【投稿者コメント】
【キーワード】
[回復パーティションの]、[空き容量率を50%に]、[セキュアブート脆弱性]
【件名】
「Windows Updateをエラーとせぬ様に、回復パーティションの空き容量率を50%にすべし/2024年10月のセキュアブート関連の脆弱性対策の最終フェーズを迎えたら、起動メディアや起動用ファイルやBackupやBackupソフト起動用メディアを更新せよ」
【投稿本文】
【1】Cドライブの回復パーティションの空き容量不足で深刻な不具合が発生する
下記の【以下転載】の報告で、重大事項を報告している。
この報告は、WindowsOSのドライブ内ファイル構成、パーティション構成、OS起動、バックアップとリストア(復帰)等のWindowsOSの機能を熟知したIT専門家向けに書かれているので、結論を判りやすく解説したい。
一言で云うと、【Cドライブの回復パーティションの空き容量不足で発生する様々な不具合事象】についての報告だ。
【2】深刻な不具合とその対処策
これらの重要事項で、注目すべき事項は、
[1]2024年1月のセキュリティ更新プログラム「KB5034441」でエラーが多発、その原因は、「更新されたWinREを格納する回復パーティションの空き容量不足」であり、それを解消する回復パーティションの空き容量は、最低250MBもあれば良い。
[2]Windows10/11の通常のインストールでは、回復パーティションはディスクの最後に配置されているので、その1つ前にあるOS用パーティションの領域を最低250MB縮小して、未使用領域を確保し、その領域を含めて回復パーティションを作成し直して、WinREをセットアップし直せば、更新プログラムのインストールは成功する。
[3]Microsoftは2024年2月上旬に、回復パーティションの拡張に使用出来る新たなPowerShellスクリプトを公開したが、管理者権限での実行、PowerShellの実行ポリシーの設定、バックアップディレクトリの作成、スクリプトとの対話実行(英語)など、一般のユーザにはハードルが高過ぎる。尚、このスクリプトはWindows PowerShellでは問題なく機能するが、「PowerShell7」(旧称、PowerShell Core)では、Split演算子の挙動の違いが原因でOSドライブの検出に失敗する。
[4]Microsoftは2023年5月から段階的に進めているセキュアブート関連の脆弱性対策を、2024年10月に強制実施する予定だ。これに備える為にも、実は、WinREの更新が重要になる。
[5]今後、2024年4月9日からの第3フェーズ(追加の脆弱なブートマネージャーのブロック、起動可能メディアの更新が必要)、2024年10月に最終フェーズ(SKUSiPolicy.p7bとDBXの強制施行)が予定されている。強制施行が実施されると、更新されていない回復パーティションの古いWinREイメージや、古い起動可能なメディア(インストールメディア、システム修復ディスク、回復ドライブ)から、セキュアブートが有効なWindowsデバイスを起動出来なくなる可能性がある。
[6]2024年10月に最終フェーズの前に、
①回復パーティションの古いWinREイメージや、
②古い起動可能なメディア
(インストールメディア、
システム修復ディスク、
回復ドライブ)を更新して、
セキュアブートが有効なWindowsデバイスを起動出来るようにしないといけない。
[7]これからWindows10/11を新規インストールすると云う場合は、予め余裕のある容量で回復パーティションを手動作成してインストールする事をお勧めする。
ゆえに、やるべき対処策は、
(1)Microsoftが2024年2月上旬に、回復パーティションの拡張に使用出来る「PowerShellスクリプト」は使用に難があるので、下記の無償の「パーティション編集ソフト」の「MiniTool Partition Wizard Free Edition 12.8」等を使用して、ディスクの最後に配置されたている回復パーティションの1つ前にある、OS用パーティションの領域を最低250MB縮小して、未使用領域を確保して、その領域を含めて回復パーティションを作成し直して、WinREのパーティションを再生成する。添付図4に示す通り、当方のPCでは、当初の回復パーティションの容量を1.21GBから、2.00GBに拡大して、空き容量率を約20%から約50%に拡大した。空き容量を約1GBに拡大(250MBの4倍)しておけば、今後、容量不足にはなるまい。
(2)これで、回復パーティションの容量不足に依るWimdows Updateエラーは起こらないので、2024年10月のセキュアブート関連の脆弱性対策の最終フェーズを迎える前に、次のメディアやファイルを更新する。
・WinREイメージ
・インストールメディア
・システム修復ディスク
・回復ドライブ
(3)容量不足にならぬ様に、手動で回復パーティションを拡大しておけば、もう、Cドライブのパーティションは変更する必要はないから、改めて、パーティション変更に依るバックアップを取得する必要はないが、2024年10月のセキュアブート関連の脆弱性対策の最終フェーズの前後に、Cドライブのバックアップとバックアップソフト起動用メディアを再作成する必要がある。
となる。
【3】無償の「パーティション編集ソフト」の事例
◯・「MiniTool Partition Wizard Free Edition 12.8」ー無料のパーティション管理ソフト
→無料ソフトであるが直感的に操作出来、使い勝手は大変良い。
△・「AOMEI Partition Assistant 10.3.1」ーパーティションの編集他
→データを含むパーティション編集を実行するには、PC再起動が必要で、処理時間が掛かる。
【4】使い方・操作の仕方/「MiniTool Partition Wizard Free Edition 12.8」
・「直感的に使いやすい設計が魅力のパーティション編集ツール/MiniTool Partition Wizard 無料版/フリーソフト100」
https://freesoft-100.com/review/minitool-partition-wizard.php
・「フリーのパーティション管理ソフト!/「MiniTool Partition Wizard 無料版」/k本的に無料ソフト」
https://www.gigafree.net/system/drive/MiniToolPartitionWizardFree.html
・「MiniTool Partition Wizardでパーティション管理をしてみる/Hatenaブログ」
https://madai21.hatenablog.com/entry/minitool-partition-wizard-free-install-use
・「【MiniTool Partition Wizard 評判・安全性】PC用パーティション管理ソフト【使い方・有料版・クローン】」
