マイクロソフト セキュリティ アドバイザリ 4022345

Windows Update クライアントによる更新プログラムの受信不具合を識別し、修正する

公開日: 2017 年 5 月 10 日

バージョン: 1.0

マイクロソフトは、Windows Update クライアントが更新プログラムを適切にスキャンしない、またはダウンロードしないという一般的ではない展開シナリオに関連する情報を提供するために、このセキュリティ アドバイザリを公開しました。このシナリオでは Windows 10 または Windows Server 2016 のオペレーティング システムをインストールし、対話的にシステムにログインしたことがないか、リモート デスクトップ サービスを介して接続したことのないお客様が影響を受ける可能性があります。これらのシステムでは、ユーザーが対話的にログインするかリモート デスクトップ サービスを介してログインして、初期セットアップを完了するまで Windows の更新プログラムを受け取れない可能性があります。

このシナリオに対処するために、マイクロソフトは Windows Update リリース チャネルの自己復旧メカニズムを通して、更新プログラムをスキャンしない、または受信しないサーバー オペレーティング システムに対する Windows Update の動作を修正するために Windows Update クライアント用に更新プログラムを公開しました。マシンがこのメカニズムによって復旧した後、システム管理者が構成したすべての既存の設定は有効となり、Windows Update が無効になっているマシンに更新プログラムが強制されることはありません。

このアドバイザリでは、お客様がこの一般的ではないシナリオの影響を受けるかどうかを識別し、影響を受ける場合、動作を修正するために必要な対応についてガイダンスを提供します。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフサイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

クライアント オペレーティング システム

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

サーバー オペレーティング システム

Windows Server 2016

Windows Server 2016 (Server Core インストール)


問題を緩和する要素

マイクロソフトは、次の問題を緩和する要素を確認しました。

  • システムに対話的にログインしているユーザーは、この動作の影響を受けません。多くのユーザーは初期セットアップの後、Windows に対話的にログインするため、影響を受けません。
  • インターネットに接続しているサーバーは、WU の自己復旧システムを介して自動的に更新プログラムを受け取ります。分離されたネットワークやファイアウォールで Windows Update の URL をブロックしたお客様のみ、手動で対応する必要があります。
  • 多くの企業用ソフトウェア展開ツールおよびスキャナーでは、ログイン イベントを生成し、システムがこの問題の影響を受けることを防ぐことができます。ツールがログインを引き起こしているかどうかを判定できるイベント ログ (「よく寄せられる質問」で説明) があり、それによって更新の不具合を防ぐことができます。

アドバイザリの「よく寄せられる質問」

問題の影響を受けるかどうかを、どのように知ることができますか?

コンピューターに対話的にログインするお客様、またはリモート デスクトップ サービスを介してログインするお客様は、この問題の影響を受けません。DISM や Windows 展開サービスなどのようにイメージのビルドと展開メカニズムの自動化を使用しているお客様は、更新プログラムが自動的にスキャンされない、またはダウンロードされない Windows 10 や Windows 2016 システムを実行している可能性があります。展開後に対話的にログオンしていない、またはリモート デスクトップ サービスを介してログインしていないシステムを実行している場合、更新プログラムがスキャンされなかったりダウンロードされていない状態のシステムである可能性があります。ヘッドレス マシンとして構成されているシステムは、影響を受けません。

システムにログインしました。 そのほかに手動で対応する必要がありますか?

自動更新を有効にしていない、またはファイアウォールで自動更新の URL をブロックしているお客様のみ更新プログラムを確認し、この更新プログラムを手動でインストールする必要があります。WSUS を利用中で、システムによる Windows Update の URL へのアクセスをブロックしているお客様も、この更新プログラムを手動でインストールする必要があります。自動更新の具体的な構成オプションの詳細については、マイクロソフト サポート技術情報 294871 を参照してください。

影響を受けるクライアント OS を使用しています。 自動更新が提供されますか?

いいえ。現在、クライアント OS バージョン向けの自動更新をリリースする予定はありません。このドキュメントの「推奨するアクション」にあるガイダンスに従ってください。それらの OS バージョンについて、このシナリオへの対処方法を説明しています。

使用しているコンピューターがヘッドレスであるかどうかをどのように確認できますか?

レジストリの "Headless" キーの値で確認することができます。このキーは、"HKLM\SYSTEM\CurrentControlSet\Control\WinInit" に存在します。このキーの値が 0 以外の場合、ヘッドレス システムとして実行されています。キーに値がない場合、または値が 0 の場合、コンピューターはヘッドレス システムではなく、この問題の影響を受ける可能性があります。この値を手動で変更しても問題を修正することはできず、推奨されていません。

システムに適切なログオン イベントが存在するかどうかを判定するために確認できるイベント ログはありますか?

はい。 セキュリティ イベント ログの 4624 セキュリティ イベントで "Logon Type 2" または "Logon Type 10" を確認します。システムにこのようなイベントがある場合、この問題の影響を受けません。

各マシンにログインする

影響を受ける可能性のあるマシンの数が少ない場合、マシンが問題の影響を受けないようにするための最も容易な方法は各マシンにログインすることです。これは対話的なログオン、またはリモート デスクトップ経由のログオンで実施することができます。オペレーティング システムをインストールした後、1 回だけ実施すれば済みます。

フィードバック

サポート

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2017/05/10): このアドバイザリを公開しました。
  • V1.1 (2017/05/10): このアドバイザリを更新し、セキュリティ イベント ログのエントリとして "Logon Type 2" を追加しました。これは情報のみの変更です。

Page generated 2017-05-10 11:37Z-07:00.
表示: