Windows Updateを無効化するTech TIPS

システムに未適用の更新プログラムを調査し、ダウンロードして適用可能にするサービスとして、Windows Updateがある。便利な機能だが、企業内でユーザー各自がWindows Updateを実行するのが困難な場合もある。そんなとき、ユーザーによるWindows Updateの実行を禁止するには?

» 2002年07月20日 05時00分 公開
[小川誉久デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000 Professional / Windows XP Professional / Windows XP Home Edition / Windows 2000 Server / Windows 2000 Advanced Server  (Windows Vista/Server 2008以降はこちら→



解説

 マイクロソフトは、自社製品に潜むセキュリティホールやバグを発見すると、それを修正するためのモジュール(修正プログラムとか、更新プログラムとか呼ばれる)をインターネットで配布している。

 ユーザーが手作業でマイクロソフトのWebサイトをアクセスして必要な修正プログラムをダウンロードしてインストールしてもよいが、この作業を自動的に行えるようにしたWindows Updateと呼ばれるサービスがある。

 このWindows Updateでは、コンピュータの状態(どのようなサービスやアプリケーション、デバイスなどを使っているか)をプログラムで走査し、インターネット上で公開されている修正プログラムの状況と比較して、そのコンピュータにまだ適用されていない修正プログラムだけが一覧表示される。そして一覧から適用したい修正プログラムを選択して、インストール処理を実行する。

Windows Update Windows Update
Windows Updateを利用すれば、まだ適用していない修正プログラムを一覧し、必要なものを選択的に適用できる。
  (1)修正プログラムの検索結果。修正プログラムをインストールするには、ここで[追加]ボタンをクリックする。

 このWindows Updateには自動更新も用意されていて、インターネットに常時接続されたコンピュータなら、バックグラウンドでWindows Updateにアクセスし、新しい修正プログラムが公開されていないかどうかを自動的に検索するように設定することも可能だ。

 この自動更新機能はWindows XPではデフォルトで搭載されており、Windows 2000では、Windows Updateからプログラム(「Windows自動更新」)を追加インストールすることで同等の機能を使えるようになる。

 ソフトウェアのセキュリティホールなどを突いて、情報を盗んだり、システムを破壊したりする悪質なコンピュータウイルスなどが続出している昨今、安心してWindows環境を使うためには、このようなサービスが不可欠であることは間違いない。

 しかし読者が企業のコンピュータ管理者で、コンピュータにあまり詳しくないユーザーが使うコンピュータを管理しているなら、Windows Updateの利用は禁止したいと思うだろう。

 処理の性格上、Windows Updateではシステムファイルを更新することになるので、適用にあたってはローカルコンピュータに対する管理者権限が必要なものが多い。しかしいま述べたような環境では、無用なトラブルを避けて管理コストを低減させるために、エンドユーザーに対して管理者権限を与えないようにしているはずだ。

 「どっちみち管理者でなければ修正プログラムは適用できないのなら、ほうっておけばよいのでは?」と考える人がいるかもしれない。だが、自動更新が有効化されていると、Windows Updateに新しい修正プログラムが公開されるたびに、通知領域(タスクバーの右端にあるアイコン領域)に、新しい更新が公開されたことを知らせるバルーンが表示されるようになる。

更新の準備ができたことを知らせるバルーン表示 更新の準備ができたことを知らせるバルーン表示
新しい修正プログラムなどがWindows Updateで公開されると、このようなバルーン表示がなされ、ユーザーに告知される。個人ユーザーなら問題はないが、企業ユーザーでは、このような告知すらしてほしくない場合があるだろう。

 ここで更新処理を選択すると、Windows Updateのページが表示され、未適用の修正プログラムが一覧され、適用の直前までは作業できる。だが、いざ適用を指示すると、その段階で「管理者でなければ適用できない」としかられるハメになる。明らかに時間の無駄であるし、ユーザーを混乱させるだけなので、このような場合はWindows Updateを無効にしておき、管理者が適当なタイミングで修正プログラムの適用を実施するようにすべきだろう。

 先ごろマイクロソフトは、Windows Updateの仕組みを応用して、社内に配置したサーバから、管理者が指定した条件で修正プログラムをクライアントに提供できるようにするMicrosoft Software Update Services(SUS)を無償公開した。企業のクライアントに対して、組織的に修正プログラムを適用したいなら、このSUSなどの利用を検討すべきだろう。

 Windows Vista/Windows Server 2008/Windows 7/Windows Server 2008 R2のWindows Updateで、自動更新を無効化する手順については、TIPS「Windows 7/Server 2008のWindows Updateの使い方(設定編)」を参照していただきたい。

操作方法

●[システムのプロパティ]/コントロールパネルで自動更新を無効化する

 Windows Updateの自動更新を無効にしたければ、Windows 2000、Windows XPでそれぞれ次のようにする。

■Windows 2000の場合
 Windows 2000で前出の「Windows自動更新」を追加インストールすると、コントロールパネルに「自動更新」アプレットが追加されるので、このアプレットを起動して、上段にある[コンピュータを常に最新の状態に保つ]チェックボックスをオフにする。これで自動更新機能は無効になる。

