none
[MS14-045] カーネル モード ドライバーのセキュリティ更新プログラムについて (KB2982791)の適用について RRS feed

  • 質問

  • 更新プログラムの状態の概要が表示されていないが、インストールされているクライアントが複数台存在している。

    この更新プログラムに不具合が発見されていて、削除の作業を行うクライアントがWSUSから特定できなくなっている。

    同時に配布された更新プログラムは、適用クライアントの履歴が確認できるが、この更新プログラムについては確認できない。

    休日前での配布だったので、更新プログラムが適用されたものとそうでないものを判別する方法は、WSUSからは不可能なのか?

    更新ブログラムの登録が削除されたものについては、適用クライアントの判別はできないのだろうか?

    2014年8月20日 6:25

回答

  • eyetec-jp様

    早速のご回答ありがとうございます。

    ログインスクリプトでの操作を早速行ってみます。

    eyetec-jp様の環境では障害が発生しなかったようですが、当方ではブルースクリーンは出ないものの特定のファイルを印刷する際に、共有プリンターを登録しているプリンターサーバーのSpoolサービスが、異常終了してしまうという障害が発生していて、クライアントごとにMSから案内のある手順を行わないと改善しないため、非常に手間のかかる状況になっています。

    レジストリの状況の差から、クライアントごとに障害の出ないもの、出るもの両方存在しており、結局は、更新プログラムが適用されたクライアント全部に処理をしなければならない羽目になってしまいました。

    いままで特殊なプログラムをインストールさせていない環境で、WSUSで問題が発生したこともなく管理していましたが、非常に面倒にはなりますが、自動で同期と承認をするようにしてあるものを、手動に変更しようかと考えております。

    もし何か、eyetec-jp様がWSUSの運用上で対策を考えていらっしゃるようであれば、参考までにお教え願えれば幸いです。


    • 編集済み nosai-iwai 2014年8月21日 8:16
    • 回答としてマーク nosai-iwai 2017年1月18日 8:09
    2014年8月21日 8:00

すべての返信

  • 1日に1回、深夜にMSのWindowsUpdateサーバーと同期設定しています。

    今回は、8/13未明に同期→自動承認、8/16未明に同期→「未承認」状態に自動的になりました。WSUS上は「未承認」なので、どのクライアントに配布されたのかはわからないと思います。

    当方では、全社のPCに対して該当するWindowsUpdateを削除するバッチを組み、実行しました(wusaコマンド+ログインスクリプト)。ログをメールするようにしたら、数十台がインストールされていましたが、無事削除できました。なお当方ではこの問題(0x05でブルースクリーン)が発生したクライアントはありませんでした。

    2014年8月20日 9:26
  • eyetec-jp様

    早速のご回答ありがとうございます。

    ログインスクリプトでの操作を早速行ってみます。

    eyetec-jp様の環境では障害が発生しなかったようですが、当方ではブルースクリーンは出ないものの特定のファイルを印刷する際に、共有プリンターを登録しているプリンターサーバーのSpoolサービスが、異常終了してしまうという障害が発生していて、クライアントごとにMSから案内のある手順を行わないと改善しないため、非常に手間のかかる状況になっています。

    レジストリの状況の差から、クライアントごとに障害の出ないもの、出るもの両方存在しており、結局は、更新プログラムが適用されたクライアント全部に処理をしなければならない羽目になってしまいました。

    いままで特殊なプログラムをインストールさせていない環境で、WSUSで問題が発生したこともなく管理していましたが、非常に面倒にはなりますが、自動で同期と承認をするようにしてあるものを、手動に変更しようかと考えております。

    もし何か、eyetec-jp様がWSUSの運用上で対策を考えていらっしゃるようであれば、参考までにお教え願えれば幸いです。


    • 編集済み nosai-iwai 2014年8月21日 8:16
    • 回答としてマーク nosai-iwai 2017年1月18日 8:09
    2014年8月21日 8:00
  • nosai-iwai さん、お役に立てれば幸いです。

    WSUSの承認ルール変更についてですが、当方でもWSUSインストール時のデフォルトルールのまま自動承認を実施していましたが、現在は手動に変更しています。当方で利用しているSaaSサービスがJuniper製SSL-VPNを使用しており、それとRDP関連のパッチがコンフリクトするから、という理由ですが、現在では、KB番号でMSのKB情報(US版)をチェックして、ざっと内容確認した上で承認作業を行っています。

    手動承認にして、お手元の空いているPCやVM上でテスト環境構築された上で実施というのも手ではないでしょうか(とはいえ今回のようなセキュリティ物はすぐに更新したくなりますけど)。

    2014年8月23日 14:35