Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい

投稿者: | 2019年1月19日

Windows Updateは止めたい、でも Defender は使いたい

Windows Server 2016 を利用していて、『Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい』という場面があります。

これに対する解決策です。

Windows Defender のパターンファイルのアップデートは、Windows Update で配られてきます。これだけを手動で行えば、Windows Updateを止めてもいいことになります。

結論として、コマンドで実施できます。
それをバッチ化してタスクスケジューラーに登録すれば、毎日決まった時間に確認~適用ができます。
このサンプルを、この記事に書きます。

Windows Updateについても、「止める」という意味がいくつかあります。
Microsoftが https://blogs.technet.microsoft.com/jpwsus/2017/09/08/wecanstop-wu/ 『Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます 』 という記事を書いています。
これを使った「止める」の画面を、このあとに紹介します。
これは『Windows Udpateをできなくする』という意味の止めるです。つまり、GUI画面からのWindows Updateもできなくなってしまいます。これだと「半年に1回くらい、手動で適用したい。勝手に適用された困るだけなのに」という人には向きません。
多くの場合はこのタイプだと思います。

もうひとつ、Windows Updateのチェックだけはしてダウンロードから適用はボタンを押さないとできないという、「止める」もあるでしょう。
これが現実的です。この方法も記載します。

「設定」から「Windows Update」を開くと、『今すぐインストール』のボタンがあり、その下に「更新プログラムの設定」で『利用可能な更新プログラムが自動的にダウンロードされ、インストールされます。』という文言があります。これは放っておいたら勝手にインストールされてしまうように読み取れます。実際にそうなるかは試していないのでわかりません。何も設定しなくても、インストールはされず、ダウンロードされただけで止まっているのかもしれません。そのよくわからない状態よりは明示的に「ダウンロードする前で止める」ほうがよいと思います。
追記:放置したら翌日にはインストールされ、再起動待ち(アクティブ時間後を待つ状態)になっていました。

Windows Defender のパターンファイルの手動アップデート

コマンドは以下です。


C:\Progra~1\Window~1\MpCmdRun.exe -SignatureUpdate -MMPC

関連するパラメータを、helpから引用します。


-SignatureUpdate
Checks for new definition updates

[-MMPC]
Performs update directly from Microsoft Malware Protection Center


-MMPC を指定したほうが最新版をダウンロードしやすいという記事を見たので、つけています。

ネットの記事によっては、先にパターンファイルのremoveを行うバッチが紹介されているところもありましたが、Windowsの復元に影響することがある等書かれていたので、適用が失敗したようなケースで利用すればいいのでしょう。
なお、過去の Windows 8.1 で同じようなバッチでのアップデートをやっていたことがありますが、問題になった記憶はありません。

C:\Progra~1\Window~1 としているのは、コマンドを ” で囲むのが面倒だからです。

Windows Defender のアップデートをタスクスケジューラーに登録

これは普通にタスクスケジューラーに入れてやればいいでしょう。
SYSTEM権限で実行します。
日頃は電源を落としておくマシンであれば、OS起動後とかログイン後に一定時間遅延させて実行してやるのも手です。

タスクに登録するので、C:\taskbatch とか適当なフォルダを作って、defenderupdate.bat など、適当なな名前のバッチファイルを作りましょう。

念のため、C:\Progra~1\Window~1 のディレクトリに MpCmdRun.exe があるかを確認してください。


dir C:\Progra~1\Window~1\MpCmdRun.exe

メモ帳で defenderupdate.bat を編集します。
各コマンドは以下。


C:\Progra~1\Window~1\MpCmdRun.exe -SignatureUpdate -MMPC

書き終わったら保存して、タスクスケジューラを開きます。

左ペインのタスクスケジューラ(ローカル)の中の「タスクスケジュラーライブラリ」を選びます。中央ペインで右クリックし、「新しいタスクの作成」を選びます。

「全般」タブでは、ユーザーまたはグループの変更で「SYSTEM」を選び、「最上位の特権で実行する」にします。

「トリガー」タブを選んで「新規」から開始時間を設定します。
以下は、毎日8:30から実行させる例です。

「OK」で戻ったらトリガーが入っていることを確認して、次は「操作」タブをクリックします。

「操作」タブの中で「新規」をクリックし、先ほどのバッチを「プログラム/スクリプト」に入れて「OK」をクリックします。

プログラムの開始で、先ほどのバッチが登録されていることを確認して「OK」をクリックします。

タスクスケジューラに登録されたことを確認して、あとは閉じるでもログオフでもして、時を待ちます。

タスクスケジューラで「この操作を正しく終了しました。(0x0) 」が出ていれば、実行されています。

ログも確認してみましょう。


start c:\Windows\Temp\MpCmdRun.log

ログの内容にエラーがないことを確認します。

Windows Update を出来なくする(止める)

さっきの、出来なくするというほうの「止める」です。

これはドメインのグループポリシーまたはローカルポリシーで設定します。要再起動でした。
こちらの例は、 gpedit でローカルポリシーを設定しています。同様の項目がドメインの GPO にもあります。


gpedit.msc

項目は、「コンピューターの管理」 > 「管理用テンプレート」 > 「Windowsコンポーネント」 > 「Windows Update」 の中にある『Windows Updateのすべての機能へのアクセスを削除する』です。

これを「有効」にして、「適用」し、「OK」すれば設定ができます。
(サーバを再起動します)

再起動後、「更新プログラムのチェック」も「今すぐインストール」のクリックできません。
たしかに、Windows Updateは止められたようです。

いや、ちょっと待ってください。そこまでは頼んでないよ…という人は、以下を。

Windows Update のダウンロードをしないようにする(止める)

さっきの、ダウンロードをしないようにして、手動で適用できるようにするほうの「止める」です。

これはドメインのグループポリシーまたはローカルポリシーで設定します。要再起動でした。
こちらの例は、ドメインの GPO で設定しています。gpedit でローカルポリシーを設定しても同様です。

該当するOUにリンクされたGPOを「グループポリシー管理エディター」で開きます。

該当箇所は、「コンピューターの管理」 > 「ポリシー」 > 「管理用テンプレート」 > 「Windowsコンポーネント」 > 「Windows Update」 の中にある『自動更新を構成する』です。

この「自動更新を構成する」で、「2 – ダウンロードと自動インストールを通知」を選びます。

これを設定して、(念のため) 適用されるサーバのほうで gpupdate /force をやってから、再起動します。

こちらは以下のように「ダウンロード」というボタンになり、ダウンロードもされていないと思われる状態です。

僕らが求めているのはきっと、これです。

Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい」への1件のフィードバック

  1. ピンバック: 続:Windows Updateは止めたいけれど、Windows Defender を利用しているので、Defender のパターンファイルは適用したい – 湘南藤沢.ネット

コメントは停止中です。