お知らせ

ご利用ください
【お知らせ】【WinUp個別】Bitlocker関連過去記事リンク【2018/10/13】

【注意喚起】プリンター共有に関する記事へのアクセスが非常に多くなっています【2018/12/27】

重要なお知らせ
TLS 1.2 対応に伴い一部環境から当サイトへのSSL接続(https)でのアクセスができなくなります。

お知らせ1
自己検閲によりパスワード保護している記事があります。「当ブログ(自作PCの道楽新館)をご利用くださる方へのお願いとお断り」の注意事項を了承いただける方のみ「 パスワード 5525 」を入力してご覧下さい。

サイトのカテゴリー・コメントなどの最新情報詳細はページ最下部にまとめています

サイトに「記事更新メールお知らせ機能」を追加しました

2017年10月より、メールアドレスを登録していただくと、WinUpや障害情報などの更新をメールでお知らせする機能を追加しました。WordPressの機能を利用したもので,
よくあるメルマガ配信と異なり記事の更新情報以外は配信されませんので安心してご利用ください

登録はメールアドレスを入力して、記事更新メールを受け取るボタンを押下するだけです。

手順詳細⇒ サイトに「記事更新メールお知らせ機能」を追加しました

270人の購読者に加わりましょう

【WinUp個別】ほかのPCは大丈夫なの??? Win10(1607)とLenovo製ノートPC起動不能【2018/12/27】

この記事を読むのに必要な時間は約 8 分です。

ご注意

1)UEFIインストールしている場合が対象です。レガシ(MBR)インストールの場合は影響がありません。

2)この記事の直接対象は「Win10(1607)」ですが、基本構造が同様のためWin8.1でもトラブルのもととなっています。

3)Win7においてもUEFIインストールしている場合は、記事中で書いているように「Fast Boot ・CSM・セキュアブート」の組み合わせに注意が必要です。

 

=====以下本文=====

すでにサポート終了となっているため、Win10(1607)の情報は普段書いていません。また、Windows Server 2016などサーバーの情報もほぼ無視しています。

そんな中、12/26に「米Microsoftは12月22日(現地時間)、更新プログラム「KB4467691」をインストールした一部のLenovo製ラップトップPCでOSが起動しない問題が発生していることを明らかにした。」という情報が出てきて、障害の内容からもう一度注意喚起を行う必要があるなと感じ記事化します。

 

問題の記事(インプレスさん)
11月の月例アップデートで一部のLenovo製ラップトップが起動不能に

一部抜粋

米Microsoftは12月22日(現地時間)、更新プログラム「KB4467691」をインストールした一部のLenovo製ラップトップPCでOSが起動しない問題が発生していることを明らかにした。「KB4467691」は11月の月例パッチとして「Windows 10 バージョン 1607」および「Windows Server 2016」向けにリリースされていた。

===中略===

なお、回避策として“Secure Boot”を無効化してPCを再起動する方法が案内されているが、“BitLocker”が有効化されている場合は、暗号化されたドライブの回復が必要になるので注意したい。

私はうまく情報元を見つけられなかったのですが、ニッチなPCゲーマーの環境構築さんの記事「【アプデ】 Windows10 v1607に2018年11月度以降のWU適用後、Windowsが起動しなくなる場合がある」によると、実際には以下の5個が対象のようです。

KB4483229 (201812/20配信)
KB4471321 (2018/12/12配信)
KB4478877 (2018/12/4配信)
KB4467684 (2018/11/28配信)
KB4467691 (2018/11/14配信)

 

なお、インプレスさんの記事にもあるように、BitLockerが有効のケースでは少々厄介です。回復がうまくいかない場合は死亡フラグです…。

 

とにもかくにもWin OSを利用するのでしたら、

・「Fast Boot ・CSM・セキュアブート」の組み合わせに注意する

・BitLocker暗号化は使用しない

・それに加えてWin8.1/10では、高速スタートアップは無効にしておく

この三点は絶対に留意してくださいね。

 

当ブログの推奨設定

「Fast Boot ・CSM・セキュアブート」の組み合わせの推奨

1)Fast Boot 無効(ただし有効でも大きな問題は出ない)・ CSM無効 ・ セキュアブート 有効

2)Fast Boot 無効 ・CSM有効 /・セキュアブート無効

 

BitLockerに関すること

1)BitLocker暗号化は使用しない・サービスは必ず無効にしておく(WinUp後など、勝手に設定された様な状態になり回復キーを求められたり、今回のようなことになるのを防止するためです)

2)代替手段としてBIOS上でHDD(ストレージ)やOS開始時のパスワードを設定する。

ブログ内の関連記事
2017/3/31…【WinUp個別】ビットロッカーとパスワード【最も厄介な障害】

2018/1/12…【最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【考察】

 

More:BitLocker暗号化を推奨しないもう一つの理由
Win OSには、意外なほどの脆弱性というか弱点があります。

例えば、ログイン画面で操作をすることで管理者権限でコマンドプロンプトを使えるようになることはよく知られた話です。PCを盗まれたなど、実際にPCを操作できればファイルなどの内容を見ることは簡単です。もちろん管理者権限のアカウントを追加することも簡単です。

もっと言ってしまえば、Linuxに接続したり、回復環境を起動してコマンドプロンプトを使うとパスワードなど無関係に見ることができてしまいます。

BitLocker暗号化を利用しているというケースは企業等が多いのかなと思います。そのようなケースでは、PCのM/B上にTPMというチップが搭載された機材を使用し暗号化を利用しています。

ところがここに落とし穴が発生します。「USBキー、パスワード、外部ファイルキーを使った暗号化」の場合は解除できないのですが、TPMキーのみによる暗号化は簡単に解除してしまえる場合があるのです。

過去に、Feature Update(昨日の追加を含む半年に一度のアップデートなど)が実行された状態にして、SHIFTキーを押しながらF10キーを押すだけで、認証なしに管理者権限でコマンドプロンプトにアクセスでき、さらにBitLockerで暗号化されているストレージへのアクセスも可能になるという脆弱性が確認されています。

 

Windows 10の新たな脆弱性、アップデート時にキーを押すだけで暗号解除と管理者権限取得が可能に

Windows 10のアップデート時にSHIFTキーを押しながらF10キーを押すだけで、認証なしに管理者権限でコマンドプロンプトにアクセスでき、さらにBitLockerで暗号化されているストレージへのアクセスも可能になるという脆弱性が確認された(GIGAZINE、Win-Fu Official Blog、FOSSBYTE、Register)。

この問題はWindowsの「Feature Update」と呼ばれる新機能追加のためのアップデート時にのみ発生するという。Feature Updateのインストール時にはWindows PEベースの代替環境が起動して作業が行われるのだが、この環境にはトラブルシューティングのための機能としてSHIFT+F10でコマンドプロンプトを起動する機能が用意されており、またアップデート時には暗号化が一時的に解除された状態になるため、このような問題が発生するという。

この脆弱性を利用するためには直接対象のハードウェアにアクセスする必要があるものの、アップデートさえ実行できれば管理者権限でないユーザーが管理者権限を容易に得られる点が問題となる。

 

このようなこともありますので、トラブルのもとになることも多いBitLocker暗号化を使わないで「BIOSからHDDにパスワードを設定する」などの方法をこのブログでは推奨しています。

 


人気ブログランキング

コメントを残す

CAPTCHA