Windowsのオフラインアップデート

suuei
目次

オフラインなWindows Serverをある程度までアップデートする方法のメモ (Windows 10でも行けるかも?)

※完全な手順ではない可能性があるため、基本的に自己責任でお願いします。

必要なもの

  • インターネットに繋がったPC
    • 証明書の更新も行う場合は、Windows PC (certutil.exeが使えること)

Windows自体のアップデート

最近のWindowsでは、OS自体のパッチが累積更新プログラム(Cumulative Update)として公開されているため、最新のパッケージを導入すれば一気に最新版までアップデートすることができる。

といいつつ、実は累積更新プログラムの適用にはサービススタック更新プログラム(SSU)を事前に当てる必要があるため、まずはSSUをダウンロードする。

SSUのダウンロード

SSUの更新も累積更新プログラムと同様に、最新のものだけを導入すればよい。またインストール後の再起動は不要。

最新版のSSUは以下のページからダウンロードできるため、インターネット接続できるPCから以下のページにアクセスする。
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV990001
ページを開いたら、下の方の「セキュリティ更新プログラム」セクションまでスクロールする。
その後、リストの製品の中からアップデート対象のOSを探し、右側のServicingStackUpdateのリンクをクリックする。
今回は(サーバコアインストールじゃない)Windows Server 2016を更新するため、以下画像の赤線部分をクリックする。

SSUリスト

すると、Microsoft Updateカタログのページに飛ぶため、再びリストの製品の中からアップデート対象のOSを探し、右側のダウンロードボタンをクリックする。

Microsoft Updateカタログ

ポップアップした画面にあるリンクをクリックしてSSUをダウンロード。

SSUダウンロード画面

ダウンロードされたファイルをUSBメモリなどでアップデート対象のPCに転送し、実行してインストールする。

LCUのダウンロード

次は、最新版の累積更新プログラム(LCU)をダウンロードする。
LCUは以下のページのようなWindowsの更新履歴がまとまったページを使うと探しやすい。
https://support.microsoft.com/en-us/topic/windows-10-and-windows-server-2016-update-history-4acfbc84-a290-1b54-536a-1c0430e9f3fd
このページはWindows Server 2016用のページのため、Windows Server 2019など別のOSのLCUを調べる場合は、左のリストから該当OSのupdate historyページを開く。

次に、左側のメニューから一番上のKBのページを開く。

update historyのリスト

開いたページの下の方、Install this updateセクションのMicrosoft Update Catalogのリンクをクリックする。

update historyのリンク

すると、Microsoft Updateカタログのページに飛ぶため、SSUと同様に再びリストの製品の中からアップデート対象のOSを探し、右側のダウンロードボタンをクリックする。
ポップアップした画面にあるリンクをクリックしてLCUをダウンロード。

ダウンロードされたファイルをUSBメモリなどでアップデート対象のPCに転送し、実行してインストールする。

以上でWindows OS自体のアップデートは完了。

ルート証明書の更新

最近のWindowsでは、SSLのルート証明書の更新がパッケージとして配布されていない。
インターネットに接続されていればWindows Updateから自動的に最新のリストを持ってくるようだが、インターネットに繋がっていなければ上記の手順でOSをアップデートしてもルート証明書は古いままである。

ルート証明書が古いままだと、一部のソフトは証明書の検証に失敗して実行できなかったりするため、なるべくルート証明書も更新しておくことが望ましい。

Windows Updateが提供している最新版のルート証明書は、インターネットに繋がっているPCで以下のコマンドを実行すると取得できる。

certutil.exe -generateSSTFromWU roots.sst

カレントディレクトリにroots.sstが生成されるため、アップデート対象のPCに転送する。

アップデート対象のPCでは、certlm.mscを開いて、以下のように信頼されたルート証明書のインポート画面を開く。

ルート証明書のインポート

インポートするファイルの選択画面では、ファイルの種類をsstに変更しないと表示されないため注意。

ルート証明書のインポート2

インポートが完了したらルート証明書が追加されていることを確認する。

ウィルス対策系のアップデート

インターネットに接続されていない端末だとあまり必要性は感じないが、調べたためメモしておく。

悪意のあるソフトウェアの削除ツール

最新版の悪意のあるソフトウェアの削除ツールは以下のページから辿ってダウンロードできる。
https://support.microsoft.com/ja-jp/topic/kb890830-ba51b71f-39cd-cdec-73eb-61979b0661e0

かなり下のMicrosoft ダウンロード センターのセクションから対象PCのビット数を選んでダウンロード、転送、インストールする。

悪意のあるソフトウェアの削除ツールダウンロードページ

Microsoft Defender

※完全に未確認。

以下の両方をインストールする必要がありそう。

Microsoft Defenderウイルス対策プラットフォーム更新プログラム

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4052623

定義ファイル

https://www.microsoft.com/en-us/wdsi/defenderupdates