WSUS利用環境におけるWindows10 Proのローカルグループポリシー設定をまとめました。
なお、WSUS承認パッチの検証にフォーカスした設定となります。
1.ローカルのWSUSサーバのみ接続する
2.インターネット側のMicrosoftUpdateに接続しない
3.なるべく自動で更新・インストール・再起動する
4.自動動作間隔をなるべく短くする
TL;DR
イントラネットの Microsoft 更新サービスの場所を指定する
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 更新を検出するためのイントラネットの更新サービスを設定する: | http://[hostname or ipaddress]:8530 |
| イントラネット統計サーバーの設定: | http://[hostname or ipaddress]:8530 |
| 代替ダウンロード サーバーの設定: | - |
| 代替ダウンロード サーバーが設定されている場合は、メタデータに URL が示されていないファイルをダウンロードします。 | - |
自動更新を構成する
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 自動更新の構成: | 4 |
| 自動メンテナンス時にインストールする | ✓ |
| インストールを実行する日: | 0 - 毎日 |
| インストールを実行する時間: | 自動 |
| 毎週、毎週第1週~第4週 | 毎週 |
| 他の Microsoft 製品の更新プログラムのインストール | ✓ |
自動更新の検出頻度
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 更新を確認する時間 間隔 (時間): | 1 |
インターネット上の Windows Update に接続しない
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
スケジュールされた時刻に常に自動的に再起動する
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 再起動のタイマーで指定される、 作業内容の保存にかかる 時間 (分): | 15 |
必須
イントラネットの Microsoft 更新サービスの場所を指定する
WSUSサーバを指定します。
ホスト名指定:http://upd-server01:8530
IPアドレス指定:http://192.168.0.1:8530
※ホスト名指定の場合、hostsやDNSによる名前解決が必要です。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 更新を検出するためのイントラネットの更新サービスを設定する: | http://[hostname or ipaddress]:8530 |
| イントラネット統計サーバーの設定: | http://[hostname or ipaddress]:8530 |
| 代替ダウンロード サーバーの設定: | - |
| 代替ダウンロード サーバーが設定されている場合は、メタデータに URL が示されていないファイルをダウンロードします。 | - |
Microsoft Update からの更新プログラムをホストするイントラネット サーバーを指定します。その後、この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。
この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。自動更新クライアントは、このサービスでネットワーク上のコンピューターに適用される更新を検索します。
この設定を使用するには、2 つのサーバー名の値を設定する必要があります。自動更新のクライアントが更新プログラムを検出してダウンロードするためのサーバー、そして更新が完了したワークステーションが統計をアップロードするためのサーバーです。両方の値を同じサーバーに設定することもできます。オプションのサーバー名の値を指定して、イントラネットの更新サービスの代わりに代替ダウンロード サーバーから更新プログラムがダウンロードされるように Windows Update エージェントを構成できます。
状態が [有効] に設定されている場合、自動更新のクライアントは、 Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードします。この設定を有効にすると、組織のエンドユーザーがファイアウォールを通過して更新を取得する必要がなくなり、あなたは更新を展開する前にテストできるようになります。
状態が無効または未構成に設定されていて、ポリシーまたはユーザー設定で自動更新が無効になっていない場合は、自動更新のクライアントは直接インターネットの Windows Update サイトにアクセスします。
代替ダウンロード サーバーは、イントラネットの更新サービスの代わりにダウンロード代替サーバーからファイルをダウンロードする Windows Update エージェントを構成します。
URL がないファイルをダウンロードするオプションを使うと、更新プログラムのメタデータにファイル ダウンロード用 URL が示されていない場合に、代替ダウンロード サーバーからコンテンツをダウンロードできます。このオプションは、イントラネットの更新サービスが、代替ダウンロード サーバー上に存在するファイルの更新用メタデータにダウンロードURLを提供しない場合にのみ使用してください。
注: "自動更新を構成する" ポリシーが無効になっている場合、このポリシーには効力がありません。
注: "代替ダウンロード サーバー" が設定されていない場合、更新プログラムのダウンロードには既定でイントラネットの更新サービスが使用されます。
注: "URL のないファイルをダウンロードする" オプションは、"代替ダウンロード サーバー" が設定されている場合にのみ使用されます。
注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。
最高レベルのセキュリティを確保するために、Microsoft では TLS/SSL プロトコルを使用して WSUS をセキュリティで保護し、HTTPS ベースのイントラネット サーバーを使用してシステムの安全性を確保することを推奨しています。プロキシが必要な場合には、システム プロキシを構成することをお勧めします。 最高レベルのセキュリティを確保するために、追加的にWSUS TLS 証明書をすべてのデバイスにピン留めして利用してください。
