Windows 11の1月アップデート
【Win11】バグが怖くてアップデートしたくない人向け
それでも最低限やっておきたいセキュリティ対策
Windows 11の毎月のアップデート。
最近は修正のはずが新しい不具合を生むことも多く、
「正直、今は入れたくない…」という人も多いと思う。
とはいえ、
「何も対策しない=危険」なのも事実。
そこで今回のアップデートを様子見して後ほどアップデートしようと
考えている人向けに、私自身がおこなった
👉 アップデートを一旦見送りたい人向けに
👉 バグを踏まず、現実的に安全性を上げる方法
をまとめておく。
*アップデートをしない場合はリスクを伴う為、自己責任でお願いします。
そもそも今回の“ゼロデイ脆弱性”って?
1月中旬に、Microsoftは
すでに悪用が確認されている脆弱性(ゼロデイ)を修正した。
本来なら即アップデートが推奨されるが、
- 最近の更新はバグが多い
- 業務や作業環境が壊れるのが怖い
- サブPCではなくメインPC
こういう理由で「今は様子見したい」人がいるのも現実だと思う。
アップデートしなくても「入口」を潰すことはできる
ゼロデイ攻撃の多くは、
- 外部から侵入
- OSやサービスを経由
- コードを実行
という流れを取る。
つまり「そもそも入口を閉じる」だけでも
事故る確率はかなり下げられる。
実際にやっておきたい設定(重要)
リモート系サービスを止める
以下は、個人利用なら止めても問題が出にくいサービス。
- Remote Registry → 無効
- Windows Remote Management → 無効
- Remote Desktop Services → 無効
- Remote Desktop Services UserMode Port Redirector → 無効
これで 外部から直接操作される系の攻撃はほぼ成立しなくなる。
UPnP / SSDP の扱いは「緩めすぎない」
- SSDP Discovery → 自動(検出用)
- UPnP Device Host → 手動
この状態なら、
- プリンタなどは普通に使える
- 勝手にポートが開くことはない
という 安全寄りのバランスになる。
「完全防御ではない」ことは理解しておく
正直に言うと、これだけでゼロデイを100%防げるわけではない。
理由は単純で、
- OS内部の欠陥
- ローカル権限昇格
- ブラウザやOffice経由
こういったものは最終的にパッチを当てない限り残る。
ただし――
現実的には「何もしない」より圧倒的に安全
今回のような設定をしておくと、
- 外部から直接侵入されにくい
- LAN経由の攻撃も成立しにくい
- 自動ポート開放も起きない
つまり
「無差別攻撃で巻き込まれる確率」は大きく下がる。
標的型で狙われない限り、
いきなり被害に遭う可能性はかなり低い。
アップデートしない人向けの“現実解”
個人的におすすめなのはこの考え方。
- OSアップデートは一旦止める
- その代わり
- Defenderは有効
- SmartScreenはON
- 不明なファイルは開かない
- ブラウザだけは最新版を使う
これだけでもリスクはかなり抑えられる。
まとめ
- 最近のWindows Updateは正直怖い
- だからといって放置は危険
- リモート系・自動公開系を止めるだけでも効果は大きい
- 完全防御ではないが「事故らない確率」は確実に下がる
アップデートは「落ち着いてから入れる」という選択肢もアリ。
それまでの“つなぎの防御”として、今回の設定はかなり現実的だと思っている。
