WSUSの「製品と分類」の「分類(Classifications)」を調べてみた

どうも、Tです。

WSUSの分類(Classifications)についての備忘録です。

スポンサーリンク
アドセンス1

環境

今回確認している環境はWindows Server 2022のWSUSで2024年3月時点で確認しているものです。

分類(Classifications)とは

本記事の分類は、「WSUSコンソール」->「オプション」->「製品と分類」->「分類」タブで表示される分類の一覧のことです。

分類(日本語)分類(英語)備考
Feature PacksFeature Packs
Service PacksService Packs
UpgradesUpgradesデフォルト有効
セキュリティ問題の修正プログラムSecurity Updatesデフォルト有効
ツールTools
ドライバDrivers
ドライバーセットDrivers Sets
更新Updates
修正プログラム集Update Rollups
重要な更新Critical Updatesデフォルト有効
定義更新プログラムDefinition Updatesデフォルト有効

分類(Classifications)のMicrosoftの説明

公式の見解で現在最新情報のものは、Microsoft Learnに記載されている下記の記事の「更新プログラムの製品と分類」があります(2023年に下記の記事は更新されています)。

日本語表示もありますが、誤訳がひどすぎるので使い物にならないので、英語版を読むことをお勧めします。

Viewing and Managing Updates
Windows Server Update Service (WSUS) article - How to view and manage updates in the WSUS console

2018年と古めですが、Japan Microsoft Configuration Manager Support Team Blogで日本マイクロソフトのサポートチームも分類についての記事を公開しています。

WSUS の分類について
みなさま、こんにちは。WSUS サポート チームです。 今回は WSUS で配信出来る更新プログラムの各分類について紹介します。 WSUS では以下の分類の内、どれを配信するか選択することが出来ます。分類については、セキュリティの修正及び重要な修正を含めるために、「セキュリティ問題の修正プログラム」と「重要な更...

両方をまとめると以下のような感じでした。

分類説明備考
Feature Packs新機能のリリース。通常、次のリリースで製品に組み込まれます。
Service Packs製品リリース以降に作成されたすべてのホットフィックス、セキュリティ更新プログラム、重要な更新プログラム、および更新プログラムの累積セット。サービスパックには、一部の顧客要求による設計上の変更や機能も含まれる場合があります。
Upgradesデバイスを次のバージョンにアップグレードする新しい製品リリース。アップグレードにはバグ修正、設計変更、およびその他の機能が含まれます。
セキュリティ問題の修正プログラム特定の製品の広くリリースされたセキュリティ関連の修正。日本マイクロソフトチームの見解では、ロールアップなども含まれるようです。

セキュリティ上の脆弱性を修正するために、特定の製品に対して公開される修正プログラムです。「セキュリティのみの品質更新プログラム」や「セキュリティ マンスリー品質ロールアップ」も、この分類でリリースされております。

ツールタスクまたは一連のタスクの達成を支援するユーティリティまたは機能。
ドライバ新しいハードウェアをサポートするために設計されたソフトウェアコンポーネント。日本マイクロソフトチームの見解では、ドライバは使わない方が良いようです。詳細は日本マイクロソフトチームの見解をご確認ください。

ポイント : 特別な利用がない限り [ドライバ] の分類は絶対に選択しない

ドライバーセット特定のモデルのコンピューティングデバイスのハードウェアをサポートするために設計されたソフトウェアモジュールのパッケージ。
更新重要でないセキュリティ関連のバグを解決する特定の問題の広くリリースされた修正。日本マイクロソフトチームの方ではセキュリティに関連しない不具合修正とありましたが、Learnによると重要ではないセキュリティ関連の不具合修正となっています。後述でてきますが、この説明については、日本マイクロソフトチームのセキュリティ関連しない不具合修正が正しいように見受けられました。
修正プログラム集簡単なデプロイメントのために一緒にパッケージ化されたホットフィックス、セキュリティ更新プログラム、重要な更新プログラム、およびその他の更新の累積セット。ロールアップは通常、セキュリティなどの特定の領域またはInternet Information Services(IIS)などの特定のコンポーネントを対象とします。
重要な更新重要でセキュリティ関連でないバグを解決する特定の問題の広くリリースされた修正。
定義更新プログラムウイルスまたはその他の定義ファイルの更新。

