Insider's Eye 【改訂版】 IE 7自動配布の基礎知識（2） デジタルアドバンテージ 2007/03/28 2008/01/31（改訂）

IE 7の自動更新プロセス

　前記のケースでIE 7の自動配信が実施されるが、ユーザーが知らないうちに無条件でIE 7がインストールされてしまうわけではない。IE 7のインストーラは、インストールを開始する直前に、ユーザーに次のようなダイアログを表示し、IE 7のインストール許可をユーザーに求める。

IE 7のインストール時に表示される確認ダイアログ

IE 7の自動配信が通知され、ユーザーがインストールを開始すると、このダイアログが表示される。ここにはインストールを許可するか、許可しないか、後回しにするかを選択できるボタンが用意されている。（画面はマイクロソフトより転載）

IE 7のインストール作業を続行する IE 7をインストールしない。これをクリックすると、IE 7の自動配信は行われなくなる IE 7のインストールを後回しにする。後ほど、再度IE 7のインストール通知が行われる

　ここでのボタン操作により、IE 7のインストールの扱いは次のように分かれる。

IE 7のインストール確認ダイアログのボタン操作と働き

確認ダイアログのボタン操作により、このようにIE 7のインストールの取り扱いが変わる。

■［インストールする］をクリックした場合
　 上記確認ダイアログの［インストールする］ボタン（）をクリックすると、IE 7がコンピュータにインストールされる（IE 6がIE 7にアップグレードされる）。IE 7がインストールされるのはこのボタンを押したときだけである。

　なお、IE 6からIE 7にアップグレードした場合でも、ホームページやお気に入りなど、IE 6で設定した情報の多くはIE 7でもそのまま使える。またIE 7をインストールしてしまっても、必要があれば、IE 7をコントロール・パネルの［プログラムの追加と削除］を使ってアンインストールすることで、従来のIE 6環境を取り戻すことができる。

■［インストールしない］をクリックした場合
　 ［インストールしない］ボタン（）をクリックした場合には、IE 7のインストール処理がキャンセルされる。また、一度［インストールしない］ボタンをクリックしたら、再度IE 7のインストールが促されることはない。従ってユーザーに対し、「IE 7のインストール確認ダイアログが表示されたら、［インストールしない］ボタンをクリックする」とアナウンスしておけば、IE 7のインストールを抑止できることになる。

　［インストールしない］ボタンをクリックした場合でも、必要なら、MU／WUで明示的にインストールを指定する、ダウンロード・センターからIE 7を入手してインストールすることで、IE 7を後からインストールすることは可能である。

■［後で確認する］をクリックした場合
　 ［後で確認する］ボタン（）をクリックすると、その時点でのIE 7のインストールはキャンセルされるが、24時間以内にもう一度IE 7のインストールが促される。

レジストリを変更し、自動更新による配布をブロックする

　前記の確認ダイアログで［インストールしない］ボタンをクリックするように指導することで、IE 7のインストールを抑止できるのだが、これはあくまでユーザーまかせの対応である。残念ながら、ユーザーが常に指導を守ってくれるという保証はない。抑止の完全性を求めるなら、コンピュータのレジストリ値を変更することで、より抜本的にIE 7の自動配布を防止することができる。具体的には、レジストリに以下のキーを作成し、ここにDoNotAllowIE70というDWORD型の値を作成する。

HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\7.0

　この値を1にすると、MU／WUによる自動配布が抑止されるようになる（0にするか、値を削除すると抑止されなくなる）。

Internet Explorer 7の自動更新をブロックする（Windows TIPS）

　マイクロソフトは、このレジストリ値を設定するためのツール（以下Blockerツール）を以下で無償公開している。具体的には、上記のレジストリ値を設定するためのグループ・ポリシー・テンプレートとスクリプトが提供されている。ツール自体は英語版だが、日本語環境でも問題なく実行できる（関連記事も参照のこと）。

• 自動配布の無効化ツールキット（Blocker Toolkit）

　複数のコンピュータに対し、組織的にIE 7の自動配布を抑止したければ、ツールを活用するのが有効だ。なおグループ・ポリシー・テンプレートを利用するには、Active Directoryによるドメインが構成されている必要がある。Active Directory環境でない場合には、付属のスクリプトの方を使って、複数のコンピュータのレジストリ値を一括指定することが可能だ。

Windows Server 2003 SP2の自動更新をブロックする（Windows TIPS） Windows XP SP2のWindows Update／自動更新での適用を一時的に保留する（Windows TIPS）

　同様のツールとして、Windows Server 2003 SP2 ／Windows XP SP3／Windows Vista SP1向けの「Windows Service Pack ブロッカー ツール キット」も提供されている。このツールは、Windows Server 2003 SP2 ／Windows XP SP3／Windows Vista SP1の自動更新での適用を一時的に抑止するもので、一定期間（Windows Server 2003 SP2は2008年3月末、そのほかは提供開始より12カ月間）が過ぎると効果が失われるものである（関連記事参照）。これに対しIE 7のBlockerツールは、いったん設定すると、未来永劫IE 7の自動配布が抑止される。

　なお、上記レジストリ値を設定したコンピュータであっても、MU／WUのカスタム・インストールやダウンロード・センターから入手したインストーラを用いてIE 7を手動でインストールすることは可能である。つまりレジストリ値を設定しても、ユーザーに管理者権限を与えているかぎり、ユーザーが自主的にIE 7をインストールすることを制限できない。

