出用のカタログファイルを使用してリストを作る方法があります。
Microsoft Baseline Security Analyzer 2.2 (for IT Professionals) – 日本語
上級ユーザー向けの新しいバージョンの Windows Update オフライン スキャン ファイル Wsusscn2.cab について
OS のセキュリティパッチに関しては各月のパッチが含まれた ISO が提供されていますので、これを利用するという方法もありますね。
Microsoft ダウンロード センターで入手できる、ISO-9660 DVD5 イメージ ファイル形式のセキュリティ更新プログラム
今回は MBSA と DISM を使用したパッチ適用についてまとめてみたいと思います。
■MBSA と DISM を使用したパッチ適用
MBSA をダウンロードしてインストールするか、すでにインストールされている環境から mbsacli.exe をコピーし、上記ユーザー向けの~ の KB 内の URL から wsusscn2.cab をダウンロードし、適用対象のパッチを検出する環境にコピーします。
以下のコマンドを実行すると。オフライン状態でもパッチの検出をすることができます。
mbsacli /xmlout /catalog c:tempwsusscn2.cab > c:tempresult.xml |
XML 形式で出力されますので、先頭に <?xml version="1.0" encoding="Shift_JIS"?> をつけてExcel で開いてみます。
テーブル化された状態で開くことができ、DownloadURL という欄に対象のセキュリティパッチのダウンロード先のリンクが表示されていますので、ダウンロードを支援するようなソフトを使用して適宜ダウンロードします。
このファイルなのですが、Windows Server 2008 R2 では拡張子が .cab となっています。
# 2003 は exe 形式でした。
拡張子が msu であれば、wusa.exe を使用してインストールできますが cab の場合は使えないと思いますので DISM を使用して適用をします。
Windows Vista および Windows Server 2008 の Windows Update スタンドアロン インストーラー (Wusa.exe) および .msu ファイルについて
Windows ソフトウェア更新プログラム パッケージのコマンド ライン スイッチ
DISM の説明についてはこちらに。
オペレーティング システムのパッケージ サービスのコマンド ライン オプション
/Add-Package を使用することで msu or cab をイメージに適用することができます。
/online で適用するとオンラインイメージ (起動している OS) に、/image を使用するとオフラインイメージ (マウントした WIM や VHD) に適用することができます。
再起動のメッセージが表示されないように /norestart を使用しています。
あとはこのコマンドを for や forfiles を使用して回せば一括で適用することができます。
事前にキッティングする場合はインターネットに接続することもできると思いますが、お客様先でキッティングする場合はインターネットに接続することができず、WSUS がない場合には自分でパッチを取捨選択して適用する必要が出てきますのでオフライン適用の流れを知っておくとよいかもしれないですね。