Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ Windows XP SP2のWindows Update／自動更新での適用を一時的に保留する 　 デジタルアドバンテージ 2004/09/11 　 対象OS Windows XP

■ XP SP2は、展開前に既存環境との互換性を十分テストする必要がある。 ■ しかしWindows Updateや自動更新機能により、エンドユーザーの簡単な操作でXP SP2が適用できてしまう。 ■ このためマイクロソフトは、管理者が検証を終えるまでこれらでのXP SP2の適用を禁止できるしくみを作り、ツールを公開した。

　

解説

　2004年9月2日より、Windows XP向けの最新サービスパックであるService Pack 2（以下XP SP2）が広く一般に公開された。今回のXP SP2では、WindowsファイアウォールやInternet Explorer（IE）、Outlook Expressなどで大幅なセキュリティ強化がなされており、より安全性の高いWindows環境を実現可能にした。しかしその半面で仕様も大幅に変更された部分があり、適用によって従来使えていたソフトウェアで不具合が生じるなどの危険も大きい（詳細は参考記事）。適用にあたっては、既存環境との整合性などを事前にテストする必要がある。

XP SP2情報（HotFix Briefings）

　読者が企業の管理者なら、検証を終えるまで、エンドユーザーによるXP SP2の適用を禁止したいと思うだろう。Software Update Services（SUS）やSystems Management Server（SMS）、そのほかのパッチ管理ツールを利用して、集中的な修正プログラム管理を実施している場合はまったく問題ないのだが、各ユーザーに修正プログラムの適用をまかせている場合（通達だけを管理者が出すなど）には注意が必要である。

　すでに原稿執筆時点でも、ユーザーがWindows Updateにアクセスすると、XP SP2の項目が表示されてしまい、これを選択するとインストールできてしまう。また9月29日からは、XP SP2が自動更新に登録される予定で、これが実施されると、自動更新を有効に設定しているWindows XPクライアントには、ユーザーの操作を伴うことなく自動的にXP SP2が適用されることになっている。XP SP2の検証作業が終わらぬうちに、エンドユーザーによってXP SP2の適用が進んでしまう危険があるわけだ。

　こうした企業ユーザーの状況を勘案し、マイクロソフトは、XP SP2のWindows Update／自動更新による適用を一定期間保留するツールを提供した。ここでは、このツールのしくみと、状況別の利用方法などをまとめる。

ツールの入手先とインストール

　このツールは、以下のマイクロソフトのWebページから入手できる。以下の解説ページは日本語だが、ツール自体は英語版そのままである。サイズは90Kbytesの小さなパッケージ・ファイル（BlockXPSP2.exe）だ。以下本稿では、このツールをBlockXPSP2と呼ぶことにする。

• Windows Updateおよび自動更新によるWindows XP Service Pack 2の配布を一時的に無効にする（マイクロソフト）

　ダウンロードしたBlockXPSP2.exeを実行すると、以下のファイルが指定フォルダに解凍される。

ファイル名	機能
NoXPSP2Update.adm	ブロック／ブロック解除設定を行うグループ・ポリシー用テンプレート・ファイル
BlockXPSP2.cmd	自コンピュータもしくはリモート・コンピュータのブロック／ブロック解除設定を行うバッチ・ファイル
XPSP2Blocker.exe	自コンピュータのブロック／ブロック解除設定を行う実行プログラム
Blocking delivery of Windows XP SP2 - sample email.doc	マイクロソフトがインターネット上で公開しているブロック設定プログラムへのリンクを含むWordドキュメント。ユーザーへのメール送信用
Un-Blocking delivery of Windows XP SP2 -sample email.doc	上とは逆に、ブロック解除設定へのリンクを含むWordドキュメント
BlockXPSP2ツールの内容

ブロックのしくみ

　ブロックのしくみは極めて単純だ。グループ・ポリシーにしても、バッチ・ファイルにしても、実行プログラムにしても、1つのレジストリ・キーの値を設定したり、削除したりしているだけである。ブロックするかどうか、そしてブロックする期間については、Windows Updateや自動更新を実行するプログラムがこのレジストリの値と、マイクロソフトがインターネットから提供する「保留期間」の情報によって判断している。

　利用されるレジストリ・キーは「HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate」で、これは今回のXP SP2のブロック用に初めて使われたものであり、BlockXPSP2ツールなどでブロックを指定しなければこのレジストリ・キーは存在しない（つまり、従来のソフトウェアとレジストリ設定が競合することはない）。ブロックを指定すると、このキーが作成され、「DoNotAllowXPSP2」という値が作成されて、値として1がセットされる。いったんブロック指定を行った後、ツールでロック解除指定を行うと、この「DoNotAllowXPSP2」という値が削除される（キーはそのまま残る）。

　Windows Updateと自動更新のコンポーネントは、次の手順でXP SP2のインストールを実施するかどうかを判断している。

DoNotAllowXPSP2値とWindows Update／自動更新の処理

レジストリのDoNotAllowXPSP2の値と、ブロックの有効期間（マイクロソフトが設定）からブロックするかどうかが切り替わる。

　このように、最終的にXP SP2の適用をブロックするか、適用を続行するかは、設定されたレジストリのDoNotAllowXPSP2の値と、マイクロソフトが設定したブロック期間の情報により、Windows Updateと自動更新のコンポーネントが判断する仕様だ（Windows Updateでは、ブロック期間はXP SP2の表示自体が行われない）。ブロック期間についてはインターネットから情報を取得するので、マイクロソフトの判断で期間を制御できる。当初マイクロソフトは、ブロック期間を120日間としていたが、その後ブロック期間を240日間に倍増させ、2005年4月12日まで適用されないように変更した。

