どうも、Tです。
WSUSの分類(Classifications)についての備忘録です。
目次
環境
今回確認している環境はWindows Server 2022のWSUSで2024年3月時点で確認しているものです。
分類(Classifications)とは
本記事の分類は、「WSUSコンソール」->「オプション」->「製品と分類」->「分類」タブで表示される分類の一覧のことです。
分類(日本語) | 分類(英語) | 備考 |
---|---|---|
Feature Packs | Feature Packs | |
Service Packs | Service Packs | |
Upgrades | Upgrades | デフォルト有効 |
セキュリティ問題の修正プログラム | Security Updates | デフォルト有効 |
ツール | Tools | |
ドライバ | Drivers | |
ドライバーセット | Drivers Sets | |
更新 | Updates | |
修正プログラム集 | Update Rollups | |
重要な更新 | Critical Updates | デフォルト有効 |
定義更新プログラム | Definition Updates | デフォルト有効 |
分類(Classifications)のMicrosoftの説明
公式の見解で現在最新情報のものは、Microsoft Learnに記載されている下記の記事の「更新プログラムの製品と分類」があります(2023年に下記の記事は更新されています)。
日本語表示もありますが、誤訳がひどすぎるので使い物にならないので、英語版を読むことをお勧めします。
2018年と古めですが、Japan Microsoft Configuration Manager Support Team Blogで日本マイクロソフトのサポートチームも分類についての記事を公開しています。
両方をまとめると以下のような感じでした。
分類 | 説明 | 備考 |
---|---|---|
Feature Packs | 新機能のリリース。通常、次のリリースで製品に組み込まれます。 | |
Service Packs | 製品リリース以降に作成されたすべてのホットフィックス、セキュリティ更新プログラム、重要な更新プログラム、および更新プログラムの累積セット。サービスパックには、一部の顧客要求による設計上の変更や機能も含まれる場合があります。 | |
Upgrades | デバイスを次のバージョンにアップグレードする新しい製品リリース。アップグレードにはバグ修正、設計変更、およびその他の機能が含まれます。 | |
セキュリティ問題の修正プログラム | 特定の製品の広くリリースされたセキュリティ関連の修正。 | 日本マイクロソフトチームの見解では、ロールアップなども含まれるようです。 セキュリティ上の脆弱性を修正するために、特定の製品に対して公開される修正プログラムです。「セキュリティのみの品質更新プログラム」や「セキュリティ マンスリー品質ロールアップ」も、この分類でリリースされております。 |
ツール | タスクまたは一連のタスクの達成を支援するユーティリティまたは機能。 | |
ドライバ | 新しいハードウェアをサポートするために設計されたソフトウェアコンポーネント。 | 日本マイクロソフトチームの見解では、ドライバは使わない方が良いようです。詳細は日本マイクロソフトチームの見解をご確認ください。 ポイント : 特別な利用がない限り [ドライバ] の分類は絶対に選択しない |
ドライバーセット | 特定のモデルのコンピューティングデバイスのハードウェアをサポートするために設計されたソフトウェアモジュールのパッケージ。 | |
更新 | 重要でないセキュリティ関連のバグを解決する特定の問題の広くリリースされた修正。 | 日本マイクロソフトチームの方ではセキュリティに関連しない不具合修正とありましたが、Learnによると重要ではないセキュリティ関連の不具合修正となっています。後述でてきますが、この説明については、日本マイクロソフトチームのセキュリティ関連しない不具合修正が正しいように見受けられました。 |
修正プログラム集 | 簡単なデプロイメントのために一緒にパッケージ化されたホットフィックス、セキュリティ更新プログラム、重要な更新プログラム、およびその他の更新の累積セット。ロールアップは通常、セキュリティなどの特定の領域またはInternet Information Services(IIS)などの特定のコンポーネントを対象とします。 | |
重要な更新 | 重要でセキュリティ関連でないバグを解決する特定の問題の広くリリースされた修正。 | |
定義更新プログラム | ウイルスまたはその他の定義ファイルの更新。 |
ぶっちゃけわからない
このように分類に関する情報はあるのですが、さらに詳しい情報は見つかりませんでした。Windows Server向けの参考書でもこの分類に言及している情報はありませんでした。
ぶっちゃけどんな更新プログラムが含まれるのかわからん!となったので実機で確認してみることにしました。
準備
分類をすべて有効にして、どのような更新プログラムが同期されるのか確認します。
デフォルト有効以外の分類を有効にするとデフォルトでは表示されていなかった更新プログラムの更新ビュー「Feature Packs」「Service Packs」「ツール」「ドライバ」「ドライバー セット」「更新」「修正プログラム集」が追加されます。この追加された更新ビューは手動で編集や削除することが可能です(必要なければ削除するだけで編集は使わなさそうですが)。
検証の確認としてドライバなども含めて、同期して欲しかったため製品には下記を選択しました。今回の記事は分類のため、製品についての説明は割愛します。
- Microsoft Defender Antivirus
- Windows 11 Client, version 22H2 and later, Servicing Drivers
- Windows 11 Client, version 22H2 and later, Upgrade & Servicing Drivers
- Windows 11 Client, version 24H2 and later, Servicing Drivers
- Windows 11 Client, version 24H2 and later, Upgrade & Servicing Drivers
- Windows 11
同期してみる
同期をしてみました。同期時間は8時間弱とかなりの時間を要しました。
