2019年1月WindowsUpdateの影響(Windows7) - treedown’s Report

treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

2019年1月WindowsUpdateの影響(Windows7)

WindowsUpdate

前回<2019年1月:本年最初のWindowsUpdate - treedown’s Report>のWindows Updateから、さらにWindows7について確認してみましたのでご報告。
Windows7はというかWindows Server2008(R2も)の今月のアップデートは結構厳しいですね。

三連休前に軽く検証してみました。

不具合が三件

今月のWindows Update適用による不具合は大きく分けて三件あるようです。

  1. ネットワークドライバの不具合で通信ができなくなる
  2. Windows内で共有しているフォルダやプリンタに接続できなくなる
  3. 突如ライセンス認証エラーとなりライセンス認証されていない状態になる(「正規品ではありません」と表示される)

方々で報じられているのは大きくこの三点のようです。

※2019-01-16追記:
上述の(3)突如ライセンス認証エラーとなりライセンス認証されていない状態になる(「正規品ではありません」と表示される)の症状はWindows Updateとは無関係であることが方々で話題になっています。ちょうどMicrosoft(側に設置)のライセンス認証サーバの仕様変更がWindows Updateの定例更新公開日とタイミングが同じだった、と言うだけのオチ。紛らわしいですね…。

一番深刻なのは

結論から言うと「Windows内で共有しているフォルダやプリンタに接続できなくなる」が一番かなぁと思います。

「ネットワークドライバの不具合で通信ができなくなる」件は去年の上半期からずーっと継続しているもの。デバイスマネージャ(devmgmt.msc)を起動して「ハードウェア変更のスキャン」をクリックすればとりあえずのところは元に戻る(MSでもその操作を対処法として挙げている)ことから、影響は軽微(と、いっても対象になるPC台数が多ければ対処は困難ですが)と言えます。

f:id:treedown:20190111151047p:plain

「突如ライセンス認証エラーとなりライセンス認証されていない状態になる(「正規品ではありません」と表示される)」というのは、どうも見た感じ、KMSでライセンス認証をしているWindows7が対象のように思えます。

※追記:ライセンス認証エラーになる件の情報ページ:
https://support.microsoft.com/ja-jp/help/4487266/activation-failures-and-not-genuine-notifications-on-vl-win-7-kms-clie

実際利用している環境では、MAKでライセンス認証をしているWindows7(しかない)環境なので対象になるPCがない状況。そのような報告もないのでとりあえずは出会ったときに思い出せるようにしておく。

と、なると、
「ネットワークの共有フォルダやネットワークプリンタに接続できなくなる、という症状」
ってのが深刻ですね。幸いWindows7ユーザにPC単体でフォルダ共有を使っているユーザが居ないことは幸いしていますけど。

試してみた。

さっそくですが、一番気になる「ネットワークの共有フォルダやネットワークプリンタに接続できなくなる、という症状」について、動作を確認してみました。

まずは、今月のWindows Updateパッチ品質ロールアップのKB4480970(セキュリティのみの更新プログラムKB4480960でもこの現象は起きるそうです。)が適用されたWindows7で、仮に共有を設定。

f:id:treedown:20190111151211p:plain

tempという共有をAuthenticated Usersグループがアクセス可能なように共有設定、NTFSのアクセス権は考慮しないようEveryoneフルコントロールにしてあります。
このAuthenticated Usersグループの指定があれば「認証されたユーザすべて」という指定になるため、アクセス権としては誰でもというわけでもなくそのPCを使えるユーザという範囲でアクセス許可を出せることになります。

で、これでもって、二種類のユーザでアクセスしてみました。

ローカルAdministratorsグループに所属しているユーザが共有を開こうとするとエラー

f:id:treedown:20190111151231p:plain

-------------------------------------------------------
[Window Title]
フォルダーを開く

[Content]
\\*******2 にアクセスできません。このネットワーク リソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。

ハンドルが無効です。
-------------------------------------------------------
になります。

一方、Usersグループに所属している(ローカルAdministratorsグループではない)ユーザでアクセスすると、エラーにはならず、共有を開くことができます。

f:id:treedown:20190111151250p:plain

同じWindows7へのアクセスであっても「問題が起きるのは"ローカルAdministratorsグループに所属しているユーザID"」で発生することが分かります。