各ツールの違い

　BlockXPSP2に含まれる各ツールは、次のように使い分けることになるだろう。

■NoXPSP2Update.admテンプレート
　Active Directory環境があり、グループ・ポリシーが使える場合には、このテンプレートを利用してブロック設定をクライアントに配布できる。

■BlockXPSP2.cmd
　これは簡単なバッチ・ファイルで、次のように実行する。

BlockXPSP2.cmd ［コンピュータ名］ ［/B］［/U］［/H］

　第1パラメータとして、設定を行うコンピュータ名を指定し、第2パラメータにブロックするか（/B）、ブロックを解除するか（/U）、を指定する（/Hはヘルプ表示オプション）。このコマンドの特徴は、コンピュータ名を指定したリモート設定が可能なことだ（もちろん、ローカルでの実行も可能）。

　ただしこのバッチを実行するユーザーには、対象となるコンピュータの管理者権限が必要である。

■XPSP2Blocker.exe
　実行プログラム形式で、ローカル・コンピュータの設定のみ行える。設定対象コンピュータを指定できないこと以外、オプションは上記BlockXPSP2.cmdと同じである。

XPSP2Blocker ［/B］［/U］［/H］

　こちらも実行には、設定対象となるコンピュータの管理者権限が必要である。

■2つのDOCファイル
　これらのドキュメントは、管理者がメールに添付してユーザーに送付することを前提としたもので、内部には「以下のリンクをクリックして、XP SP2の配信をブロックしてほしい。操作方法は…」（Blocking delivery of Windows XP SP2 - sample email.doc）、「以下のリンクをクリックしてXP SP2の配信を許可してほしい。操作方法は…」（Un-Blocking delivery of Windows XP SP2 -sample email.doc）といった文書が含まれている（すべて英文）。

　各リンクはそれぞれインターネット上の次のURLを指している。

• http://go.microsoft.com/fwlink/?LinkId=33518（ブロック）
• http://go.microsoft.com/fwlink/?LinkId=33519（ブロック解除）

　ここにはそれぞれブロック設定、ブロック解除設定を行うためのプログラムが配置されており、ユーザーがリンクをクリックすると、プログラムが一時的にダウンロードされて実行可能になる。使い方についてはドキュメント中に説明されている。

　これらのプログラムを実行するにも、対象コンピュータの管理者権限が必要である。

目的別ツールの使い分け

　各ツールは、目的や状況に応じて使い分けることになる。基本的な考え方をまとめると次のようになるだろう。

■Active Directory環境がある場合
　この場合はNoXPSP2Update.admテンプレートでグループ・ポリシーを利用するのがよい。

■各ユーザーに自身のコンピュータの管理者権限を与えている場合
　各ユーザーに自身のコンピュータの管理者権限を与え、普段から修正の適用やSPの適用を自分の責任で実行させている場合は、BlockXPSP2.cmdやXPSP2Blocker.exe、DOCファイルの送信などを実行し、ユーザーにブロック／ブロック解除のプログラムを実行させる。ログオン・スクリプトでバッチを実行させたり、共有フォルダにXPSP2Blocker.exeを置いて実行してもらったりすればよい。

■各ユーザーに管理者権限は与えず、中央で管理したい場合
　この場合は、BlockXPSP2.cmdでコンピュータ名を指定してリモートからブロック／ブロック解除設定を実行することになる。この場合、プログラムの実行者は、設定したい全クライアント・コンピュータの管理者権限が必要である。

　なおこのケースでは、BlockXPSP2ツールとは別に、マイクロソフトが提供している以下のVBScriptを利用してもよい。このVBScriptを使えば、バッチなどを使わなくても、複数のコンピュータに対する次のような設定ファイルを用意して一括して設定ができる。

client1,b client2,u server1,b server2,u …（以下省略）…

• Block Windows XP Service Pack 2 on Multiple Computers［英文］（Microsoft）

それでも、CD-ROMからのインストールなどは防止できない

　以上でWindows Updateや自動更新によるXP SP2の適用は禁止できるが、レジストリのDoNotAllowXPSP2値を参照するのはこれらだけである。ダウンロード・センターに登録されたネットワーク・インストール版や、雑誌付録やPCショップ店頭（9月17日より配布予定）、全国の郵便局窓口（10月1日より配布予定）で提供されるXP SP2 CD-ROMのインストーラはこのレジストリを参照せず、無条件にXP SP2をインストールしてしまう。

　特にエンドユーザー管理という意味では、雑誌付録や店頭配布のCD-ROMに注意すべきだろう。このCD-ROMはホーム・ユーザーを想定したもので、入手してCD-ROMをPCにセットすると、インストーラが起動して、簡単にXP SP2を適用できるようになっている。エンドユーザーがうっかりCD-ROMをセットしてインストールを実行してしまわないようにする必要がある。ただし手段としては、通知を周知徹底するほかない。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）