クライアントの本質的な安全性を確保するために、イントラネット サーバーに対して、更新プログラムの検出にユーザー プロキシを既定で利用することを禁止しました。ユーザー プロキシに脆弱性が存在するにもかかわらず、イントラネット サーバーの使用中に更新プログラムを検出するためにユーザー プロキシを利用する必要がある場合には、プロキシの動作を "システム プロキシを使用した検出が失敗した場合に、ユーザーのプロキシをフォールバックとして使用できるようにする" ように構成する必要があります。
フォールバックとしてユーザー プロキシが必要で、代替プロキシの動作が構成されていない場合、イントラネット サーバーに対する更新プログラムの検出は失敗します。
自動更新を構成する
WindowsUpdateを自動で行うどうかを設定します。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 自動更新の構成: | 4 |
| 自動メンテナンス時にインストールする | ✓ |
| インストールを実行する日: | 0 - 毎日 |
| インストールを実行する時間: | 自動 |
| 毎週、毎週第1週~第4週 | 毎週 |
| 他の Microsoft 製品の更新プログラムのインストール | ✓ |
なお、「自動更新の構成」は以下のような感じです。
| 自動更新の構成 | Win10 | ダウンロード | インストール | 再起動 |
|---|---|---|---|---|
| 2 = 更新プログラムをダウンロードする前、およびインストールする前に通知する。 | サポート | 手動 | 手動 | (他設定依存) |
| 3 = (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。 | サポート | 自動 | 手動 | (他設定依存) |
| 4 = 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする。 | サポート | 自動 | 自動(指定時刻) | (他設定依存) |
| 5 = ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする (このオプションは、Windows 10 バージョンではサポートされていません)。 | 非サポート | ー | ー | ー |
| 7 = インストールと再起動について通知します (Windows Server 専用)。 | 非サポート | 手動 | 手動 | 手動 |
このコンピューターで Windows の自動更新サービスを使用してセキュリティ更新プログラムやその他の重要なダウンロードを受け取るかどうかを指定します。
注: このポリシーは、Windows RT には適用されません。
この設定では、このコンピューターで自動更新の機能を有効にするかどうかを指定できます。サービスを有効にした場合は、グループ ポリシー設定の 4 つのオプションのうち 1 つを選択する必要があります:
2 = 更新プログラムをダウンロードする前、およびインストールする前に通知する。
このコンピューターに適用する更新プログラムが見つかると、ダウンロードできる更新プログラムがあることがユーザーに通知されます。ユーザーは Windows Update にアクセスし、使用可能なすべての更新プログラムをダウンロードしてインストールできます。
3 = (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。
Windows がコンピューターに適用する更新プログラムを見つけてバックグラウンドでダウンロードする (ユーザーには通知しません。この処理中ユーザーの作業は中断されません)。ダウンロードが完了したら、インストールする準備ができたことをユーザーに通知します。ユーザーは Windows Update にアクセスして更新プログラムをインストールできます。
4 = 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする。
インストールを実行する時間として [自動] を選択すると、更新プログラムの確認、ダウンロード、インストールが Windows によって自動的に実行されます。グループ ポリシーで構成されている場合を除き、Windows の既定の設定に従ってデバイスが再起動されます (Windows 10 Version 1809 以上に適用)。
グループ ポリシー設定のオプションを使用してスケジュールを指定します。バージョン 1709 およびそれ以降では、更新を毎週、隔週、または毎月行うように制限する追加の選択項目があります。スケジュールが指定されていない場合は、すべてのインストールに使用される既定のスケジュールは、毎日 3:00 AM です。更新プログラムのインストールを完了するために再起動が必要な場合、コンピューターは自動的に再起動されます (Windows の再起動が準備できた時点でユーザーがコンピューターにサインインしている場合は、ユーザーに通知が表示され、再起動を延期するオプションが表示されます)。
Windows 8 以降では、特定のスケジュールではなく自動メンテナンス時にインストールするように更新プログラムを設定できます。自動メンテナンスでは、更新プログラムはコンピューターを使用していないときにインストールされます。また、コンピューターがバッテリで動作している場合はインストールされません。自動メンテナンスで更新プログラムをインストールできない状態が 2 日間続くと、Windows Update によってすぐに更新プログラムがインストールされます。その後、もうすぐ再起動されることがユーザーに通知されます。この再起動は、誤ってデータが失われる可能性がない場合にのみ実行されます。その後、もうすぐ再起動されることがユーザーに通知されます。この再起動は、誤ってデータが失われる可能性がない場合にのみ実行されます。
5 = ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする (このオプションは、Windows 10 バージョンではサポートされていません)。
このオプションを使用すると、ローカルの管理者は Windows Update コントロール パネルを使用して任意の構成オプションを選択できます。ローカルの管理者が自動更新の構成を無効にすることはできません。
7 = インストールと再起動について通知します (Windows Server 専用)。
Server SKU デバイスのみに適用される、Windows Server 2016 のこのオプションを使用すると、ローカルの管理者は Windows Update を使用して手動でインストールまたは再起動を進めることができます。
このポリシーの状態が無効に設定されている場合、Windows Update で利用できる更新プログラムがあるときは、手動でダウンロードしてインストールする必要があります。これを行うには、[スタート] を使用して「Windows Update」を検索します。
