Q:社内のクライアントにセキュリティ修正プログラムを適用できる「Windows Server Update Services(WSUS)」を運用する余裕はないのですが,マイクロソフトのWebサイトでセキュリティ・パッチが公開されたら,それを全クライアントに迅速に適用したいと考えています。特定のパッチをスキップするような機能は求めていません。最新のセキュリティ・パッチを適用できれば十分です。

 A:もしあなたがActive Directoryを利用しているなら,グループ・ポリシーを使ってWindowsの自動更新機能の設定を一元管理できる。また,ワークグループ環境であっても,個別のクライアント・マシンのローカル・セキュリティ・ポリシーやレジストリ・キーを手動で変更すれば,自動更新機能を有効にできる。やり方を説明しよう。

 Active Directoryが利用できる場合は,「Default Domain Policy」というGPO(グループ・ポリシー・オブジェクト)を編集する。Default Domain Policyは,マイクロソフト管理コンソール(MMC)で「Active Directoryユーザーとコンピュータ」スナップインを起動すると,ドメインのルートにリンクされているのですぐに見つけ出せるだろう。

 Default Domain Policyのツリーから,[コンピュータの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[Windows Update]をたどると,「自動更新を構成する」というポリシーがある。このポリシーを有効にして「自動更新の構成」で「4-自動ダウンロードしインストール日時を指定」を選択する(図1)。

図1●「自動更新を構成する」ポリシー

 この設定は,OSの自動更新クライアントを有効にして,ユーザーに対して確認を促すことなく修正プログラムをダウンロードし,インストールするというものである。「自動更新の構成」ポリシーでは,修正プログラムをインストールする日付や時刻も設定できる。

 なお,もしWSUSや前バージョンのSUS(Software Update Services)を使っていて,これらの運用を止めて直接マイクロソフトから修正プログラムをダウンロードするよう設定する際には,「イントラネットのMicrosoft更新サービスの場所を指定する」というポリシー(図2)を無効にする。

図2●「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシー

 ADが利用できない場合は,各クライアント・マシンのローカルコンピュータ・ポリシー(図3)を編集する。「自動更新を構成する」といったポリシーの場所は,Default Domain Policyと同じだ。

図3●自動更新機能を設定するポリシーの場所
[画像のクリックで拡大表示]

 また自動更新機能をレジストリで設定することも可能だ。レジストリ・エディタ(regedit.exe)を起動して「HKEY_LOCAL_MACHINE\Software\Policies\Microsoft
\Windows\WindowsUpdate\AU」サブ・キーを開く(ない場合はサブ・キーを右クリックして[新規]-[キー]からサブ・キーを作成する)。そして,AUサブ・キーを右クリックして[新規]-[DWORD値]から「AUOptions」という値の名前を作成し,値を「4」に設定する。こうすると,ユーザーに対して確認を促すことなく修正プログラムをダウンロードし,インストールする設定になる。

 また「ScheduledInstallDay」という値の名前を作成すると修正プログラムをインストールする日にちを,[ScheduledInstallTime]という値の名前を作成するとインストールする時刻を設定できる。ScheduledInstallDayは1から7までの値を設定可能で,1が日曜日で7が土曜日である。ScheduledInstallTimeは0から23までの値が設定可能で,それぞれ24時間形式の時刻に対応している。