タグ: セキュリティ更新

セキュアブートとRufus

WithHappy

415日配布のWindowsセキュリティ更新プログラムにセキュアブート確認機能が追加されました。この機能の目的と、弊社4PCのセキュアブート状況を示します。

セキュアブート確認機能の目的

Win11要件の1つが起動時ソフトウェアの信頼性示す証明書を持つことです。この証明書利用の安全なPC起動方法をセキュアブートと言います。

この証明書の有効期限は、20266月です。そこで、Microsoftは通常の更新プログラムを通じてこの証明書を最新状態へ更新し、セキュアブート継続を推薦しています。有効期限が切れた証明書では、最悪の場合PCが起動しない可能性もあるからです。

4月例セキュリティ更新プログラムは、このセキュアブート更新状態をユーザへ明示し、本機能が無いPCの排除、つまり更新証明書付き新PC購入をユーザへ促すことがMicrosoftの目的だと思います。

4PCセキュアブート状況

4PCセキュアブート状況
4PCセキュアブート状況

2PCは、証明書を持ちアップグレードしたPCで、うち1台は証明書が古いままのPCです。残り2PCは、証明書が無い為、筆者がアップグレードツール:Rufusを使ってセキュアブート要件を削除し、Win11 25H2へ(無理やり)手動アップグレードしたPCです。

4PCのセキュアブート状態を抜粋したのが上図です。設定の検索ウインドへセキュアと入力し、デバイスセキュリティを選ぶと各PCのセキュアブート状態が示されます。

正常にアップグレードしたPC1台は、セキュアブートがオンで証明書変更済みです。もう1台は、セキュアブートはオンですが、PC稼働率が低いためか証明書更新ができていません。対応に、手動にて証明書更新を行う予定です。

Rufus手動アップグレードの2PCは、そもそもセキュアブート項目自体がありません(図はグレー表示)。

しかしながら、6月以降もこの2PCは安全性を無視しつつも起動すると筆者は思います。Rufusでセキュアブート機能を削除済みだからです。この結果は、6月以降に投稿予定です。

Windows 11 25H2アップグレード回避要件の設定
Windows 11 25H2アップグレード回避要件の設定

Summary:セキュアブートとRufus

弊社4PCを例に、4月のWinセキュリティ更新プログラムに追加されたセキュアブート確認機能を示しました。Rufus手動Win11アップグレードPCは、セキュアブート項目の表示がありません

正常アップグレードWin11 PCでも、低稼働率などから起動時ソフトウェア信頼性を示す証明書の更新ができず、最悪PC不起動になるかもしれません。従って、手動証明書更新は必須です。

セキュリティの重要性はますます増します。しかし、それに伴う運用/更新の手間も増えます。運用を間違うと安全側とは言え起動しない致命的事態を招きます。一方、セキュリティを省くと、攻撃リスクは増えますが今回のような不測事態を初めから回避できるなどのメリット!?があります。

セキュリティの一長一短を示す具体例です。押し付けや排除ではなく、自己責任でセキュリティを設定できることが、パーソナルコンピュータでは重要だと筆者は思います。

AfterwordRufus 4.10以降は更新済み証明書インストール

Rufus 4.11以降は、更新済み証明書(UEFI CA 2023)でインストールメディア作成機能が付いています。つまり、Rufusツールは、安全なPC起動要件を満たし、Rufus手動アップグレード方法そのものはセキュアブートします。

Windows 11 24H2アップグレード回避注意点

WithHappy

Windows 11 24H2アップグレードを止め、Win11 23H2に維持する時の注意点を示します。弊社4PCは、LAN接続トラブルのため20253月末までWin11 23H2運用を決めました。しかし、各PCへ、Microsoftからしばしば鬱陶しいWin11 24H2アップグレード催促があります。

しつこいWin11 24H2アップグレード催促

年末にWin11 24H2アップグレード通知が来る方も多いでしょう。Win11 23H2維持かWin11 24H2アップグレードかは、ユーザが選択可能です。しかし、その選択は間違い易いので注意が必要です。

Win11 23H2は、Win10と同一OSコアで、従来ソフトウェア/アプリと互換性を維持したWin11です。一方、Win11 24H2は、言わばAI対応Copilot+ PC用次期Win12βテスト版、OSコアもWin10から大幅変更したため何かとトラブルが多いWin11です(詳細Win11 24H2目的とWin12参照)。

しかも、多くのAI機能は、Copilot+ PC仕様以上でないと動作しません

弊社はWin11 23H2維持のために、コチラのグループボリシー設定でアップグレードを無効化しました。しかし設定後、数日すると再び下図Win11 24H2アップグレード催促メッセージが出力されます。つまり、手動アップグレード無効化は、Win11 24H2催促回数が減るだけの効果です。

しつこい24H2アップグレード催促メッセージ
しつこい24H2アップグレード催促メッセージ

但し、24H2ダウンロードとインストールをクリックしない、または、オプションの更新プログラムで24H2を選択しなければ、勝手にWin11 24H2へ更新されることはありません。

逆に、どちらかを間違って選択すると、Win11 24H2アップグレードが始まります。間違い易いのは、他の更新プログラムが多数ある場合です。

Win11 23H2セキュリティ更新は通常どおり配布

筆者が、前章の手動アップグレード無効化で気になったのは、手動で固定化したWin11 23H2へ果たして通常どおりWindowsセキュリティ更新が配布されるかでした。

これは、1211日のセキュリティ更新が、固定Win11 23H2へも配布されましたので問題ありません。

つまり、前章のWin11 24H2催促プログラムと、通常のWin11 23H2セキュリティ更新プログラムが多数ある時に、間違わずに23H2を選択すれば、ユーザが望む間はWin11 23H2として運用できます。

2025Windowsセキュリティ更新スケジュール

さて、2025年のWindowsセキュリティ更新スケジュール、いわゆるPatch Tuesday発表されました。日本では、水曜午前3時頃から配布開始されます。

Win11 23H2Win10サポート終了は、20251014日です。この日までにWin11 24H2アップグレードが必須ですのでご注意ください。

2025年予定 Pacific Standard Time (US) 日本時間午前3
1 14日(火曜) 15日(水曜)
2 11日(火曜) 12日(水曜)
3 11日(火曜) 12日(水曜)
4 8日(火曜) 9日(水曜)
5 13日(火曜) 14日(水曜)
6 10月(火曜) 11日(水曜)
7 8日(火曜) 9日(水曜)
8 12日(火曜) 13日(水曜)
9 9日(火曜) 10日(水曜)
10 14日(火曜)

Win11 23H2/Win10サポート終了

 15日(水曜)
11 11日(火曜) 12日(水曜)
12 9日(火曜) 10日(水曜)

SummaryWindows 11 23H2維持注意点

Windows 11 24H2アップグレードを止め、Win11 23H2として維持する時の注意点を示しました。

Win11 23H2として維持運用するには、煩わしく出力されるWin11 24H2催促プログラムと、Patch Tuesdayに配布されるWin11 23H2セキュリティ更新プログラムを、間違わずに選択しインストールすることです。

Afterword:来週27日は投稿休み、次回13

今年の金曜投稿は、本稿が最後です。次回は、202513日(金)に投稿します。

皆様、今年も本ブログをご覧頂きありがとうございました。良いお年をお迎えください。