企業内の運用によくあるパターンとして、サーバはインターネットに接続しないけどアップデートだけはしたい。というものがあります。
この場合、選択肢としては…
- 毎月のアップデートを手動でチェックして手動でダウンロードして適用
- WindowsServerUpdateService(WSUS)を使用する。
- MicrosoftBasicSecurityAnalyzer(MBSA)を使用する。
が考えられます。今回はこの中の「3.MicrosoftBasicSecurityAnalyzerを使用する。」をご紹介します。
MBSAを使用するには以下のものが必要となります。
- インターネット接続が行えるパソコン(XP以降のもの)…以下「調査用PC」。3の条件も満たすものが望ましい。
- インターネット接続を行わないコンピュータ(以下「対象PC」)にデータを搬入・搬出する手段(USBメモリなどの「読み書き可能なもの」を推奨、最低100MB程度の容量が必要)…以下「媒体」
- 対象PCの解析データを見るためにXMLが読めるソフト。もしくはExcel2007以降
まず、調査用PCでMBSAをダウンロードしてインストールします。
そして、調査用PCをスキャンしておきます。
これは対象PCに持ち込む調査用の元データをダウンロードするためです。このスキャン結果は対象PCとは無関係なので対応する必要はありません。
(単独でダウンロードすることもできます)
媒体に、以下のファイルをコピーします。
MBSAのインストール場所(32BitOSの標準では"C:\Program Files\Microsoft Baseline Security Analyzer 2")
- mbsacli.exe
- wsscan.dll
MBSAを実行したユーザーのAppData(隠しフォルダになっていますのでフォルダオプションで見えるようにします)、Windows7ではC:\Users\<ユーザー名>\AppData\Local\Microsoft\MBSA\Cache
- wsusscn2.cab
媒体を対象PCに持ち込んでファイルをコピーするなどします。USBメモリなどの書き込み可能メディアであればその場で実行も可能です。
コマンドラインで以下のように入力します。
mbsacli.exe /wi /nvc /nd /catalog wsusscn2.cab /xmlout /unicode >.xml
(上記はUSBメモリなど、全て同じフォルダにある場合を想定しています、違う場合はパスを指定するなどのアレンジをお願いします)
数分後、.xmlができあがっているはずなのでこれを調査用PCで読み込みます。
Excel2007などでは以下のように開きます
→ 
→ 
X列にダウンロード用のURLが記載されていますので、このリンクを使用してダウンロードが可能です。
なお、初期状態ではインストールされているものも一緒に表示されていますのでR列「IsInstalled」がFalseになっているものだけに絞り込んでください。
ダウンロード手段については割愛します(色々あると思いますので)
ダウンロードしたパッチファイルを対象PCに持ち込んで適用します。
ほとんどのパッチファイルはコマンドラインで実行するのに便利なオプション(KB824687)を持っています。
/quiet や /norestart などがあります。
以上です。参考になりましたでしょうか?
※コメント投稿者のブログIDはブログ作成者のみに通知されます