treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

今月(2019年7月以降)Windows7のクリーンインストール後のWU作業手順確認

今月2019年7月からは、リカバリ直後のWindows7はSHA-2対応ではないので、Windows Updateができない(はず)
気になったので動作を確認してみようと思い、7月18日に簡単にテスト環境を作って動作確認をしましたのでご報告です。※検証は結局失敗しましたが。

うーん、ただ、今更Windows7の再インストールやリカバリなんてやる人いるんだろうか…。下手すると誰得な内容になりそうな気がしてきました。

まずは環境の準備

Windows7(SP1)をクリーンインストールします。

f:id:treedown:20190718182226p:plain
ひとまず、ライセンス認証は実行せず、テスト的に環境を用意します。
インストール後に、Windows Updateが動作するかどうか、ですね。

手順は、以前の<(1/2)2016年12月版Windows7リカバリ後のWindowsUpdate手順 - treedown’s Report>と<(2/2)2016年12月版Windows7リカバリ後のWindowsUpdate手順 - treedown’s Report>で確認した手順となる

  1. アップデートUpdate for Windows 7 (KB3177467)
  2. ロールアップパッケージUpdate for Windows 7 (KB3125574)
  3. アップデートUpdate for Windows 7 (KB3172605)
  4. MicrosoftUpdate有効化とInternet Explorerのインストール
  5. Windows Updateを実行

この手順を実行後に、Windows Updateが動作するか、を確認してみようと思います。
以下にある以前の記事
■2019年7月以降にWindows7のWindows Updateが出来なくなる条件https://blog.treedown.net/entry/2019/03/04/010000

■2019年3月Windows7のWindows UpdateはKB4490628が重要https://blog.treedown.net/entry/2019/03/14/010000

ここで、SHA-1廃止⇒SHA-2への更新が必須となる、という話がありました。
Windows7は今年の7月以降SHA-2への更新プログラムが適用されていないとWindows Updateが動作しなくなる、ということになっています。そのため、いままでの手順だけではWindows7のクリーンインストール直後にWindows Updateは動作しないはず。

早速KBインストールで確認

手早く、今までのクリーンインストール直後の作業を終わらせていきます。
各KBはMicrosoft Update Catalogサイトでダウンロード済の状態にし、実際の更新プログラムの適用作業は(自動更新が動作して余計なエラーを出さないために)オフラインで実行するようにします。

さっそく以下の順番で適用していきます。
1:アップデートUpdate for Windows 7 (KB3177467)

f:id:treedown:20190718182353p:plain
2:ロールアップパッケージUpdate for Windows 7 (KB3125574)

f:id:treedown:20190718182404p:plain
これは累積的な更新プログラムなのでちょっと長い

f:id:treedown:20190718182420p:plain
完了後、

f:id:treedown:20190718182435p:plain
再起動が必要になりますので、OSを再起動します。

3:アップデートUpdate for Windows 7 (KB3172605)

f:id:treedown:20190718182451p:plain
これも再起動が要求されます。
これ以降はオンラインで作業をします。

4:MicrosoftUpdate有効化とInternet Explorerのインストール

Windows Update前に
Windows7インストール直後はMicrosoft Updateじゃない - treedown’s Report
の手順で、Microsoft Updateを有効化しておきます。
Microsoft Updateを有効化すると、自動的にWindows Updateの「更新プログラムを確認しています...」が動作し始めます。
※あ、Internet Explorerのインストール手順をスキップしちゃったけど、後で実行ってことでまあいいか。

5:Windows Updateを実行

自動的に動作し始めたWindows Update、「更新プログラムを確認しています...」の状態でかなり待つことになります。

f:id:treedown:20190718183949p:plain
しかし、2019年7月現在では、SHA-2への更新プログラムが適用されていないWindows7環境ではWindows Updateが動作しないはず、ここでエラーがでれば思った通りの動作となりますが…

f:id:treedown:20190718184037p:plain
はて。重要な更新プログラムが検出されてしまいました。

更新プログラムのインストールを実行してみることにします。

f:id:treedown:20190718184052p:plain
ダウンロードが開始しました。

f:id:treedown:20190718184137p:plain
ダウンロードが完了すると、インストールのフェーズに移行、なんかスムーズにWindows Updateが動作しているような…。

f:id:treedown:20190718184203p:plain
予想に反して、Windows Updateで更新プログラムのインストールが何のエラーもなく動作しはじめてしまいました。

f:id:treedown:20190718184228p:plain
完了しました。失敗が1個あるけど他は適用が正常終了してしまいました。
再起動してみます。

再起動後、適用に失敗した(とおぼしき)更新プログラムの適用を促されるので、適用を実施。

f:id:treedown:20190718184244p:plain
適用後、特に再起動も要求されず、重要な更新プログラムの確認を再度実施すると

f:id:treedown:20190718184307p:plain
サービススタック更新プログラムを適用するよう促されました。

f:id:treedown:20190718184332p:plain
これは、SHA-2への更新プログラムです。うーむ。手動で適用しなくても、Windows Updateで降ってくるのか…、早速適用してみると、

f:id:treedown:20190718184351p:plain
あっさりと適用完了してしまいました。
ここから、最新となる2019-07で始まる更新プログラム(とその他)の適用が検出されて

f:id:treedown:20190718184442p:plain

もう更新プログラムは検出されず。

動作させるには、手動でSHA-2更新…のはずなのが

結局、7月18日現在では
https://www.catalog.update.microsoft.com/search.aspx?q=4490628
で公開されているSHA-2への更新プログラム「2019-03 Windows 7 サービス スタック更新プログラム (KB4490628)」と
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419
で公開されている「2019-03 x64 ベース システム用 Windows 7 のセキュリティ更新プログラム (KB4474419)」の二つの更新プログラムをインストールすることなく、Windows Updateの更新プログラム適用は完了してしまいました。
※正確には、Rollupパッケージを適用後に動作したWindows Updateで自然に適用されていった、という方が正しいのですが。

確認した時期が悪かったのかなぁ…。

ただ、改めて<https://support.microsoft.com/ja-jp/help/4490628/servicing-stack-update-for-windows-7-sp1-and-windows-server-2008-r2>を読んでみると、

更新プログラムKB4490628でKB3177467が置き換えられる、という記載があるので、単純に、前述の手順の一番最初の「KB3177467」適用を「KB4490628」と入れ替えるだけでよさそうな感じがしてきました。
このため、(まだ検証してないけど)2019年7月以降のWindows7リカバリ後のWindowsUpdate手順としては、

  1. サービス スタック更新プログラム for Windows 7 (KB4490628)適用
  2. ロールアップパッケージUpdate for Windows 7 (KB3125574)適用
  3. アップデートUpdate for Windows 7 (KB3172605)適用
  4. アップデートUpdate for Windows 7 (KB4474419)適用
  5. MicrosoftUpdate有効化とInternet Explorerのインストール
  6. Windows Updateを実行

という順番で実行することになりそうです。

今回手順に追加したSHA-2への更新プログラムは、最初の適用手順となるKB3177467を置き換えた
2019-03 Windows 7 サービス スタック更新プログラム (KB4490628)

2019-03 x64 ベース システム用 Windows 7 のセキュリティ更新プログラム (KB4474419)
の二つです。

また来月の更新プログラム公開後に(SHA-2対応してないWindows Updateがホントに使えなくなっているかを)検証してみようかなぁと思いました。

※追記:

どうも、SHA-2一本化は9月の更新プログラムから、ということらしい。という記事を発見しました。

Windows 7 SP1/Windows Server 2008 R2 SP1はSHA-2コード署名への対応を ~MSが注意喚起 - 窓の杜