Windows Server 2012/2012 R2のESUに“抜け道”なし――サポートが終了したOSをセキュアに保つ正規の方法とは検証! Microsoft&Windowsセキュリティ(9)

Windows Server 2012/2012 R2に対して「拡張セキュリティ更新プログラム(ESU)」を通じて提供される「セキュリティ更新プログラム」は、Microsoft Updateカタログから誰でもダウンロード可能です。しかし、それをインストールするには“ESUを利用する権利”が必要です。ESUを知らずにセキュリティ更新プログラムを入手、インストールした場合、どうなるのでしょうか。検証してみました。

» 2024年01月30日 05時00分 公開
[山市良テクニカルライター]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「検証! Microsoft&Windowsセキュリティ」のインデックス

検証! Microsoft&Windowsセキュリティ

ESUを利用するにはインスタンスをAzureに移行するか、ESUを購入する必要あり

 2023年10月10日に製品サポートが終了した「Windows Server 2012/2012 R2」に対しては、1年目の「拡張セキュリティ更新プログラム(Extended Security Update、ESU)」が提供されています。

 ESUは最大3年間利用可能で、2026年10月までWindows Server 2012/2012 R2のセキュリティ更新プログラムを受け取ることができます。ESUは「SQL Server 2012」にも用意されており、2023年7月から2年目のESUが提供されています。Windows Serverの場合は「緊急」または「重大」と評価されているセキュリティ問題が、SQL Serverの場合は「緊急」と評価されているセキュリティ問題が対象になっています。

 ESUは「Microsoft Azure」(以下、Azure)上のインスタンス(Azure VM《仮想マシン》にインストールされているインスタンス)には無料で提供され、Azure以外(オンプレミスの物理/仮想マシン、他社クラウド上のインスタンス)には「Windows Serverソフトウェアアシュアランス(SA)」契約者に対して販売されています。ESUは年単位で購入する他、「Azure Arc」を通じた月次サブスクリプションでも利用できます。

 Windows Server 2012/2012 R2でESUのセキュリティ更新プログラムを受け取るには、「ESUライセンス準備パッケージ(KB5017220またはKB5017221)」をインストールする必要があります。

 Azure上のインスタンスは、そのまま「Windows Update」や「Windows Server Update Services(WSUS)」を通じてESUのセキュリティ更新プログラム(Monthly Rollup)を受け取ることができます(画面1)。Azure以外の場合は、さらにESUの購入と「ESUライセンスキー」の入手、ESUライセンスキーのインストールが必要になります。いずれにも該当しない場合は、ESUの更新プログラムは提供されません(画面2)。

画面1 画面1 Azure上のWindows Server 2012 R2インスタンスには、Windows Updateを通じて2023年11月のセキュリティおよび品質ロールアップ(.NET Framework用およびWindows Server用)が提供された
画面2 画面2 ESUを利用できないWindows Server 2012/2012 R2には、2023年11月以降のセキュリティ更新プログラムは提供されない。2023年10月のものが最後のセキュリティ更新プログラム

Windows Server ESUの更新プログラムパッケージはダウンロード自由だけど……

 Windows Server 2012/2012 R2に対し、ESUを通じて毎月リリースされるセキュリティ更新プログラムは、「更新履歴(update history)」のWebページで確認できます。

 各更新プログラムのリリース情報を見ればすぐに分かりますが、更新プログラムの「Microsoft Updateスタンドアロンパッケージ(.msu)」は「Microsoft Updateカタログ」サイトから誰でもダウンロードできます。

 ちなみに、SQL ServerのESUのセキュリティ更新プログラムは、Microsoft Updateカタログでは公開されていません。Azure上のインスタンスの場合は、Windows Updateを通じて提供され、Azure以外のインスタンスの場合は「Azureポータル」にSQL Serverを登録し、ダウンロードリンクを入手する必要があります。

ESUなしでESUの更新プログラムのインストールを試みることは“時間の無駄”

 Windows Server 2012/2012 R2のサポート終了は知っていても、ESUをよく知らず、ESU前提の更新プログラムのリリース情報にたどり着いた人の中には、月次更新プログラムがまだ利用可能と勘違いし、ダウンロードとインストールを試みるかもしれません。そうした場合、いったいどうなるのか、実際にやってみました。

 Microsoft Updateカタログサイトから「2023年11月のWindows Server 2012 R2のセキュリティ更新プログラム(KB5032249)」のパッケージをダウンロードして実行してみると、インストールがブロックされたり、エラーになったりすることなく、「インストールの完了」まで進みました(画面3)。

画面3 画面3 このまま「インストールの完了/今すぐ再起動」のページまで問題なく進んだ

 「今すぐ再起動」をクリックして再起動すると、何度か再起動を挟んで「更新プログラムを構成しています」の画面で進捗(しんちょく)が90%以上進み、もうすぐ100%というところで「Windows更新プログラムを構成できませんでした 変更を元に戻しています」と表示され、更新前の状態にロールバックされてしまいました(画面4)。

画面4 画面4 インストールは90%台終盤で失敗し、更新前の状態にロールバックされてしまった

 ロールバック後、Windows Updateの「更新履歴」や「イベントログ(システム)」を確認すると、「0x800F0922」エラーで失敗したことが記録されていました(画面5)。

画面5 画面5 「更新の履歴」と「イベントログ(システム)」には「0x800F0922」エラーによるインストール失敗が記録されていた

 Windows Server 2012でも「2023年11月のWindows Server 2012のセキュリティ更新プログラム(KB5032247)」のインストールを試みましたが、Windows Server 2012 R2と同様、更新プログラムのインストールがロールバックされ、「0x800F0922」エラーで失敗したことが記録されていました(画面6)。

画面6 画面6 Windows Server 2012向けの「2023年11月のセキュリティ更新プログラム」も、インストールの最終段階で「0x800F0922」エラーで失敗し、ロールバックされた

 さらに、Windows Server 2012 R2の「2023年11月の.NET Frameworkのセキュリティ更新プログラム(KB5032001)」も試してみましたが、3つある更新プログラムのうち再起動を要求しなかった2つはインストール最終段階に失敗し、1つはインストール完了後の再起動中にロールバックされ、いずれも「0x800F0922」エラーを報告していました(画面7)。

画面7 画面7 「2023年11月の.NET Frameworkのセキュリティ更新プログラム」も「0x800F0922」エラーで失敗(KB5031994は再起動中にロールバック)

 今回検証に使用したのは、2023年10月まで何の問題もなくWindows Updateで更新できていたWindows Server 2012/2012 R2のHyper-V仮想マシンであり、ESUは購入していません。全てインストールの最終段階に「0x800F0922」エラーで失敗するということが再現されたため、Windows Update自身のトラブルではないことは明らかです。ESUを購入していない(または、利用していない)Windows Server 2012/2012 R2に、ESUのセキュリティ更新プログラムをインストールしようとしたことが理由と考えて間違いないでしょう。

 今回の検証は、ESUをよく知らない人向けに、一見、利用可能なセキュリティ更新プログラムでも、“ESUなし”では利用できないことを示すためのものです。ESUの更新プログラムをESUなしでインストールする抜け道を探しているわけではありません。「0x800F0922」エラーを解消しようとして、無駄に時間を費やさないよう願います。どうしてもESUのセキュリティ更新プログラムが必要なら、Azureに移行するか、ESUを購入しましょう。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP 2008 to 2024(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。