none
Windows2016サーバにて、意図しないタイミングでWindows Updateが実行される。 RRS feed

  • 質問

  • 表題の件について、知見がある方、教えて頂ければ有難いです。


    ・サーバのローカルグループポリシーにて更新プログラムが自動的にダウンロードおよびインストールされないようにしています。
    --------------------
     [自動更新を構成する]
     "有効"になっており、自動更新の構成で"2. 更新プログラムをダウンロードする前、およびインストールする前に通知する"
     が設定されている。
    --------------------
    しかしながら、先日意図しないタイミングでWindowsUpdateがインストールまでされており、適用された更新プログラムの中のKB4530689に起因して、OS再起動を要求が出ている状況でした。

    人の手によって実行された可能性も捨てていないのですが、イベントログを見ても特定できず。

    人の手によって実行されたのか、システムによって実行されたのか。また、後者の場合、どのような設定(ロジック)でシステムによって実行されてしまったのか。何等か調査する方法はないでしょうか。


    【環境の補足】
    ・AD参加しているサーバです。
    ※ただし、ADサーバ側でのグループポリシー[自動更新を構成する]については"未構成"となっている。

    ・上記の通り、該当サーバのローカルグループポリシーにて、更新プログラムをダウンロードする前、およびインストールする前に通知する
     設定にしている。

    ・有益な情報かはわかりませんが、イベントログ(システム)をざっと見ると、「Windows Updateは更新プログラムのダウンロードを開始しました。」
     の直前には、下記ログが出ている。
     「Background Intelligent Transfer Service サービスの開始の種類は 要求による開始 から 自動的な開始 に変更されました。」
     「Background Intelligent Transfer Service サービスは 実行中 状態に移行しました。」
     「Update Orchestrator Service for Windows Update サービスは 実行中 状態に移行しました。」



    2020年1月15日 0:15

すべての返信

  • oooohです。

    直接の回答ではないですが、Updateさせたくない場合は

    Windows Updateサービス自体を無効にしてしまうのが確実かと。

    人の手によるものかどうかの調査としてはWindowsUpdate実行時あたりの

    ログオン履歴を確認することからでしょうか。

    2020年1月15日 3:08
  • 返信ありがとうございます。

    Windows Updateサービス無効については、おっしゃる通りかと思います。
    今後の対応の一つとして検討しております。

    ログイン履歴は確認しており、ログインしているユーザもいました。ただ、該当アカウントを所持している者がUpdateをした覚えがないとのことでした。該当ユーザが気づかず誤操作をした可能性もあると思っていますが、そこの裏どりもしたいという意図もあります。

    WindowsUpdate自体のイベントログも、実行ユーザは"SYSTEM"としてログ記録されてしまうようでしたので、実際に人が実行したのか、システムが実行したのかわからない状況でして。。

    2020年1月15日 5:46
  • oooohです。

    タスクスケジューラの履歴は確認されてますでしょうか。

    タスクスケジューラライブラリ > Microsoft > Windows > WindowsUpdate

    タスクスケジューラライブラリ > Microsoft > Windows > UpdateOrchestrator

    あたり

    2020年1月21日 1:38
  • 返信できておらず申し訳ありません。
    履歴を見ましたが、実施者の特定までは至りませんでした。

    取り急ぎ、実施者追及は断念し、次回の抑止を考える方向で舵をきることにしました。

    色々とご協力ありがとうございました。

    2020年4月10日 2:59