ん?、てことは、ローカルAdministratorsグループに所属しているユーザ以外でアクセスすればいい、ってことじゃないか?
というか、ネットワーク経由でのアクセスはローカルAdministratorsグループを使わずに別途アクセス制御グループが作られているのであれば問題にならないってことか。

よく見たらきっちりそう書いてありました。

https://blogs.technet.microsoft.com/jpntsblog/2019/01/10/2019_1b_ntlm/

ひとまず該当しそうな環境はなくて大丈夫そう。

とりあえずの対処法が知りたい

他のブログなどでは「レジストリ変更」あるいは「更新プログラム(該当KB)の削除」が対処法として挙げられています。
どっちもイヤな場合にあと残された対処法は、「共有フォルダのアクセス権を別途セキュリティグループを作成してアクセス権を設定する」ってことじゃないでしょうか。ローカルAdministratorsグループに所属するユーザIDがアクセスできない、という現象なので、ローカルAdministratorsグループ以外のユーザIDで共有資源にアクセスすればいいんじゃないかと(影響を受けているのは管理者だけだろうし)

他にも対処方法はあると思いますけど、当方の環境では影響しない不具合(の現象)だったため、検証は「該当環境がないため検証完了」となりました。

自分の環境を振り返ってみる(考えたこと)

問題になりそうなのは、

  1. ローカルAdministratorsグループ所属のユーザIDを普段使いしている(管理者権限を持つユーザで普段からログオンしてPCを利用)
  2. そのユーザが共有フォルダでネットワーク内に共有資源を提供している。
  3. 小規模なのできちんとしたアクセス制御していない。(アクセス許可をアクセス用のセキュリティグループを作成してアクセス権管理していないケース)

の条件に当てはまるとこの問題の直撃を受けそうってことになるんですね。

で、ポイントはWindows7の話題でこれが挙げられていることが多いのですが、対象はWindows Server 2008 R2 SP1とWindows Server 2008 SP2も含まれている、ということ。
上記サポートページでは「Windows 8/Windows Server 2012 以降の OS では本問題は発生しません。」と記載があるので、Windows8.1/10や2008じゃないサポート中のWindows Serverでは問題は発生しないってことになります。

よっぽど古い環境をファイルサーバとして細々と使い続けているような環境でもない限り、問題はでないか…、と思いましたけども、そういやテスト環境でWindows Server 2008 R2をファイルサーバにした環境があったなぁ、と思いだしました。
でも、その環境は、「Active Directory」で「ドメイン環境を構築している」というテスト環境のファイルサーバなので、今回の対象となる「ローカルアカウント(ローカル管理者アカウント)」を利用していない環境、つまりサポートページにある
「ドメイン アカウントを用いてアクセスした場合には、この事象は発生しません。」
という条件に該当します。

実は、SOHO(とか他の管理対象となるサーバ)のメインで利用しているファイルサーバはどれも
「DebianをOSに構築したsamba4のファイルサーバ」
ばっかりなんですよね。Windows Serverってそんなにたくさん使ってない。
Active Directoryもメイン環境のほうはsamba4のActive Directory機能を利用していてWindows Serverを利用していない、という事情があって、あまり今回の問題には該当しない、ってのがあります。

まとめ

うーん、なんか気持ち悪いけど、

「パッと思いついて臨時でWindows7でフォルダやプリンタを共有するときには、エラーになるもしれないから注意が必要」

という事を覚えておくようにします。
でもローカルAdministratorsグループを使わない共有を作成するようにしておけば、この問題の影響はそれほど受けないってことも覚えておくといいかも。
いやあ、でもなぁ、1人しか使わない家のPC(が複数台あるケース)だと、ローカルAdministratorsグループで普段使いしちゃいますよね。

一番心配なのは、「MSがこの件を放置してWindows7のサポート期限切れまで逃げ切るんじゃ…?」ってのはちょっと心配しています。

※後日追記(19-01-12):

MSが上記の共有資源接続問題解消の更新プログラムをリリースしたようです。

詳しくは以下、(見たときには英語ページだったけど)

https://support.microsoft.com/ja-jp/help/4487345/update-for-windows-7-sp1-and-windows-server-2008-r2

ちなみに手動でのダウンロードページ(Microsoft Update Catalog)

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4487345

イキナリ適用というのもちょっと気になるけど、試せる環境でインストールしてみようかな。

さっそく試してみました。

blog.treedown.net

続きは↑こちらで。