みなさま、こんにちは。WSUS サポート チームです。
2016 年 8 月 16 日に、Windows 7 SP1 / 8.1、Windows Server 2008 R2 / 2012 / 2012 R2 において 2016 年 10 月以降ロールアップ モデルに移行することを、以下のブログにて発表いたしました。
Windows 7 および Windows 8.1 のサービス モデルをさらにシンプルに
https://blogs.technet.microsoft.com/jpsecurity/2016/08/16/further-simplifying-servicing-model-for-windows-7-and-windows-8-1/
ロールアップ モデル移行後、第2 火曜日(米国時間) に2 つのロールアップをリリースします。2 つのロールアップはいずれも WSUS から配信が可能ですので、ご運用に合わせて必要なものを選択していただくことが出来ます。
1. セキュリティのみの品質更新プログラム
その月のすべてのセキュリティ修正プログラムを 1 つの更新プログラムにまとめたものです。セキュリティのみの更新プログラムにはその月にリリースされる新規のセキュリティ修正プログラムのみ含まれます。
セキュリティのみの更新プログラムは、WSUS および Microsoft Update カタログで入手可能です。
WSUS 管理コンソールでは、以下のタイトルで表示されます。
日本語 : YYYY 年 MM 月 [OS] 向けセキュリティのみの品質更新プログラム (KB #)
英語 : [Month, Year] Security Only Quality Update for [OS] (KB #)
2. セキュリティ マンスリー品質ロールアップ
その月の新しいセキュリティ修正とともに前月までのセキュリティおよび非セキュリティの修正 (信頼性に関する修正、不具合の修正など) も含む更新プログラムをセキュリティ マンスリー品質ロールアップとしてリリースします。各月のロールアップは前月のロールアップを置き換えて、累積的にリリースを行っていきます。
セキュリティ マンスリー品質ロールアップは、Windows Update、WSUS および Microsoft Update カタログで入手可能です。
WSUS 管理コンソールでは、以下のタイトルで表示されます。
日本語 : YYYY 年 MM 月 [OS] 向けセキュリティ マンスリー品質更新ロールアップ (KB #)
英語 : [Month, Year] Security Monthly Quality Rollup for [OS] (KB #)
ただし、以下のブログ記事で発表いたしましたとおり、上記 2 つのロールアップは、共に「セキュリティ問題の修正プログラム」の分類で配信されます。お客様によっては、累積のためサイズが大きく、非セキュリティの修正が含まれる「セキュリティ マンスリー品質ロールアップ」は配信せずに、「セキュリティのみの品質更新プログラム」だけを配信したいというご要望もあるかと思います。その場合、自動承認規則で「セキュリティ問題の修正プログラム」を特定のグループに承認するように設定していると、意図せず「セキュリティ マンスリー品質ロールアップ」がクライアントに配信されることになります。
More on Windows 7 and Windows 8.1 servicing changes
https://blogs.technet.microsoft.com/windowsitpro/2016/10/07/more-on-windows-7-and-windows-8-1-servicing-changes/
Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報
https://blogs.technet.microsoft.com/jpsecurity/2016/10/11/more-on-windows-7-and-windows-8-1-servicing-changes/
そのため、「セキュリティ マンスリー品質ロールアップ」は配信しない運用とされる場合は、「セキュリティ問題の修正プログラム」を特定のグループに承認するように設定した自動承認規則を無効にして、必要な更新プログラムを手動承認する運用に変更することをご検討ください。
自動承認規則は、WSUS 管理コンソール内の [オプション] – [自動承認] より、対象の自動承認規則の横のチェック ボックスを外すことで無効化することが出来ます。
また、もし意図せず「セキュリティ マンスリー品質ロールアップ」が配信された場合は、お手数ですが、次のブログ記事の内容をご参考いただき、対処についてご検討賜りますようお願い申し上げます。
WSUS で予期しない更新プログラムを展開してしまったときの対応方法
https://blogs.technet.microsoft.com/jpwsus/2016/10/07/stop-unexpectedupdates/
なお、System Center Configuration Manager (SCCM) を利用して、更新プログラムを配信している場合は、次のブログ記事をご一読ください。
2016 年 10 月からのロールアップ リリースに伴う System Center Configuration Manager 運用の注意点
https://blogs.technet.microsoft.com/systemcenterjp/2016/10/10/rollup-configmgr-pointtonote/
(補足情報 1)
「セキュリティのみの品質更新プログラム」と「セキュリティ マンスリー品質ロールアップ」を同時に承認した場合、どちらの更新プログラムもクライアント端末に配信されることになります。同時に承認した場合の動作につきましては、次のブログ記事にて詳細に説明しておりますので、ご確認下さいませ。
Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報
– 両方の更新プログラムをインストールした場合に予想されること
https://blogs.technet.microsoft.com/jpsecurity/2016/10/11/more-on-windows-7-and-windows-8-1-servicing-changes/
(補足情報 2)
ロールアップの更新プログラムの配信に起因して、下記のブログにて紹介している事象と類似の事象 (更新プログラムの検出処理によって CPU 使用率が高騰する事象) が発生したとの報告がございますため、対処方法をご案内いたします。
– 古い「IE の累積的なセキュリティ更新プログラム」が承認されていると、更新プログラムの検出処理時に WSUS クライアントの CPU 使用率が高くなる
https://blogs.technet.microsoft.com/jpwsus/2015/04/27/ie-354/
ロールアップの更新プログラム向けに、「拒否済み」に設定する対処方法の実施手順を改めてお纏めいたしました。もし類似の事象が発生した場合には、上から順に実施をご検討くださいますよう、お願いいたします。
– 「拒否済み」に設定する更新プログラムの確認方法
1. Microsoft Update カタログ サイトに接続します。
Microsoft Update カタログ
http://catalog.update.microsoft.com/v7/site/home.aspx
2. 画面右に表示されているテキストボックスに、配信対象のロールアップの KB 番号を入力して、[検索] をクリックします。
3. 表示された更新プログラムの一覧から、問題が発生している クライアントの OS と アーキテクチャに対応するものをクリックします。
4. 追加で表示された画面から、[パッケージの詳細] タブを表示します。
[この更新プログラムは、次の更新プログラムを置き換えます] に表示されている更新プログラムが、検索したロールアップの更新プログラムが置き換えている更新プログラムとなります。
WSUS サーバー上で拒否済みの設定を行う対象となりますので控えておきます。
– 「拒否済み」の設定方法
1. WSUS 管理コンソールを起動し、[Update Services] – [<サーバー名>] – [更新] に移動します。
2. メニューバーから [操作] – [検索] の順に選択します。
3. 検索画面が表示されますので、「拒否済み」に設定する更新プログラムの KB 番号入力して [検索] をクリックします。
4. 検索結果が表示されますので、拒否に設定する更新プログラムを Shift キーを押下しながら複数一括選択します。
5. 選択した当該更新プログラム上で右クリックし、[拒否] を選択します。
6. メッセージが表示されますので [はい] を選択します。
7. 上記の手順を繰り返し、配信対象のロールアップによって置き換えられている更新プログラムを、すべて「拒否済み」に設定します。