ぶっちゃけわからない

このように分類に関する情報はあるのですが、さらに詳しい情報は見つかりませんでした。Windows Server向けの参考書でもこの分類に言及している情報はありませんでした。

ぶっちゃけどんな更新プログラムが含まれるのかわからん!となったので実機で確認してみることにしました。

準備

分類をすべて有効にして、どのような更新プログラムが同期されるのか確認します。

デフォルト有効以外の分類を有効にするとデフォルトでは表示されていなかった更新プログラムの更新ビュー「Feature Packs」「Service Packs」「ツール」「ドライバ」「ドライバー セット」「更新」「修正プログラム集」が追加されます。この追加された更新ビューは手動で編集や削除することが可能です(必要なければ削除するだけで編集は使わなさそうですが)。

検証の確認としてドライバなども含めて、同期して欲しかったため製品には下記を選択しました。今回の記事は分類のため、製品についての説明は割愛します。

  • Microsoft Defender Antivirus
  • Windows 11 Client, version 22H2 and later, Servicing Drivers
  • Windows 11 Client, version 22H2 and later, Upgrade & Servicing Drivers
  • Windows 11 Client, version 24H2 and later, Servicing Drivers
  • Windows 11 Client, version 24H2 and later, Upgrade & Servicing Drivers
  • Windows 11

同期してみる

同期をしてみました。同期時間は8時間弱とかなりの時間を要しました。

更新プログラムファイル数は、未承認の更新プログラムが153538個でした。拒否された更新プログラム712個は、期限切れのために強制的に拒否された数量になります(ほとんどがドライバ関連でした)。

更新プログラム数

分類ごとにどのような更新プログラムファイルがある確認したかったため、分類ごとに更新ビューを作成してみていきます。

以下の製品で分類をすべて有効にした場合の分類ごとの更新プログラムの総数と割合を出してみました。

  • Microsoft Defender Antivirus
  • Windows 11 Client, version 22H2 and later, Servicing Drivers
  • Windows 11 Client, version 22H2 and later, Upgrade & Servicing Drivers
  • Windows 11 Client, version 24H2 and later, Servicing Drivers
  • Windows 11 Client, version 24H2 and later, Upgrade & Servicing Drivers
  • Windows 11
分類未承認拒否済み
小計割合

(小計から算出)

備考
Feature Packs0000%
Service Packs0000%
Upgrades652670.04%
セキュリティ問題の修正プログラム16501650.11%
ツール0000%
ドライバ153,429461153,89099.65%未承認の数が同期結果と180個ほどずれているよう見に受けられるが原因不明のため無視。
ドライバーセット0000%
更新330330.02%
修正プログラム集86140.01%
重要な更新0000%
定義更新プログラム182432610.17%
合計153,718712154,430

ドライバの数が明らかに多かったです。

各分類を詳しく見てみます。

Feature Packs

「Feature Packs」は0でした。Windows 10 1903より前に.Net Frameworkと言語バックの更新プログラムをFeature Packsで提供していたようですが、現在は提供されていないようです。言語バックは、Microsoftストアで配信しているようです。

https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/

Feature packs and tools

Prior to Windows 10 1903, Microsoft delivered updates for the .NET Framework and language packs under Feature Packs. However, if you set up an update view for Windows 10 version 1903 and laterWindows 11 and Feature Packs in the WSUS console, you won’t find anything there.

The same applies to the classification Tools. No updates have appeared here for a long time, either. Microsoft prefers to ship add-on products via the store; the same applies to language packs.