■Windows XPの場合
 Windows XPでは、Windows Updateの自動更新関連の設定は、[マイ コンピュータ]を右クリックして表示される[システムのプロパティ]ダイアログの[自動更新]タブで行うようになっている。

[システムのプロパティ]ダイアログの[自動更新]タブ [システムのプロパティ]ダイアログの[自動更新]タブ
Windows XPでは、[システムのプロパティ]ダイアログにこの[自動更新]タブが追加された。
  (1)新しい修正プログラムなどが公開されたときには、バックグラウンドで自動的にダウンロードし、インストールの直前に確認するときにはこれを選択する。
  (2)修正プログラムをダウンロードする直前で確認するときにはこれを選択する。
  (3)自動更新は使わず、マニュアルで更新処理を行うときにはこれを選択する。

 Windows XPでは、ここで(3)を選択すれば、自動更新は無効になる。

●グループポリシーを利用してWindows Updateを無効にする

 いま述べた方法では、ユーザーが再度コントロールパネルやダイアログボックスを表示すれば、自動更新の設定を変更できてしまう。コンピュータの管理者として、より徹底してWindows Updateの機能を無効にするには、グループポリシーを利用する方法がある。

 後で詳しく述べる通り、グループポリシーを使ってWindows Updateを無効化すると、ユーザーが強制的に自動更新のプログラムを起動しようとしても、システムがエラーメッセージを表示して、処理を強制終了できるようになる。

 グループポリシーを設定するには、グループポリシーエディタで対象となるグループポリシーオブジェクトを開く。ローカルグループポリシーを設定するなら、[ファイル名を指定して実行]ダイアログで「gpedit.msc」と入力して[OK]ボタンをクリックすればよい。すると管理コンソール(MMC:Microsoft Management Console)が起動され、ローカルグループポリシーオブジェクトがロードされる。

 グループポリシーエディタが起動したら、左側のツリーコントロールペインで[ユーザーの構成]−[管理用テンプレート]−[タスク バーと[スタート]メニュー]を選択する。すると、右側のリストペインに以下の設定項目が現れるはずだ。

グループポリシーエディタで当該設定項目を表示したところ グループポリシーエディタで当該設定項目を表示したところ
左側のツリーコントロールペインで[ユーザーの構成]−[管理用テンプレート]−[タスク バーと[スタート]メニュー]を選択する。するとWindows Updateに関する設定項目が表示される。画面はWindows XPの場合。
  (1)これを選択する。
  (2)これをダブルクリックする。すると設定用のダイアログボックスが表示される。

OSの種類 設定項目の名前 デフォルト設定
Windows 2000 Windows Updateへのリンクを無効にして削除する 未構成
Windows XP Windows Updateへのリンクとアクセスを削除する 未構成

 表で示した通り、Windows 2000とWindows XPでは、項目の名前が微妙に異なる。デフォルトの設定はどちらのOSでも[未構成]になっているので、この項目をダブルクリックして、状態を[未構成]から[有効]に変更する。

設定用ダイアログ 設定用ダイアログ
ここでデフォルトの[未構成]から[有効]に設定を変更する。
  (1)設定を変更しない。
  (2)設定を有効にする。つまり、Windows Updateの機能を無効化する。
  (3)設定を無効にする。つまりこの場合は、Windows Updateの機能を有効にする。

 ここで[有効]を選択して[OK](または[適用])をクリックする。するとWindows Updateが無効化される。具体的には、[スタート]−[すべてのプログラム]メニューにあった[Windows Update]アイコンが消去される。

 以後は、例えばユーザーが強制的にWindows Updateを実行しようとしても(Windows Updateの実行ファイルである%SystemRoot%\system32\wupdmgr.exeを直接実行するなど)、次のようなメッセージボックスが表示され、Windows Updateは起動できない。

Windows Updateを実行しようとすると表示されるエラーメッセージ Windows Updateを実行しようとすると表示されるエラーメッセージ
グループポリシーでWindows Updateを無効化した後、Windows Updateを起動しようとしても、次のメッセージが表示されて処理は強制終了される。

 ただしWindows 2000では、グループポリシーを使ってWindows Updateを無効化しても、デバイスマネージャーやプリンタウィザードからはWindows Updateにアクセスできてしまうという問題があるようだ(この問題点に関するマイクロソフトのサポート技術情報)。

 またグループポリシーでWindows Updateを無効にしても、コントロールパネルの「自動更新」アプレット(Windows 2000の場合)や[システムのプロパティ]ダイアログ(Windows XPの場合)における自動更新の通知設定が有効になっていると、新しい修正プログラムなどが用意された段階などで、通知領域でのバルーン表示は行われてしまう。

 バルーン表示の指示に従って自動更新しようとしても、グループポリシーでWindows Updateが無効化されているときには、途中でエラーになる。

 バルーン表示自体を行わないようにするには、グループポリシーでの設定に加え、別途通知設定を無効にする必要がある(この具体的な方法については、TIPS「うるさいバルーン表示を無効にする方法」を参照されたい)。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。