こんにちは。Windows サポートチームの矢澤です。
今回は Windows Server 2012 のサーバーに WSUS から KB2992611 が再配信されてしまう以下の公開情報に記載されいる以下の既知の問題 4 について本 blog にて補足します。
この更新プログラムを置き換える KB3042058 または別の更新プログラムをインストールして、置き換えられた更新プログラムが削除されると、KB2992611 が既にインストールされていても Windows Update から KB2992611 が提示されます。 この問題は、置き換えられた更新プログラムの削除処理で (KB2992611 と共にインストールされる) 更新プログラム KB3018238 が削除されたために発生します。
Title: [MS14-066]SChannel の脆弱性により、リモートでコードが実行される(2014 年 11 月 11 日)
URL:https://support.microsoft.com/ja-jp/help/2992611/ms14-066-vulnerability-in-schannel-could-allow-remote-code-execution-n
[1] KB2992611 について
Windows Server 2008 R2 および Windows Server 2012 向けの KB2992611 は KB3018238 を含んだ形となっている特殊な更新プログラムです。
[2] KB3018238 について
既知の問題 2 に記載されている通り、KB3018238 は暗号スイートに関する更新プログラムとなり、Windows Server 2008 R2 および Windows Server 2012 向けとして KB2992611 に内包されてリリースされております。
2014 年 11 月 18 日に、Windows Server 2008 R2 および Windows Server 2012 用のリリースに新しい二次パッケージが追加されました。この新しいパッケージは更新プログラム 3018238 です。更新プログラム 3018238 は、セキュリティ更新プログラム 2992611 と共に自動的かつ透過的にインストールされます。
[3] StartComponentCleanup について
Windows 8 / Windows Server 2012 から StartupComponentCleanup という機能が実装されました。この機能は新しい更新プログラムによって置き換えできる更新プログラムがインストールされていることを検知した場合には、端末の容量削減のために古い更新プログラムを自動的に削除する機能となります。なお、削除された更新プログラムはインストール済の更新プログラムからも削除されます。
Title: StartComponentCleanup タスクによる、不要な更新プログラムの削除について
URL:https://blogs.technet.microsoft.com/askcorejp/2015/12/03/startcomponentcleanup/
[4] StartComponentCleanup が動作する仕組み
StartComponentCleanup タスクによって更新プログラムが削除される要件としては以下の 2 点となりますので、上書きするような更新プログラムをインストールしたからといって即座に置き換え対象の更新プログラムが削除されるわけではありません。
・更新プログラムの適用後 30 日以上であること
・30 日経過以後に、更新プログラムの適用や削除が実行されること
[5] 既知の問題 4 について
KB2992611 がインストールされている環境において、KB3018238 を置き換えるような更新プログラムがインストールされ、[4] の条件が満たされると、StartComponentCleanup が動作し KB3018238 を削除します。StartComponentCleanup によって KB3018238 が削除されると、この更新プログラムを内包している KB2992611 が完全にインストールされていないとみなされ、WSUS から KB2992611 が再配信されます。
これが既知の問題 4 に記載されている内容となり、StartComponentCleanup の機能を持つ Windows Server 2012 のみで事象が発生します。
[6] 対処策1:対象の更新プログラムを「拒否」にする
以下の手順により KB2992611 を WSUS 上で「拒否済み」状態とし、KB2992611 の再配信を停止します。
1. WSUS 管理コンソールを起動して、左ペインのツリーより [更新] をクリックします。
2. 右ペインの [検索] をクリックします。
3. 検索ボックスに 2992611 を入力して [検索] をクリックします。
4. 検索結果に一致する更新プログラムが表示されますので、KB2992611 を右クリックし [拒否] をクリックします。
[7] 対処策2:配信された更新プログラムを「非表示」にする
WSUS から配信された更新プログラム KB2992611 をクライアント側で「非表示」にして、自動適用や表示上の対象外とします。下記の公開情報にて紹介している手順にて、更新プログラムを「非表示」にすることが可能です。クライアント OS 向けに公開している情報となりますが、Windows Server 2012 でも同様の手順となります。
Title: Windows 7 の Windows Update で更新プログラムが検出された場合に、更新プログラムを非表示に設定することでインストール対象から除外する方法
URL:https://support.microsoft.com/ja-jp/help/2463965
[8] その他の事例
2018 年 9 月現在、他の更新プログラムによって同様の事象が発生したという報告は確認できておりません。