16年12月のWindowsUpdateからクライアントPCでsvchost.exeが100%で張り付く事象が発生して、社内でスッタモンダしました。調査したところ、原因は「セキュリティ マンスリー品質ロールアップ」でした。
品質ロールアップとは?
16年10月から配信開始したものです。
2016 年 10 月以降、Windows に関してセキュリティおよび信頼性の問題の両方を解決する 1 つの 更新プログラムを月例のロールアップとしてリリースします。
「累積的な更新プログラム」の特徴を持ち、最新版には過去に配信されたものを包含しています。
各月のロールアップは前月のロールアップを置き換えるため、Windows PC を最新の状態にするためには常に 1 つの更新プログラムのみが必要です。たとえば、2016 年 10 月の月例のロールアップには 10 月のすべての更新プログラムが含まれますが、2016 年 11 月のロールアップには 10 月および 11 月の更新プログラムが含まれ、その後の月も続きます。
なぜCPUが上昇する?
累積的な更新プログラムが増加すればするほど、クライアントの検出作業が高負荷にります。
Windows Update による内部的なスキャン処理の実行時には、WSUS にて承認されている更新プログラムの置き換え関係を過去に遡って参照します
累積プログラムのリリース数が増えれば増えるほど、置き換え対象となる更新プログラムの数は増えていき、それに伴いスキャン処理の負荷も増大します。
対処は?
過去の累積的な更新プログラムをWSUS上で拒否済みに設定します。
最新の「IE の累積的なセキュリティ更新プログラム」は、「累積的」に過去の更新プログラムを包含しているため、最新の更新プログラムのみインストールを行えば過去の更新プログラムによる修正も適用される動作となります。最新のみ承認しておけば、古いものはすべて拒否済みに設定して問題ありません。
※上記記事ではIEのみ取り上げていますが、ロールアップも対処は同様です。
Windows 7 および Windows 8.1 のサービス モデルをさらにシンプルにの補足情報2をご確認ください。
拒否する方法その1(WSUSコンソール)
①更新プログラム一覧を開きます。
②カラムを右クリックして「優先」を表示します。

③


: この更新プログラムが置き換える更新プログラムはありませんが、別のプログラムによって置き換えられていることを表しています。
拒否する方法2(PowerShell)
①WSUSサーバ上でPowerShellを起動し、以下のコマンドを実行。
※社内の環境で1時間程度要しました。
効果
拒否前は3時間以上CPUが100%に張り付くPCがありましたが、それらも数分で終わるようになりました。
(2017-01-15:投稿)