この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、たぬき @tanuki_tzp です。
概要
Windows OS がインストールされている EC2 インスタンスで、Windows Update 更新プログラムの適応をAWS Systems Manager の Patch Manager を使用して実施していました。
Patch Manager のタスク履歴を確認すると、ステータスはOKでした。
しかし、EC2 インスタンスを確認すると、Patch Manager で指定したスケジュールよりも早いタイミングで更新プログラムが適応されていることが判明しました。
確認する点
Windows OS では、Windows Update 更新プログラムの適応タイミングについて、OS 側の設定が優先されるようになっています。
AWS Systems Manager の Patch Manager のスケジュールより、実際の更新プログラムの適応のタイミングが早い場合は、Windows OS 側のローカルグループポリシーの [自動更新を構成する] が "有効" になっているかを確認してください。
"有効" の場合、Windows OS は自動で更新プログラムのインストールを行うため、予定されているスケジュールより早いタイミングでインストールが実行される可能性があります。
Patch Manager は更新プログラムのインストールを実施しますが、既に該当の更新プログラムが適応されている場合、インストール動作はしないでステータス: OK を返します。
また、ポリシーが "未構成" の場合はポリシーそれぞれのデフォルトの動作をします。
[自動更新を構成する] 設定のデフォルトの動作は以下になります。
(既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。
Windows がコンピューターに適用する更新プログラムを見つけてバックグラウンドでダウンロードする (ユーザーには通知しません。この処理中ユーザーの作業は中断されません)。
ダウンロードが完了したら、インストールする準備ができたことをユーザーに通知します。
ユーザーは Windows Update にアクセスして更新プログラムをインストールできます。インストールは自動実行されないものの、ダウンロードは完了している状態ですので、誤操作で手動インストールが開始してしまう可能性があります。
まとめ
AWS Systems Manager の Patch Manager で Windows Update 更新プログラムの適応のタイミングを制御したい場合は、ローカルグループポリシーの [自動更新を構成する] を明示的に "無効" に設定してください。
2