更新プログラムファイル数は、未承認の更新プログラムが153538個でした。拒否された更新プログラム712個は、期限切れのために強制的に拒否された数量になります(ほとんどがドライバ関連でした)。
更新プログラム数
分類ごとにどのような更新プログラムファイルがある確認したかったため、分類ごとに更新ビューを作成してみていきます。
以下の製品で分類をすべて有効にした場合の分類ごとの更新プログラムの総数と割合を出してみました。
- Microsoft Defender Antivirus
- Windows 11 Client, version 22H2 and later, Servicing Drivers
- Windows 11 Client, version 22H2 and later, Upgrade & Servicing Drivers
- Windows 11 Client, version 24H2 and later, Servicing Drivers
- Windows 11 Client, version 24H2 and later, Upgrade & Servicing Drivers
- Windows 11
分類 | 未承認 | 拒否済み | 小計 | 割合 (小計から算出) | 備考 |
---|---|---|---|---|---|
Feature Packs | 0 | 0 | 0 | 0% | |
Service Packs | 0 | 0 | 0 | 0% | |
Upgrades | 65 | 2 | 67 | 0.04% | |
セキュリティ問題の修正プログラム | 165 | 0 | 165 | 0.11% | |
ツール | 0 | 0 | 0 | 0% | |
ドライバ | 153,429 | 461 | 153,890 | 99.65% | 未承認の数が同期結果と180個ほどずれているよう見に受けられるが原因不明のため無視。 |
ドライバーセット | 0 | 0 | 0 | 0% | |
更新 | 33 | 0 | 33 | 0.02% | |
修正プログラム集 | 8 | 6 | 14 | 0.01% | |
重要な更新 | 0 | 0 | 0 | 0% | |
定義更新プログラム | 18 | 243 | 261 | 0.17% | |
合計 | 153,718 | 712 | 154,430 |
ドライバの数が明らかに多かったです。
各分類を詳しく見てみます。
Feature Packs
「Feature Packs」は0でした。Windows 10 1903より前に.Net Frameworkと言語バックの更新プログラムをFeature Packsで提供していたようですが、現在は提供されていないようです。言語バックは、Microsoftストアで配信しているようです。
https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/Feature packs and tools
Prior to Windows 10 1903, Microsoft delivered updates for the .NET Framework and language packs under Feature Packs. However, if you set up an update view for Windows 10 version 1903 and later, Windows 11 and Feature Packs in the WSUS console, you won’t find anything there.
The same applies to the classification Tools. No updates have appeared here for a long time, either. Microsoft prefers to ship add-on products via the store; the same applies to language packs.
Service Packs
「Service Packs」も0でした。
近年のWindows OSではサービスパックが提供されていないのです。
Upgrades
「Upgrades」では、23H2のような機能更新プログラムが提供されていました。
セキュリティ問題の修正プログラム
「セキュリティ問題の修正プログラム」では、OSや.Net Frameworkの累積更新プログラムが提供されていました。
ツール
「ツール」は0でした。以前は、OSのユーティリティなどが提供されいたのようですが、現在では何も提供されていないようです。
ドライバ
「ドライバ」では、ドライバ類とFirmware類が膨大に提供されています。
ドライバーセット
「ドライバーセット」は0でした。Surface向けなどのドライバセットがあるのかと思いましたが、何もないのは少々意外でした。
更新
「更新」では、.Net Frameworkの累積的な更新プログラムが、提供されていました。「セキュリティ問題の修正プログラム」で提供される累積的な更新プログラムではセキュリティ強化の対応が入っていますが、「更新」で配布される累積的な更新プログラムにはセキュリティ強化はないものが配布されているようです。
以前(2020年ごろ)にはWindows Defender Antivirus マルウェア対策プラットフォームの更新プログラムが提供されているようでしたが、2024年現在は「定義更新プログラム」で提供されているようです。
修正プログラム集
「修正プログラム集」では、悪意のあるソフトウェアの削除ツールが提供されていました。
重要な更新
「重要な更新」は、0でした。Windows 10 1903以降からOSに関連するものは提供されていないようです。
https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/
Updates and critical updates
At first glance, both classifications make sense, even if it is not entirely clear which updates from Microsoft’s service model fit here. All security-related updates and upgrades have already been assigned to the above two classifications. And Microsoft doesn’t deliver the previews for optional quality updates over WSUS.