Service Packs

「Service Packs」も0でした。

近年のWindows OSではサービスパックが提供されていないのです。

Upgrades

「Upgrades」では、23H2のような機能更新プログラムが提供されていました。

セキュリティ問題の修正プログラム

「セキュリティ問題の修正プログラム」では、OSや.Net Frameworkの累積更新プログラムが提供されていました。

ツール

「ツール」は0でした。以前は、OSのユーティリティなどが提供されいたのようですが、現在では何も提供されていないようです。

ドライバ

「ドライバ」では、ドライバ類とFirmware類が膨大に提供されています。

ドライバーセット

「ドライバーセット」は0でした。Surface向けなどのドライバセットがあるのかと思いましたが、何もないのは少々意外でした。

更新

「更新」では、.Net Frameworkの累積的な更新プログラムが、提供されていました。「セキュリティ問題の修正プログラム」で提供される累積的な更新プログラムではセキュリティ強化の対応が入っていますが、「更新」で配布される累積的な更新プログラムにはセキュリティ強化はないものが配布されているようです。

以前(2020年ごろ)にはWindows Defender Antivirus マルウェア対策プラットフォームの更新プログラムが提供されているようでしたが、2024年現在は「定義更新プログラム」で提供されているようです。

修正プログラム集

「修正プログラム集」では、悪意のあるソフトウェアの削除ツールが提供されていました。

重要な更新

「重要な更新」は、0でした。Windows 10 1903以降からOSに関連するものは提供されていないようです。

https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/

Updates and critical updates

At first glance, both classifications make sense, even if it is not entirely clear which updates from Microsoft’s service model fit here. All security-related updates and upgrades have already been assigned to the above two classifications. And Microsoft doesn’t deliver the previews for optional quality updates over WSUS.

If you create your own update views for these two classifications in the WSUS console, you will see that not a single critical update has been released since Windows 10 1903.

定義更新プログラム

「停止更新プログラム」では、Microsoft/WIン度wsDefender Antivirus関連の更新プログラムが提供されていました。

いろいろ疑問

Windows Updateの配信と同じようにできないか

「WSUSを使わない場合のWinodws Update」と同じようにできないか?という疑問は真っ先に思い浮かびますが、これは無理なようです。また、下記のWindows Updateに可能な限り近づける方法も2024年現在では難しいように感じされます。

WSUS の分類について
みなさま、こんにちは。WSUS サポート チームです。 今回は WSUS で配信出来る更新プログラムの各分類について紹介します。 WSUS では以下の分類の内、どれを配信するか選択することが出来ます。分類については、セキュリティの修正及び重要な修正を含めるために、「セキュリティ問題の修正プログラム」と「重要な更...

参考情報 : WSUS 上の各分類と Windows Update 上の分類について

分類関連の設定でよくご要望いただく内容として「Windows Update で配信されている内容と、全く同一の更新プログラムを WSUS から配りたい!」というお問い合わせをいただきます。結論から言ってしまうと、WSUS 向けに公開されている更新プログラムと、Windows Update 向けに公開されている更新プログラムは完全に一致するわけではないので、全く同一の状態とすることは出来ません。

これは WSUS はエンタープライズ / 企業向けの用途、Windows Update はコンシューマー / 一般ユーザー向けの用途を想定しているためです。(例えば Windows 10 への無償アップグレードの通知用の更新プログラムは WSUS 環境に着信しないように考慮が行われておりました。)

ただし、可能な限り、配信される更新プログラムを近づけることは可能です。Windows Update では、上述の WSUS の分類のように細かく分類されておらず、下記のように「重要な更新プログラム」と「オプション / 推奨される更新プログラム」に分類されています。

  • 重要な更新プログラム : 「重要な更新」、「セキュリティ問題の修正プログラム」、「定義更新プログラム」、「修正プログラム集」、「 Service Packs 」

  • オプション / 推奨される更新プログラム : 「ツール」、「 Feature Packs 」、「更新」

どの分類に何が含まれるか検索できないか

特定の更新プログラムがどの分類なのか調べるとき、WSUSで気軽に同期する環境があれば、とりあえず分類を変更して同期してみることもできますが、時間もかかるし本番環境では可能であれば避けたいところです。

そんな場合は、Microsoft Updateカタログで分類のあてを付けることができます。

Microsoft Update Catalog

この方法は、以下の公式ブログでも説明されています。

Microsoft Update カタログの活用法について
2012-03-19 初版公開2023-08-01 更新- 「1. 特定の更新プログラムのみ WSUS へインポートしたい」の内容とインポート関連の内容を削除しました。新しい更新プログラムのインポート方法は こちらの記事 をご確認ください。 こんにちは。WSUS サポートチームです。 WSUS 管理者のみなさまは、...

