ホーム
ニュース e-mail

業務連絡:Windows10



・最新のisoによるクリーンインストールに合わせ、手順を変更しました。
 − 2018年11月21日 takezou

・最新のisoによるクリーンインストールに合わせ、手順を変更しました。
 − 2018年3月11日 takezou

・手順を一部更新しました。実行するバッチファイルをひとつにしました。
 − 2017年12月10日 takezou

・"1607" という番号の Windows Update を最初に行った場合、無効にしたはずのサービスが起動し、マイクロソフトのビルトインアプリが再度インストールされ、ファイアーウォールのポリシーが上書きされます。さらに、ユーザディレクトリのスタートメニューに作成したショートカットも削除されます。御迷惑をおかけして申し訳ありませんが、【情2-804】にあるとおり 2.以降の再設定を行ってください。バッチファイルを使えば30分ほどで済むと思います。同様に、他の Windows Update の後でも、動作が遅くなったと感じる場合は 2.以降の設定を確認してみてください。
 − 2016年9月20日 takezou

・万が一、Windows Updateへの対策が必要になった場合は、各管理者へ連絡いたします。(【情2-804】)
Windows Updateサービスを実行すると、それがセキュリティ関連のもの以外、例えば、
”Windows 10 Version 1511 for x64-Based Systems 用更新プログラム”
などである場合、まれに、無効にしたサービスが再起動したり、マイクロソフトのビルトインアプリが再度インストールされたり、あるいはファイアーウォールのポリシーが上書きされたりすることがあります。その場合は一部の再設定を行っていただくことになります。
 − 2016年4月16日 takezou

・Windows10がバンドルされているPCを新しく購入した場合も同じ基準に従ってください。(【情2-803】)
 − 2016年1月22日 takezou

・10月1日より適宜、Windows10へのアップグレードを進めてください。(【情2-802】)
面倒ですが少しだけガマンして設定していただけるよう、お願いしたいと思います。
一方、LinuxがインストールされているPCはこれまでどおり社外とのデータの受渡しや基幹業務に用いますので、許可されたアップグレード/アップデート以外はできないようになっています。全てのPCは従来通りこれら二つのカテゴリに分け、用途/接続LAN/持ち出し/USBメモリ接続など、基準に従ってお使いいただくよう、お願いいたします。
 − 2015年9月28日 takezou


【情2-804】
WindowsUpdate によってこれらの設定が上書きされた場合、各PCの管理者は、下記 2.以降の再設定を行うこと。

【情2-803】
Windows10 がバンドルされ納入された新規PC(持ち出し含む)についても、各PCの管理者は、再設定を以下に準じて行うこと。

【情2-802】
Windows8.1 HomeEdition がインストールされたPC(持ち出し含む)について、各PCの管理者は、逐次、Windows10へのアップグレードおよび初期設定を以下のとおり進めること。






_________________________________
_________________________________
_________________________________






<手順>

1. 最新のisoをダウンロードし、Windows10のクリーンインストールを行う。

【プロダクトキーとIDの記録】(通常は不要:万一に備えて)
・プロダクトIDは「システム」で表示される。
・プロダクトキーは、Administratorで以下を実行すると表示される。
  > wmic path SoftwareLicensingService get OA3xOriginalProductKey

【isoファイルからインストール】
<注意>
・パーテションは一旦全て削除し、「新規」を選択する(自動的に複数作成される)。
・インストールの最後に促されるアカウント設定(形式はよく変更される)をデフォルトのまま進めないこと。
  ○「自動」「簡単設定」「サインイン」「マイクロソフトアカウントの作成」を避ける
  ○「マイクロソフトアカウントがない」「オフラインアカウント」「あとで設定」などを選択する
  ○情報の送信に関する選択肢が出てきた場合は全てOFFにする(2.でも設定できる)
・ログインセキュリティの質問には正直な答を入力しないこと。例えば全て「a」にしておく。
(同様の質問は他の重要なセキュリティで使われる可能性が大きい)






これ以降の作業は、インストール直後の自動更新が確実に終わってから行うこと。更新と前後した場合にトラブルの可能性がある。
ユーザアカウントの種類は、これらの作業および必要なアプリケーションのインストールなど全てを終えるまで「管理者」のままが良い。






