Windows Server 2016でWindowsUpdateの手動実行をGPOで無効にする

Windows Server 2016でWindowsUpdateの手動実行をGPOで無効にする設定についての情報になります。

会社によって運用は変わると思いますが、稼働中のサーバは定期的にパッチを当てるところもあれば、緊急度が高いもの以外は適用しないという運用をしているケースもあると思います。

過去にパッチを適用して痛い想いをしたことがある人もいるかもしれませんが、セキュリティパッチはやはり放置せずに適用したほうがいいですね。

昨今のセキュリティ事故を踏まえるとパッチを適用してないというケースが散見しています。

ただ、普段は自動更新はさせないという運用をしているケースで、自動更新はGPOで制御できましたが、手動で実行される場合は、防げないと思っていたら、Windows Server 2016でWindowsUpdateの手動実行をGPOで無効にすることができることがわかりました。

参考になる情報はこちら。

Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます

[自動更新を構成する] のグループポリシーでは、あくまでも Windows Update の自動実行を抑止するもので、手動で「設定」画面から Windows Update を実施すると、自動更新を無効にしていても Windows Update を行えてしまいますとあります。

ここまでは私も知っていたのですが、手動実行も抑止できるようです。

以下は抜粋です。

「さすがにそんなこと知っているって」と思われる方も多いかと思いますが、Windows Server 2016 / Windows 10 では、以前の Windows OS と違い、適用可能な更新プログラムがあれば「設定」画面から「更新プログラムのチェック」をクリックすると、インストールまで行われてしまうため、このパターンのお問い合わせもよくいただきます。

ちなみに、Windows Server 2016 / Windows 10 バージョン 1607 以降の環境では、下記のグループポリシーを設定することで、「設定」画面から「更新プログラムのチェック」を押せなくなるため、そもそも手動でも実行させたくないんだけど…という方は、合わせて設定をご検討ください。

[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update]
[Windows Update のすべての機能へのアクセスを削除する] を ”有効”