KBがわかるのであれば

KBがわかるのであればリリースノート下部に記載されている「この更新プログラムの入手方法」のところで、WSUSでどの分類になるのか調べることができます。

結局どの分類を選べばよいのか

では、どれを選択すればよいのか…ですが、以下のような感じになりそうですね。

製品によっても変わるので結局のところ自分で確認するしかなさそう…という残念な結果になりましたが…。

分類(日本語)どうするか判断ポイント
Feature Packs
  • Windows10 1903以降、Windows11では不要
  • 他の製品によっては提供される可能性があるため確認が必要
Service Packs
  • Windows10 1903以降、Windows11では不要
  • 他の製品によっては提供される可能性があるため確認が必要
Upgrades ※デフォルト有効
  • Windows OSに関わる更新プログラムのため有効が望ましい
セキュリティ問題の修正プログラム ※デフォルト有効
  • セキュリティに関連するもののため有効の方が望ましい
ツール
  • Windows10 1903以降、Windows11では不要
  • 他の製品によっては提供される可能性があるため確認が必要
ドライバ×
ドライバーセット×
  • 現在は提供されていないように見受けられるもののドライバ同様の理由で無効が望ましい
更新
修正プログラム集
  • 悪意のあるソフトウェアの削除ツールが必要な場合は有効である必要がある
  • 他の製品によっては更新プログラムが提供される可能性があるため確認が必要
重要な更新 ※デフォルト有効
  • Windows10 1903以降、Windows11では不要
  • 他の製品によっては更新プログラムが提供される可能性があるため確認が必要
  • 個人的にはデフォルト有効で害は及ぼさないため有効が望ましいと考える
定義更新プログラム ※デフォルト有効
  • DefenderやEndpointを使用する場合は有効である必要がある
  • 他社製品のセキュリティ製品を使用して、Defenderなどを使わなければ無効でも問題ないと考えられる
  • 個人的にはデフォルト有効で害は及ぼさないため有効が望ましいと考える

参考

公式

Windows Server Update Services (WSUS) を使ってみる
Windows Server Update Service (WSUS) - サーバー ロールとその実際の適用例の概要

https://jpmem.github.io/blog/wsus/2018-06-19_01/

ブログ・コミュニティ

https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/

what are the best practices about setting classifications in wsus - Microsoft Q&A
hi, i have been running a wsus server for a while but with my best guess as to what classifications to select. i was looking at why windows 11 (23h2) was not b...

まとめ

結局のドライバ以外は必要な製品よって確認しつつ、必要な分類を選択する必要がありそうです。この辺りは下記のブログのまとめが非常に的を得た回答をしています。

https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/#rtoc-5

Conclusion

Microsoft’s classification system has grown over the years without sufficient coordination between the product teams. Those who maintain the Windows updates often don’t seem to know into which category certain patches fit, and they keep changing the assignments (e.g., for .NET or Edge).

Some classifications are now irrelevant for Windows. In any case, you should select security and definition updates, upgrades, and update rollups.

訳:
結論
Microsoftの分類システムは年々成長してきましたが、製品チーム間の十分な調整が行われていません。Windowsの更新を管理する人々は、特定のパッチがどのカテゴリに適合するかを知らないことがよくあり、割り当てを変更し続けています(たとえば、.NETやEdgeの場合など)。
一部の分類は今やWindowsにとって関係のないものです。いずれの場合も、セキュリティおよび定義の更新、アップグレード、および更新ロールアップを選択する必要があります。

スポンサーリンク
アドセンス1
アドセンス1
ブログランキング・にほんブログ村へ

シェアする

フォローする