WSUSによる配信が行われないようにする

　前述のようにマイクロソフトは、日本語版の自動更新による配布とほぼ同時にWSUSによる配信も開始する。WSUSでは、「修正プログラム集」のカテゴリで配布されることが明らかになっている。

　管理者が、WSUSに登録された修正プログラムを手動により承認している場合は、IE 7が登録されても、それを承認しないことで、IE 7のインストールをブロックすることが可能だ。しかしWSUSを自動承認に設定していると、IE 7が登録された時点で、自動的に承認が行われ、ほかのセキュリティ修正プログラムなどと同時に、IE 7もインスールされてしまう。WSUSで管理しているため、IE 7の自動更新が行われないと思っていると、いつの間にかIE 7がインストールされてしまった、といった事態も起こりかねないわけだ。

　そこで、WSUSで修正プログラムの管理を行っている場合は、IE 7の配信が行われないように設定する（設定を確認する）必要がある。WSUS 2.0の場合、まず［オプション］−［自動承認のオプション］を開き、「インストールの承認」の［次の規則で自動的に更新プログラムのインストールを承認する］のチェックを有効にする（自動承認を無効にする場合は、このチェックを外しておく）。次に「インストールの承認」の［クラスの追加と削除］ボタンをクリックし、［クラスの追加と削除］ダイアログの「修正プログラム集」のチェックを外し、「修正プログラム集」が自動承認されないようにすればよい。これにより、2月13日になってもIE 7が自動承認され、インストールされてしまうのを防ぐことが可能だ。ただし、この設定を行うと、ほかの修正プログラム集も自動承認されなくなるので注意が必要だ。とはいえ、修正プログラム集自体、それほど頻繁に提供されるわけでもないので、手動による承認にしていても運用上、困ることはないだろう。

WSUS 2.0でIE 7の配信を防ぐための設定

WSUS 2.0で自動承認を有効にしていると、2008年2月13日になってIE 7が自動配信されてしまう可能性がある。設定を確認して、配信を防ぐように再設定した方がよい。

［オプション］−［自動承認のオプション］を開き、［次の規則で自動的に更新プログラムのインストールを承認する］のチェックを有効にする。このチェックが有効でなければ、自動承認が行われない。IE 7を手動で承認しなければ、WSUS 2.0を介してインストールされることはない。 「インストールの承認」の［クラスの追加と削除］ボタンをクリックする→へ

「修正プログラム集」のみ自動承認しないように設定する

IE 7が配布されるカテゴリである「修正プログラム集」を自動承認の対象外とすることで、IE 7が自動配信されるのを防ぐことができる。

［クラスの追加と削除］ダイアログの「修正プログラム集」のチェックを外す。

IE 7自動配布抑止のまとめ

　 以上、組織の管理者を対象として、IE 7の自動配布を抑止する方法について説明した。説明したとおり、IE 7の自動配布の影響が及ぶのは、ユーザーにローカル・コンピュータの管理者権限を与えて、MU／WUをユーザーの責任で実行させている場合である。それ以外のコンピュータは影響を無視してよい。

　上記のケースで、IE 7の自動配布を抑止したければ、以下の4つの手段がある。対応が容易な順に並べると次のようになる。

1．IE 7のインストールが開始されたときに表示されるダイアログで、［インストールしない］ボタンをクリックするようにユーザーに指示する
　 最も簡単な方法は、IE 7インストール開始の確認ダイアログで、各ユーザーに［インストールしない］ボタンをクリックするようにあらかじめ告知しておくことだ。ユーザーがプログラマであるなど、コンピュータ・スキルの高いユーザーが多いのなら、この方法でもあまり問題はないだろう。一度［インストールしない］ボタンをクリックすれば、後で再度インストールが開始されることはない。

　ただしこの方法はユーザーの操作に全面的に依存しており、強制力はない。

2．Blockerツールを利用してレジストリ値を設定する
　 マイクロソフトが無償提供しているBlockerツールを利用してコンピュータのレジストリ値を設定すれば、IE 7の自動配布をそれ以後ずっと抑止できる。特にActive Directory環境があるなら、グループ・ポリシーを利用できるので設定は容易だ。Active Directory環境がない場合でも、付属のスクリプトで一括設定ができる。

3．ユーザーからローカル・コンピュータの管理者権限を奪う
　 通常のアプリケーション実行だけなら、ユーザーに管理者権限を与える必要はない。説明したとおり、管理者権限を持ったユーザーがコンピュータにログオンしないかぎり、IE 7の自動配布は実施されない。ユーザーが持つ権限から管理者権限を削除し、通常のユーザーとしてコンピュータを使ってもらうようにすれば、IE 7の自動配信を抑止できる。

　ただし、管理者権限のないユーザーは、アプリケーションやデバイス・ドライバをコンピュータに追加できないなど、用途によってはコンピュータの使用に重大な制限を加える結果になる可能性はある。

4．WSUSなどの修正プログラム管理を導入する
　 WSUSで管理されているコンピュータは、管理者がWSUSでインストールを承認しないかぎり自動配布されない（自動承認に設定している場合は、上記の設定変更を行うことで、IE 7のインストールをブロックできる）。WSUSを導入すれば、IE 7の自動配布抑止だけでなく、ほかの修正プログラム管理も集中化できるので、最も理想的な対応といえる。

　ただしこれにはWSUS用のサーバ環境を準備するなど、少なくない投資が求められる。

INDEX
	[Insider's Eye]
	【改訂版】IE 7自動配布の基礎知識（1）
	【改訂版】IE 7自動配布の基礎知識（2）

「Insider's Eye」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）