none
Win10機能更新プログラムのWSUS配信について RRS feed

  • 質問

  • お世話になっております。

    WSUSの機能更新プログラム配信について確認したく投稿させていただきます。


    今まではWSUSの方で承認しないとパッチ類は配信されないと思っていましたが
    承認していない筈の機能更新プログラムがWSUSをすり抜け配信される事象が発生しております
    WindowsUpdateLogを見る限り、社内WSUSを参照しているのですが・・・・。



    WEBサイトで情報を集めていたところ、(少々古いので現在も有効な情報か不明ですが)以下の情報を見つけました


    (1)----------------------------------------
    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18111597

    [抜粋]
    更新プログラムを承認しない場合、その承認状態は [未承認] のままとなり、
    WSUS サーバーはその更新プログラムに対して何の操作も実行しません。
    これに当てはまらないのは、重要な更新プログラムとセキュリティ更新プログラムのクラスです。
    これらの更新プログラムについては、同期後に「検出」で自動承認されるように既定で設定されています。

    (2)----------------------------------------
    https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-manage-updates-wsus

    [抜粋]
    WSUS はクライアントのサービス ブランチを引き継ぎます。 
    機能更新プログラムが Current Branch (CB) にある間に承認すると、
    WSUS は CB サービス ブランチにある PC にのみ更新プログラムをインストールします。
    Microsoft が Current Branch for Business (CBB) のビルドをリリースすると、
    CBB サービス ブランチにある PC はそれをインストールします。

    【質問事項】
     ① 上記の(1)で言う「重要な更新プログラムとセキュリティ更新プログラムのクラス」に機能更新プログラムは含まれますか?

     ② 【上記①がYESの場合】上記WEBサイトを見た結果、当方は以下のように理解しましたが・・・・合っていますか?

       ・WSUSは 対象が機能更新プログラム等の重要な更新の場合、同期後に「検出」で自動承認する
        (WSUSコンソールは「未承認」のままなのが解せないですが)

       ・弊社環境ではWindowsUpdate for businessの設定をGPOにて配布していません。
        「クライアントのサービス ブランチを引き継ぐ」ため、デフォルトの設定(半期チャネル)で適用する。

       ・上記故に機能更新がWSUSをすり抜け自動インストールされるのは仕様通りの動作である

    以上、お手数ですがご回答宜しくお願い致します。





    2018年12月17日 6:45

回答

  • 機能更新プログラムですが、WSUSのクラス(分類)的には、どちらでも無い Upgrades です。

    また、現在サポートされているWSUSについては、既定で自動承認される様な動作は無い認識です。
    (1)の技術文書については古いバージョンについての記述の様に見受けられますので、WSUS2.0などの古いバージョンについての動作なのでは無いでしょうか。


    本来、WSUSで完全に管理されているのであれば、未承認の更新プログラムが適用される事は有りません。

    恐らくWSUS管理のクライアントがインターネットのWindows Updateを参照する問題の対策で、WfB関連の設定を未設定にしていらっしゃるのかと思いますが、完全にWSUSで管理するにはWfB関連を未設定にする以外にも、[インターネット上の Windows Update に接続しない]のグループポリシー設定などが必要ですので、以下のブログを確認してみて下さい。

    WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編
    https://blogs.technet.microsoft.com/jpwsus/2018/01/24/wsus-gp3/

    • 編集済み LapivyMVP 2018年12月17日 10:50
    • 回答としてマーク 鈴木三郎 2018年12月23日 11:00
    2018年12月17日 10:49

すべての返信

  • 機能更新プログラムですが、WSUSのクラス(分類)的には、どちらでも無い Upgrades です。

    また、現在サポートされているWSUSについては、既定で自動承認される様な動作は無い認識です。
    (1)の技術文書については古いバージョンについての記述の様に見受けられますので、WSUS2.0などの古いバージョンについての動作なのでは無いでしょうか。


    本来、WSUSで完全に管理されているのであれば、未承認の更新プログラムが適用される事は有りません。

    恐らくWSUS管理のクライアントがインターネットのWindows Updateを参照する問題の対策で、WfB関連の設定を未設定にしていらっしゃるのかと思いますが、完全にWSUSで管理するにはWfB関連を未設定にする以外にも、[インターネット上の Windows Update に接続しない]のグループポリシー設定などが必要ですので、以下のブログを確認してみて下さい。

    WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編
    https://blogs.technet.microsoft.com/jpwsus/2018/01/24/wsus-gp3/

    • 編集済み LapivyMVP 2018年12月17日 10:50
    • 回答としてマーク 鈴木三郎 2018年12月23日 11:00
    2018年12月17日 10:49
  •  Lapivyさま

    ご回答ありがとうございます。

    参考になりました

    2018年12月23日 10:59