2.「設定」より、Windows10の基本設定を行う。

【個人設定】
  ▷ スタート: アプリ一覧表示のみON、その他全てをOFF
  ▷ ロック画面: 背景を画像に変更、トリビアやヒントを表示しない
【プライバシー】 以下以外は全てOFFまたは許可しない
  ▷ 通知: アプリによる通知へのアクセスをON
  ▷ 無線: アプリからの制御を許可
  ▷ 他のデバイス: ペアリングされていないデバイスとの通信を許可
  ▷ バックグラウンドアプリ: メッセージングのみON
【システム】
  ▷ 通知とアクション:
    ▶ クイックアクション: 以下をOFF
      位置情報、タブレットモード
    ▶ 通知: アプリからの通知取得のみON、その他全てをOFF
      ○ 送信者: 全てOFF
  ▷ マルチタスク: 全てOFF
【デバイス】
  ▷ 自動再生: OFF
【ネットワークとインターネット】
  ▷ WiFi:
    ▶ WiFi: 必要に応じてOn/OFFを切替
    ▶ WiFiサービス: 全てをOFF
  ▷ VPN:従量課金中、ローミング中をOFF
  ▷ イーサネット/ネットワーク: プライベートネットワークを選択
  ▷ 状態/共有オプション: 「プライベート」と「すべてのネットワーク」の項目
    ▶ ネットワーク探索 [有効]
    ▶ ファイルとプリンタの共有 [有効]
    ▶ パブリックフォルダの共有(どちらでも)
    ▶ パスワード保護共有 [有効](空パスワードのユーザを接続させる場合も「有効」)
    参)実際にアクセスするには、「共有」に重畳するかたちで各ファイルやフォルダ個別のアクセス権(NTFSアクセス権)が必要。
    参)NTFSアクセス権は icacls(またはプロパティ▶セキュリティ)などを用いて別途設定。
【更新とセキュリティ】
  ▷ アクティブ時間: 8:00 ~ 2:00(WindowsUpdate後の自動再起動を行わない時間)
【ゲーム】
  ▷ ゲームバー: OFF
  ▷ コントローラでゲームバーを開く: OFF






3.電源の設定と確認を行う。
  ▷コントロールパネル/電源オプション より
    ▶ 電源ボタンの動作/動作は全て「スリープ」にする
    ▶ 電源ボタンの動作/シャットダウンの設定/高速スタートアップ: 無効
    ▶ 電源ボタンの動作/シャットダウンの設定/スリープ: 電源メニューに表示する
    ▶ 電源ボタンの動作/シャットダウンの設定/休止状態: 電源メニューに表示しない
    ▶ プラン設定の変更/詳細な電源設定/ハードディスク/電源を切るまでの時間: 10分/なし(Batt/Wall)
    ▶ プラン設定の変更/詳細な電源設定/スリープ/スリープまでの時間: 15分/なし(Batt/Wall)
    ▶ プラン設定の変更/詳細な電源設定/スリープ/休止状態: なし/なし(Batt/Wall)
    ▶ プラン設定の変更/詳細な電源設定/スリープ/スリープ解除タイマー: 無効/有効(Batt/Wall)
    ▶ プラン設定の変更/詳細な電源設定/ディスプレイ/電源を切るまでの時間: 5分/10分(Batt/Wall)






4.メンテナンス等を設定する。
  ▷コントロールパネル/セキュリティとメンテナンス より
    ▶ メンテナンス/メンテナンス設定の変更: スリープ解除可 1:00(WindowsUpdateと自動メンテナンス)
  ▷コントロールパネル/システムより
    ▶ リモート: リモートアシスタンス接続を許可しない






5.自動起動アプリケーションを設定する。
  ▷ タスクスケジューラから以下を設定
    ▶ Microsoft -- Windows -- Application Experience -- Microsoft Compatibility Appraiser を無効に
    ▶ 業務用デスクトップアプリケーションなどはこれまでどおり追加/設定
  ▷ スタートアップフォルダは使わない(必要ならタスクスケジューラで設定)