状態が未構成に設定されている場合は、自動更新の使用はグループ ポリシー レベルでは指定されません。ただし、管理者はコントロール パネルを使用して自動更新を構成できます。
自動更新の検出頻度
[自動更新を構成する]が有効になっている場合のみ、こちらで更新頻度(時間間隔)を設定します。
デフォルト(または未構成・無効)では22時間となり、その時間に対し+0~4時間のランダム時間が加味されるため、平均的には24時間ごとの自動更新となります。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 更新を確認する時間 間隔 (時間): | 1 |
※設定値は1~22の間
利用可能な更新を確認する前の待機時間を決定するための時間を指定します。正確な待機時間は、特定の値とランダムな可変数値 (0 - 4 時間) を合計した時間になります。
状態が有効に設定されている場合、指定した間隔で使用可能な更新が確認されます。
状態が無効または未構成に設定されている場合は、既定の間隔である 22 時間で利用可能な更新が確認されます。
注: このポリシーを有効にするには、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にする必要があります。
注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。
インターネット上の Windows Update に接続しない
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、定期的に、公開されている Windows Update サービスから情報を取得し、Windows Update やその他のサービス (Microsoft Update や Windows ストアなど) に今後接続できるようにします。
このポリシーを有効にすると、その機能は無効になり、Windows ストアなど公開されているサービスへの接続が動作しなくなる可能性があります。
注: このポリシーは、"イントラネットの Microsoft 更新サービスの場所を指定する" ポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。
Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない
この設定を有効にすると、デュアルスキャン(WSUSサーバとMicrosoft Updateの両方に接続する)が有効となるため、WSUSサーバからだけ更新プログラムを配信したい場合は「有効」にしておきます。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
このポリシーを有効にすると、更新の遅延ポリシーが Windows Update に対してスキャンを実行できなくなります。
このポリシーが無効になっているか、構成されていない場合は、更新の遅延ポリシーが有効になっている間、Windows Update クライアントは Windows Update に対して自動スキャンを開始できます。
注: このポリシーが適用されるのは、このコンピューターに指定されているイントラネットの Microsoft 更新サービスが、クライアント側のターゲット設定をサポートするように構成されている場合のみです。"イントラネットの Microsoft 更新サービスの場所を指定する" ポリシーが無効になっているか、未構成の場合、このポリシーは無効です。
任意
スケジュールされた時刻に常に自動的に再起動する
パッチのインストール後の自動再起動タイマーを設定します。
指定時間は15分から180分となります。
ポリシー未構成・無効は2日後に再起動がかかります。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| 再起動のタイマーで指定される、 作業内容の保存にかかる 時間 (分): | 15 |
このポリシーを有効にした場合、2 日間以上ログイン画面について最初にユーザーに通知する代わりに、Windows Update で重要な更新プログラムをインストールした直後に再起動のタイマーを開始します。
再起動のタイマーは、15 ~ 180 分の任意の値から開始するように構成できます。タイマーが切れると、PC にサインインしているユーザーがいる場合でも再起動が続行されます。
このポリシーを無効にした場合、または構成しなかった場合、Windows Update によってその再起動の動作が変更されることはありません。
"スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない" ポリシーが有効になっている場合は、このポリシーによる影響はありません。
クライアント側のターゲットを有効にする
こちらを有効かつ設定しておくと、WSUSサーバ側でコンピュータグループを認識しているため、複数台のWSUSクライアントを制御する際には有用かと思います。
※大量のWSUSクライアントに対しコンピュータグループ監視したい場合は、ActiveDirecrotyのGPO設定で制御するのが正道です。
| 項目 | 設定 |
|---|---|
| ポリシー | 有効 |
| このコンピューターのグループ名をターゲットにする | [任意のグループ名] |
イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。
状態が有効に設定されている場合、指定されたターゲット グループの情報がイントラネットの Microsoft 更新サービスに送信されます。Microsoft 更新サービスはグループの情報を使用して、このコンピューターに展開される必要がある更新プログラムを決定します。
イントラネットの Microsoft 更新サービスで複数のターゲット グループに対応している場合、このポリシーでグループ名をセミコロンで区切り、複数のグループ名を指定できます。サポートされていない場合は、指定できるグループは 1 つだけです。
状態が無効または未構成に設定されている場合は、イントラネットの Microsoft 更新サービスにはターゲット グループ情報は送信されません。
注: このポリシーは、このコンピューターで指定されている先のイントラネット Microsoft 更新サービスがクライアント側のターゲットをサポートするように構成されているときにのみ適用されます。[イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。
注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。