ステマ規制に関する表示
当サイトでは、記事本文やサイドバー等に以下が設置されています。御理解の上サイトを利用ください。 1)アフィリエイト広告リンク 2)プロモーション記事 3)記事作成に当たって、販売業者からの提供を受けたハード/ソフト等を使用した記事
【WinUp個別】ほかのPCは大丈夫なの??? Win10(1607)とLenovo製ノートPC起動不能【2018/12/27】
この記事を読むのに必要な時間は約 8 分です。
ご注意
1)UEFIインストールしている場合が対象です。レガシ(MBR)インストールの場合は影響がありません。
2)この記事の直接対象は「Win10(1607)」ですが、基本構造が同様のためWin8.1でもトラブルのもととなっています。
3)Win7においてもUEFIインストールしている場合は、記事中で書いているように「Fast Boot ・CSM・セキュアブート」の組み合わせに注意が必要です。
=====以下本文=====
すでにサポート終了となっているため、Win10(1607)の情報は普段書いていません。また、Windows Server 2016などサーバーの情報もほぼ無視しています。
そんな中、12/26に「米Microsoftは12月22日(現地時間)、更新プログラム「KB4467691」をインストールした一部のLenovo製ラップトップPCでOSが起動しない問題が発生していることを明らかにした。」という情報が出てきて、障害の内容からもう一度注意喚起を行う必要があるなと感じ記事化します。
問題の記事(インプレスさん)
11月の月例アップデートで一部のLenovo製ラップトップが起動不能に
一部抜粋
米Microsoftは12月22日(現地時間)、更新プログラム「KB4467691」をインストールした一部のLenovo製ラップトップPCでOSが起動しない問題が発生していることを明らかにした。「KB4467691」は11月の月例パッチとして「Windows 10 バージョン 1607」および「Windows Server 2016」向けにリリースされていた。
===中略===
なお、回避策として“Secure Boot”を無効化してPCを再起動する方法が案内されているが、“BitLocker”が有効化されている場合は、暗号化されたドライブの回復が必要になるので注意したい。
私はうまく情報元を見つけられなかったのですが、ニッチなPCゲーマーの環境構築さんの記事「【アプデ】 Windows10 v1607に2018年11月度以降のWU適用後、Windowsが起動しなくなる場合がある」によると、実際には以下の5個が対象のようです。
KB4483229 (201812/20配信)
KB4471321 (2018/12/12配信)
KB4478877 (2018/12/4配信)
KB4467684 (2018/11/28配信)
KB4467691 (2018/11/14配信)
なお、インプレスさんの記事にもあるように、BitLockerが有効のケースでは少々厄介です。回復がうまくいかない場合は死亡フラグです…。
とにもかくにもWin OSを利用するのでしたら、
・「Fast Boot ・CSM・セキュアブート」の組み合わせに注意する
・BitLocker暗号化は使用しない
・それに加えてWin8.1/10では、高速スタートアップは無効にしておく
この三点は絶対に留意してくださいね。
当ブログの推奨設定
「Fast Boot ・CSM・セキュアブート」の組み合わせの推奨
1)Fast Boot 無効(ただし有効でも大きな問題は出ない)・ CSM無効 ・ セキュアブート 有効
2)Fast Boot 無効 ・CSM有効 /・セキュアブート無効
BitLockerに関すること
1)BitLocker暗号化は使用しない・サービスは必ず無効にしておく(WinUp後など、勝手に設定された様な状態になり回復キーを求められたり、今回のようなことになるのを防止するためです)
2)代替手段としてBIOS上でHDD(ストレージ)やOS開始時のパスワードを設定する。
ブログ内の関連記事
2017/3/31…【WinUp個別】ビットロッカーとパスワード【最も厄介な障害】
2018/1/12…【最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【考察】
More:BitLocker暗号化を推奨しないもう一つの理由
Win OSには、意外なほどの脆弱性というか弱点があります。
例えば、ログイン画面で操作をすることで管理者権限でコマンドプロンプトを使えるようになることはよく知られた話です。PCを盗まれたなど、実際にPCを操作できればファイルなどの内容を見ることは簡単です。もちろん管理者権限のアカウントを追加することも簡単です。
もっと言ってしまえば、Linuxに接続したり、回復環境を起動してコマンドプロンプトを使うとパスワードなど無関係に見ることができてしまいます。
BitLocker暗号化を利用しているというケースは企業等が多いのかなと思います。そのようなケースでは、PCのM/B上にTPMというチップが搭載された機材を使用し暗号化を利用しています。
ところがここに落とし穴が発生します。「USBキー、パスワード、外部ファイルキーを使った暗号化」の場合は解除できないのですが、TPMキーのみによる暗号化は簡単に解除してしまえる場合があるのです。
過去に、Feature Update(昨日の追加を含む半年に一度のアップデートなど)が実行された状態にして、SHIFTキーを押しながらF10キーを押すだけで、認証なしに管理者権限でコマンドプロンプトにアクセスでき、さらにBitLockerで暗号化されているストレージへのアクセスも可能になるという脆弱性が確認されています。
Windows 10の新たな脆弱性、アップデート時にキーを押すだけで暗号解除と管理者権限取得が可能に
Windows 10のアップデート時にSHIFTキーを押しながらF10キーを押すだけで、認証なしに管理者権限でコマンドプロンプトにアクセスでき、さらにBitLockerで暗号化されているストレージへのアクセスも可能になるという脆弱性が確認された(GIGAZINE、Win-Fu Official Blog、FOSSBYTE、Register)。
この問題はWindowsの「Feature Update」と呼ばれる新機能追加のためのアップデート時にのみ発生するという。Feature Updateのインストール時にはWindows PEベースの代替環境が起動して作業が行われるのだが、この環境にはトラブルシューティングのための機能としてSHIFT+F10でコマンドプロンプトを起動する機能が用意されており、またアップデート時には暗号化が一時的に解除された状態になるため、このような問題が発生するという。
この脆弱性を利用するためには直接対象のハードウェアにアクセスする必要があるものの、アップデートさえ実行できれば管理者権限でないユーザーが管理者権限を容易に得られる点が問題となる。
このようなこともありますので、トラブルのもとになることも多いBitLocker暗号化を使わないで「BIOSからHDDにパスワードを設定する」などの方法をこのブログでは推奨しています。
0