6. ロック画面とサインイン画面(ユーザ選択画面)をスキップし、パスワード入力も省略する。
(パスワードの有無にかかわらず、起動時/スリープ解除時ともに、一切の操作無しでサインインを終えるようにする)
(ロックとパスワード要求は「サインアウト」によって可能)

  ▷ 設定/アカウント/サインインオプション より、「サインインを求める」から「ロックしない」を選択
    (パスワードが空の場合この項目は表示されない)
  ▷ netplwiz を実行する
    ・「パスワードの入力が必要」のチェックを外す
    ・自動サインインユーザを決め、「適用」を押し、パスワードを入力する






7.Windowsファイアウォールを設定する。
<ポリシー>
ドメイン/プライベート/パブリック共、
インバウンス(受信)はブロック(デフォルト)
アウトバウンス(送信)は許可(デフォルト)
<規則詳細>
(インバウンスとアウトバウンスの設定は共通。)
・コアネットワーク(ドメイン/プライベート/パブリック)
・ネットワーク探索(プライベート)
・ファイルとプリンタの共有(プライベート)
のみを許可する。
さらに、PCの用途によっては、
・AIIJoinルーター(ドメイン/プライベート)
・Wi-Fi Direct(パブリック)
・デバイスキャスト=DLNA(ドメイン/プライベート/パブリック)
・近接通信共有(ドメイン/プライベート/パブリック)
等を許可する必要があるかもしれない。

参)アウトバウンスについては、ポリシーが「許可」であれば個別に「許可」を重ねても動作には影響しない。
(ポリシーを「ブロック」とした場合に参照される。)

注)ファイアウォールの設定は、Windows Update または他のプログラムによって追加/変更される事がある。
その場合は再度同様の設定を行うこと。






8.不必要なアプリケーションを削除する。

【スタート - 設定 - アプリ から削除】
  ▷ アプリのインストール: アプリの推奨を無効にする
  ▷ アプリと機能 - オプション機能の管理: 以下をアンインストール
     ・Internet Explorer 11
     ・Windows Media Player
  ▷ アプリと機能: 以下をアンインストール
  (スタートメニューにしか無い場合もあるので両方を確認する)
     ・Candy Crash Friends
     ・Candy Crash Saga
     ・Dolby Access
     ・Fitbit Coach
     ・Microsoft Onedrive
     ・Microsoft News
     ・Microsoft Solitaire Collection
     ・Minecraft
     ・Mixed Reality ポータブル
     ・My Office
     ・Netflix
     ・Onenote
     ・Print 3D
     ・Skype
     ・Xbox Live
     ・アプリ インストーラ
     ・ヒント
     ・フィードバック Hub
     ・モバイル通信プラン
     ・天気



【コマンドによる削除】
以下、①②は、作業をひとつにまとめたバッチファイルを使うと良い。
これらは、現在のユーザの権限を「管理者」とし、さらに「管理者として実行」しなければならない。
(=管理者権限を持った別のユーザで実行するということではない。)

①上記GUIで削除できないビルトインアプリをPowerShellからアンインストールする。
・PowerShellを管理者権限で起動し、確認しながらパイプで削除する。
・またはバッチファイルを用いる。

for %%i in (
microsoft.messaging   # Microsoft メッセージング
microsoft.microsoft3dviewer   # Mixed Realityビューアー
microsoft.microsoftstickynotes   # Microsoft 付箋
microsoft.mspaint   # ペイント3D
microsoft.windowsalarms   # Windowsのアラーム & クロック
microsoft.windowscamera   # Windowsのカメラ
microsoft.windowscommunicationsapps   # メールとカレンダー
microsoft.windowsmaps   # Windows マップ
microsoft.windowssoundrecorder   # Windowsのボイスレコーダー
microsoft.windowsstore   # Microsoft Store
microsoft.windows.photos   # Microsoft フォト
microsoft.xboxapp   # Xbox
microsoft.xboxspeechtotextoverlay   # Xbox
microsoft.yourphone   # 同期電話
microsoft.zunemusic   # Groove ミュージック
microsoft.zunevideo   # 映画 & テレビ
) do (
powershell -NoProfile -ExecutionPolicy Unrestricted -Command "Get-AppxPackage *%%i*" | findstr "^Name"
powershell -NoProfile -ExecutionPolicy Unrestricted -Command "Get-AppxPackage -allusers *%%i* | Remove-AppxPackage"
)


