Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ

グループ・ポリシーでWindows Updateの実行を禁止する

解説をスキップして操作方法を読む

デジタルアドバンテージ 小川 誉久
2005/04/16
 
対象ソフトウェア
Windows 2000
Windows XP
Windows Server 2003
インターネットでマイクロソフトが無償公開しているWindows Updateを利用すれば、Windowsを最新の状態に維持できる。
しかしWindows Updateの実行には管理者権限が必要であり、パッチ管理を中央で集中化させたい場合にはなじまない。不用意な適用により、互換性問題が生じる場合もある。
グループ・ポリシーを利用すれば、ユーザーによるWindows Updateの実行を禁止することができる。
 
解説

 Windows Updateは、コンピュータに最新のセキュリティ修正プログラムを適用するため、マイクロソフトが提供しているインターネット・サービスである。コンピュータからWindows Updateにアクセスすると、ActiveXコントロールがダウンロードされる。このコントロールはコンピュータを走査し、未適用のパッチを調査して、それらをコンピュータに適用する。つまり、Windows Updateを利用すれば、すでに適用済みのパッチが何で、未適用のパッチが何かをユーザーは意識しなくても、適当なタイミングでWindows Updateにアクセスしておくだけで、コンピュータを最新の状態に維持できるわけだ。

 基本的にWindows Updateは、個人および小規模事業者を想定したサービスである。Windows Updateでは、Windowsカーネルやデバイス・ドライバを含め、システムの重要なファイルを更新(変更)する必要があるため、実行に当たってはコンピュータの管理者権限が必要になる。企業ユーザーであっても、クライアントの更新管理にWindows Updateを活用できるが、これには各クライアント・ユーザーに管理者権限を与えなければならない。小規模な組織で、ユーザーに自身のコンピュータ管理を全面的に委任できる場合はよいとして、Active Directoryのような中央集中管理型のメカニズムが不可欠な中規模以上の企業では、このようなクライアント管理は困難である。ユーザーが不用意にパッチを適用すると、アプリケーションの互換性問題などが生じる可能性もある。

 しかしWindowsの[スタート]メニューなどには標準でWindows Updateへのリンクが設定されており、ユーザーに管理者権限を与えていない場合でも、ユーザーがWindows Updateにアクセスするのは容易だ。管理者権限がなければシステム・ファイルは更新できないが、システム・ファイルの更新を伴わない一部のパッチや追加プログラムはユーザー権限でもインストールできる可能性がある。

 管理上必要なら、グループ・ポリシーやローカル・コンピュータ・ポリシーを利用して、Windows Updateの利用を禁止することができる。本TIPSでは、その方法を紹介する。

 ただしこれを利用する場合は、何らかの手段で、管理者がクライアント・コンピュータのパッチ管理を実施しなければ、脆弱性がいつまでも放置されることになるので注意すること。Windows Updateを利用せず、パッチ管理を中央集中型で実施可能にするために、マイクロソフトが提供しているソリューションとしては、Systems Management Server(SMS)とSoftware Update Service(SUS)がある。SMSはパッチ管理だけでなく、資産管理や任意のソフトウェア展開なども可能な有償製品、SUSはパッチ管理に特化された無償ソフトウェアである。あるいは、HFNetChk ProUpdateEXPERTなどといったサードパーティ製のパッチ管理ソフトウェアを利用することもできる。


操作方法

ステップ1:Microsoft管理コンソールで「グループ・ポリシー」を開く

 グループ・ポリシーでWindows Updateを禁止するには、まず、[スタート]メニューの[ファイル名を指定して実行]をクリックし、表示されるダイアログで“mmc”と入力してEnterキーを押し、Microsoft管理コンソール(以下MMC)を起動する。

 次に[コンソール]−[スナップインの追加と削除]メニューを実行し、表示される[スナップインの追加と削除]ダイアログの左下にある[追加]ボタンをクリックし、表示される[スタンドアロン スナップインの追加]ダイアログで[グループ ポリシー]項目を選択して[追加]ボタンをクリックする。

MMCでグループ・ポリシー項目を追加する
Windows Updateの許可/禁止は、MMCのグループ・ポリシー・スナップインで制御できる。
  この項目を追加する。