If you create your own update views for these two classifications in the WSUS console, you will see that not a single critical update has been released since Windows 10 1903.
定義更新プログラム
「停止更新プログラム」では、Microsoft/WIン度wsDefender Antivirus関連の更新プログラムが提供されていました。
いろいろ疑問
Windows Updateの配信と同じようにできないか
「WSUSを使わない場合のWinodws Update」と同じようにできないか?という疑問は真っ先に思い浮かびますが、これは無理なようです。また、下記のWindows Updateに可能な限り近づける方法も2024年現在では難しいように感じされます。
WSUS の分類についてみなさま、こんにちは。WSUS サポート チームです。 今回は WSUS で配信出来る更新プログラムの各分類について紹介します。 WSUS では以下の分類の内、どれを配信するか選択することが出来ます。分類については、セキュリティの修正及び重要な修正を含めるために、「セキュリティ問題の修正プログラム」と「重要な更...参考情報 : WSUS 上の各分類と Windows Update 上の分類について
分類関連の設定でよくご要望いただく内容として「Windows Update で配信されている内容と、全く同一の更新プログラムを WSUS から配りたい!」というお問い合わせをいただきます。結論から言ってしまうと、WSUS 向けに公開されている更新プログラムと、Windows Update 向けに公開されている更新プログラムは完全に一致するわけではないので、全く同一の状態とすることは出来ません。
これは WSUS はエンタープライズ / 企業向けの用途、Windows Update はコンシューマー / 一般ユーザー向けの用途を想定しているためです。(例えば Windows 10 への無償アップグレードの通知用の更新プログラムは WSUS 環境に着信しないように考慮が行われておりました。)
ただし、可能な限り、配信される更新プログラムを近づけることは可能です。Windows Update では、上述の WSUS の分類のように細かく分類されておらず、下記のように「重要な更新プログラム」と「オプション / 推奨される更新プログラム」に分類されています。
重要な更新プログラム : 「重要な更新」、「セキュリティ問題の修正プログラム」、「定義更新プログラム」、「修正プログラム集」、「 Service Packs 」
オプション / 推奨される更新プログラム : 「ツール」、「 Feature Packs 」、「更新」
どの分類に何が含まれるか検索できないか
特定の更新プログラムがどの分類なのか調べるとき、WSUSで気軽に同期する環境があれば、とりあえず分類を変更して同期してみることもできますが、時間もかかるし本番環境では可能であれば避けたいところです。
そんな場合は、Microsoft Updateカタログで分類のあてを付けることができます。
この方法は、以下の公式ブログでも説明されています。
KBがわかるのであれば
KBがわかるのであればリリースノート下部に記載されている「この更新プログラムの入手方法」のところで、WSUSでどの分類になるのか調べることができます。
結局どの分類を選べばよいのか
では、どれを選択すればよいのか…ですが、以下のような感じになりそうですね。
製品によっても変わるので結局のところ自分で確認するしかなさそう…という残念な結果になりましたが…。
分類(日本語) | どうするか | 判断ポイント |
---|---|---|
Feature Packs | △ |
|
Service Packs | △ |
|
Upgrades ※デフォルト有効 | 〇 |
|
セキュリティ問題の修正プログラム ※デフォルト有効 | 〇 |
|
ツール | △ |
|
ドライバ | × |
|
ドライバーセット | × |
|
更新 | △ |
|
修正プログラム集 | △ |
|
重要な更新 ※デフォルト有効 | 〇 |
|
定義更新プログラム ※デフォルト有効 | 〇 |
|
参考
公式
https://jpmem.github.io/blog/wsus/2018-06-19_01/
ブログ・コミュニティ
https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/
まとめ
結局のドライバ以外は必要な製品よって確認しつつ、必要な分類を選択する必要がありそうです。この辺りは下記のブログのまとめが非常に的を得た回答をしています。
https://4sysops.com/archives/selecting-wsus-update-classifications-for-windows-1011/#rtoc-5
Conclusion
Microsoft’s classification system has grown over the years without sufficient coordination between the product teams. Those who maintain the Windows updates often don’t seem to know into which category certain patches fit, and they keep changing the assignments (e.g., for .NET or Edge).
Some classifications are now irrelevant for Windows. In any case, you should select security and definition updates, upgrades, and update rollups.
訳:
結論
Microsoftの分類システムは年々成長してきましたが、製品チーム間の十分な調整が行われていません。Windowsの更新を管理する人々は、特定のパッチがどのカテゴリに適合するかを知らないことがよくあり、割り当てを変更し続けています(たとえば、.NETやEdgeの場合など)。
一部の分類は今やWindowsにとって関係のないものです。いずれの場合も、セキュリティおよび定義の更新、アップグレード、および更新ロールアップを選択する必要があります。