②Cortanaの起動を制限する。
・レジストリを編集する
・またはバッチファイルを用いる。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search" /v "AllowCortana" /t REG_DWORD /d 0 /f






9. 不要なサービスの起動(システム起動)を「停止」し、かつ「無効」にする。

・services.msc を実行して設定する。
・またはバッチファイルを用いる。

for %%i in (
DPS   # Diagnostic Policy Service
diagsvc   # Diagnostic Execution Service
FrameServer   # カメラフレームサーバー
icssvc   # モバイル ホットスポットサービス
MapsBroker   # 位置情報
PhoneSvc   # Phone Service
RemoteRegistry   # リモートレジストリ
RemoteAccess   # リモートアクセス
RetailDemo   # 市販デモサービス
SCardSvr   # スマートカードサービス
ScDeviceEnum   # Smart Card Device Enumeration Service
SCPolicySvc   # Smart Card Removal Policy
tzautoupdate   # タイムゾーン自動設定
WdiSystemHost   # Diagnostic System Host
WinRM   # Windows リモート管理
WlanSvc   # WLAN AutoConfig
WMPNetworkSvc   # Windows Media Player Network Sharing Service
WwanSvc   # WWAN AutoConfig
XblAuthManager   # Xbox Live Auth Manager
XblGameSave   # Xbox Live セーブデータ
XboxGipSvc   # Xbox Accessory Management Service
XboxNetApiSvc   # Xbox Live ネットワーキングサービス
) do (
net stop "%%i"
sc.exe config "%%i" start= disabled
)


(参)PCの用途によって「手動/無効」を選択すべきサービス
WlanSvc   # WLAN Auto Config(*2)

gupdate   # Google Update gupdate(*3)
gupdatem   # Google Update gupdate-m(*3)

wuauserv   # Windows Update (*4)
UsoSvc   # Update Orchestrator (*4)

DPS   # Diagnostic Policy Service
diagsvc   # Diagnostic Execution Service
WdiSystemHost   # Diagnostic System Host


(参)停止しないほうが良いサービス
OneSyncSvc_*****   # メール & 連絡先 & カレンダー ユーザーデータ同期
SysMain   # (SuperFetch)ディスクキャッシュ & メインメモリ管理
WdiServiceHost   # Diagnostic Service Host(再起動で輝度を維持するため手動のまま)
wmiApSrv   # Windows Management Instrumentation Performance Adapter サービス
WpnService   # Windows プッシュ通知サービス
WpnUserService_*****   # Windows プッシュ通知ユーザーサービス
WSearch   # Windows Search サービス(*1)











(*1)
これは検索用インデックスの生成にだけ作用するスイッチです。
無効にしていても、検索の機能自体は「Windowsの機能」からWindows Searchをチェックしたままにしておけば使えます。

(*2)
無線LANを使う場合は必要です。

(*3)
Chromeの自動アップデートには必要です。

(*4)
Windows Updateサービスは通常は有効にしておいてください。アップデートが溜まると一度に大きな時間が必要になります。
万一 Windows Update が日々の業務に支障をきたすようなことがあれば、対処しますのですぐにご相談ください。

(*参考)
ーアプリケーションについてー
これまでどおり、許可されたアプリケーション以外はインストールしないでください。
どうしても必要な場合は、一時的に、決められた試験用PCにのみインストール可能ですのでご相談ください。
なお、Windows10における業務への影響が報告されている主なアプリケーションは以下のとおりです。
 ・OrCAD
 ・WireShark(+PCAP)
 ・SQLite Driver
 ・Libre Office
 ・Adobe Flash
 ・Adobe製品
 ・Androidエミュレータの類
 ・gpedit(+.NET FRAMEWORK)
			






_________________________________
_________________________________
_________________________________



ビーウエイブ・テクノロジー
bieewave.com