Windows Service Pack Blocker Tool Kit

  • Article

みなさま、こんにちは。
今回は、昨年後半に公開された Windows Service Pack Blocker Tool Kit をご紹介します。

 Windows Service Pack Blocker Tool Kit
   http://www.microsoft.com/downloads/en/details.aspx?familyid=d7c9a07a-5267-4bd6-87d0-e2a72099edb7&displaylang=en

Windows 7 SP1 ではこれまでの Windows Vista SP1 等と同じように、Auto Update (自動更新) からの SP1 配布が
予定されています。
この Windows  Service Pack Blocker Tool Kit を適用すると、Windows Update 経由、および自動更新経由での
Service Pack のダウンロードを一時的に抑止できます。なお、有効期間は SP1 がダウンロードセンターに
公開されてから 12ヶ月間となっています。
この期間を過ぎると、ツールを設定していても自動ダウンロードが開始されますのでご注意ください。
これまでの更新プログラムをまとめて適用でき、セキュリティがより強固になる SP1 を是非早めに展開いただきたい
ところですが、既に Windows 7 を展開し使用いただいているお客様で、まだ SP1 には更新したくないというお客様は
本ツールの適用を検討ください。
※ なお、本ツールは Windows 7 だけでなく、Windows Server 2008 R2 にも対応しております。

では、ここから Windows 7 および Windows Server 2008 R2 用の Blocker Tool の適用方法をご案内します。

今回も従来の Windows 用 Blocker Tool と同様に 3つのモジュールを提供しており、以下の
3通りの適用方法を選択できます。

① Microsoft 署名付き実行ファイル (A Microsoft-signed executable)
② スクリプト (A script)
③ ADM テンプレート (An ADM template)

①、② は各クライアント PC 側でモジュール実行が必要です。
③ はグループ ポリシーに設定を追加するため、サーバーからの集中管理が可能です。

① Microsoft 署名付き実行ファイル
SPBlockingTool.exe を使って PC に直接設定を行います。
※ 実行には管理者権限が必要です。

■ 実行例
 

[コマンド例]

 SPBlockingTool.exe /B

[コマンドオプション]

 /B :自動適用をブロック
 /U :自動適用を許可
 /H :ヘルプ表示

上記ではコマンドオプション [/B] をつけて実行していますが、オプションなしで実行した場合も
ブロックの設定が行われます。
資産配布の仕組みがある場合は、資産配布システムから管理者権限で [SPBlockingTool.exe] を
配布・実行することで設定を行うこともできます。

② スクリプト
コマンドスクリプトを使って PC に直接設定を行います。
※ 実行には管理者権限が必要です。

■ 実行例

[コマンド例]

 SPreg.cmd <PC名> /B

[コマンドオプション]

 /B :自動適用をブロック
 /U :自動適用を許可
 /? :ヘルプ表示

スクリプトは管理者 PC からリモートで設定を行う用途で利用できます。
実行対象となる PC 名を指定する必要があるため、特に大量展開する場合は、カスタマイズして
ご利用いただくのが便利かもしれません。

③ ADM テンプレート
テンプレートを使ってグループ ポリシーに設定を取り込み、サーバー側で設定を行います。
テンプレートの追加方法は下記を参考にしてください。

 管理用テンプレート (.adm ファイル) を追加または削除する (Windows Server 2003)
 従来の管理用テンプレートを追加または削除する (Windows Server 2008)
 従来の管理用テンプレートを追加または削除する (Windows Server 2008 R2)

■グループポリシー設定画面例

[設定]

 有効 :自動適用をブロック
 無効 :自動適用を許可
 未構成:自動適用を許可

グループ ポリシー管理を行っている場合は、この方法を利用するのが効率的です。

上記の 3つの方法で行っているのは、クライアント PC 側に以下のレジストリを設定することです。
上記の方法以外でも、クライアント PC にレジストリを設定することで自動でのService Pack 適用を
ブロックすることができます。

 HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
 [DoNotAllowSP]
 [1]

===================================

Windows 7, Windows Server 2008 R2 は SP1 提供前から非常に多くのお客様に採用、展開を進めていただいています。
第1四半期中にリリースされる SP1 も是非、早期に展開できるよう、今から SP1 RC での検証もご検討ください。