 すると[グループ ポリシー オブジェクトの選択]ダイアログが表示されるので、Active Directoryと連動するグループ・ポリシーを編集するか、そのコンピュータに対するポリシーのみを編集するかを選択して[完了]ボタンをクリックする。続いて[スタンドアロン スナップインの追加]ダイアログの[閉じる]ボタン、[スナップインの追加と削除]ダイアログの[OK]ボタンをクリックして、それぞれのダイアログを閉じる。

ステップ2:Windows Updateに関連するポリシー項目を設定する

 コンソール・ルートに追加されたポリシー項目([ローカル コンピュータ ポリシー]など)を展開し、「ユーザーの構成」「管理用テンプレート」「Windowsコンポーネント」「Windows Update」を順にダブルクリックしていく。

Windows Updateのアクセスを制御する項目を設定する
画面はWindows XP SP2でのもの。
  これを「有効」にすると、Windows Updateへのアクセスが禁止される。
  これを「有効」にすると、[Windowsのシャットダウン]ダイアログで[更新をインストールしてシャットダウン]のオプションが表示されなくなる。
  これを「有効」にすると、更新が可能な場合でも、[更新をインストールしてシャットダウン]オプションはデフォルトにならなくなる。

 コンピュータからWindows Updateへのアクセスを禁止するには、[Windows Update のすべての機能へのアクセスを削除する]の設定を[未構成](デフォルト)から[有効]に変更する。こうすると、以後コンピュータからWindows Updateにアクセスしても、次のエラー・メッセージが表示され、Windows Updateの作業を実行できなくなる。またマニュアルでのWindows Updateの実行に加え、自動更新機能も無効化される。この後MMCウィンドウを閉じれば、変更した設定内容が自動的に保存され、設定が有効になる。

 設定を変更してWindows Updateにアクセスすると、下記のようなエラー・メッセージが表示されるようになる。下記画面はWindows XP SP2での実行例で、Windows 2000およびWindows XPでは、このようにWindows Updateサイトにアクセスしてからエラーが表示される。

設定を変更してWindows Updateにアクセスしたところ(Windows XPでの例)
[Windows Update のすべての機能へのアクセスを削除する]の設定を[有効]にした後Windows Updateにアクセスすると、このエラーが発生して作業が中断される。画面はWindows XP SP2の表示例。

 一方、Windows Server 2003の場合には、インターネットのアクセスは発生せず、すぐさま次のメッセージ・ボックスが表示される。

設定を変更してWindows Updateにアクセスしたところ(Windows Server 2003の例)
Windows 2000/Windows XPと異なり、Windows Server 2003では、インターネットへのアクセスは発生せず、すぐにこのエラーが表示される。

 前出のMMCの画面にあるとおり、Windows XP SP2をインストールしたシステムでは、[Windowsシャットダウン]時の更新インストールのオプションを制御する項目も用意されている(Windows 2000 SP4やWindows Server 2003 SP0の環境ではこれらは表示されない)。これらの意味は次のとおりだ。

■[Windowsシャットダウン]ダイアログ ボックスで[更新をインストールしてシャットダウン]オプションを表示しない
 Windows XP SP2では、コンピュータが更新可能な状態にある場合(Windows Updateの機能により、未適用の修正プログラムが発見された場合など)には、Windowsのシャットダウン時に[更新をインストールしてシャットダウン]というオプションが表示されるようになっている。しかしこの設定項目を「有効」にすると、更新可能な場合でも、[Windows のシャットダウン]ダイアログ・ボックスに[更新をインストールしてシャットダウン]オプションは表示されなくなる。

■[Windowsシャットダウン]ダイアログ ボックスの既定オプションを[更新をインストールしてシャットダウン]に調整しない
 更新が可能な場合、[Windowsのシャットダウン]では、[更新をインストールしてシャットダウン]オプションがデフォルトの選択肢として表示される。しかしこの設定項目を「有効」にすると、[更新をインストールしてシャットダウン]オプションはデフォルトの選択肢にならなくなる。ただし上記「[Windowsシャットダウン]ダイアログ ボックスで[更新をインストールしてシャットダウン]オプションを表示しない」が有効の場合には、このオプションには効力はない。End of Article

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間