https://sukai.info/minitool-partition-wizard/
・「MiniTool Partition Wizard 無料版 12.6」
https://pepeprism.hatenablog.com/entry/2021/12/04/091415
・「初心者でも簡単ーディスク管理ならー【MiniTool Partition Wizard (無料版)】パーティション管理・編集ソフト」
https://www.haurin-zatunenlife.com/entry/minitool-partition-wizard2023
・「MiniTool Partition Wizard 無料版でパーティションを編集する」←【GUIを詳説
https://pc-more.fimplex.com/article/minitool-partition-wizard-free/
【5】使い方・操作の仕方/「AOMEI Partition Assistant 10.3.1」
・「構成されているパーティション調整、結合、コピー、削除などの操作を実施できるフリーのパーティションツールAOMEI Partition Assistant Standard/フリーソフト100」
https://freesoft-100.com/review/aomei-partition-assistant.html
・「AOMEI Partition Assistant Standard Edition/パーティションサイズの調整や分割・結合も可能な無料のディスク管理ソフト/Vector」
https://www.vector.co.jp/soft/winnt/util/se501462.html
・「AOMEI Partition Assistantの使い方、無料版・有料版の違いを解説」
https://shirokuma-folder.com/aomei-partition-assistant
・「OMEI Partition Assistant Standard の評価/フリーソフト100」
https://freesoft-100.com/review/soft/aomei-partition-assistant.html
・「高機能なパーティション管理ソフト AOMEI Partition Assistant Standard」
https://johobase.com/aomei-partition-assistant/
・「パーティション管理「Partition Assistant Standard」※AOMEI」
https://freesoft-concierge.com/utility/aomei-partition-assistant-standard/
【6】インストール用ファイルのDowmload元
・「MiniTool Partition Wizard」
https://forest.watch.impress.co.jp/library/software/partwizhome/
・「AOMEI Partition Assistant」
https://forest.watch.impress.co.jp/library/software/aomeiparti/
【追 記】(2024年3月17日)
本投稿の契機・動機だが、・・・
「Windows Updateに於ける、Cドライブのパーティション変更に依る故障事象」は、今に始まった事ではなく、以前から発生しており、パーティションを勝手に変えられると、以前、使えたBackupもBackupソフト起動用メディアも使えなくなると云う重大支障に発展する。
今回もWindows Update適用時に、裏で、サイレントで、回復パーティションの容量を増やすコマンドScriptが稼働していたと云うから、PCユーザとしては、由々しき事態だ!
PCユーザに云わせると、「勝手に、黙って、パーティションを変えるなよ! それやったら、Backupは取り直しやんけ?!」だろう・・・
回復パーティションの空き容量不足の為に、勝手に、パーティションを変えられたら、堪らんと、早速、手動で回復パーティションの空き容量を増やす事にした。
そこで、手動で回復パーティションの空き容量を増やす為に、「パーティション編集アプリ」を起動したところ、何と、Cドライブだけでなく、他の全てのドライブの先頭には、身に覚えのない、40~50MBの小さなパーティションが作成・設置されているではないか!
しかも、その小さなパーティションは空(から)ではなくて、ファイルを含んでいる!
身に覚えのない、不審な、パーティションは、悪性コードや悪性Rootkitやマルウェア等の棲家(すみか)にもなるので、速攻、削除した!
しかも、Windows11の「コンピュータ管理/ディスクの管理」では、不審な、パーティションは表示されず、「パーティション編集アプリ」でしか表示されず、しかも、「パーティション編集アプリ」で削除出来てしまった!
Cドライブでは、ドライブ先頭から3番目に、意図しない、不審な、パーティションが作成され、他の全てのドライブでは、ドライブ先頭に、意図しない、不審な、パーティションが作成されていた!
作成した犯人は、Windows11のWindows Updateでしか有り得ない!
最近のWindows Updateは、エクスプローラ等の深刻バグが連続すると云う迷走を続けているが、Cドライブのパーティション構成や回復パーティション更新も同じく、深刻バグが連続すると云う迷走を続けており、Microsoftは、それらのバグ事象に関わる情報をPCユーザへ提供・周知・開示する事は行わず、都合の悪い事は、徹底して、隠蔽しまくると云う、到底、有り得ない企業姿勢を続けており、IT企業としての責務や企業コンプライアンスは皆無のようだ!
【以 下 転 載】
https://atmarkit.itmedia.co.jp/ait/articles/2402/22/news014.html
「2024年1月の「WinRE更新エラー」は、なぜ、どのように発生したのか? どうやって解決するつもりなのか?/検証! Microsoft&Windowsセキュリティ(10)」
@IT [山市良,テクニカルライター] 2024年02月22日 05時00分
①2024年1月のセキュリティ更新プログラム「KB5034441」でエラーが多発、その原因は、「更新されたWinREを格納する回復パーティションの空き容量不足」であり、それを解消すれば、エラーを回避してインストールを成功させる事が出来る。
②「Windows11」のバージョン22H2とバージョン23H2では、WinREの更新は品質更新プログラムに含まれており、「回復パーティション」の空き容量が足りない場合、WinREの更新は元のイメージにロールバックされて、サイレントに失敗する。
WinREが更新されない場合、脆弱性は放置される事になる。これまでに公開されたWinREのBitLockerパイパスの脆弱性は、悪用の可能性は低いので、そうだとしても重大な問題にはならないが、今後、WinREに悪用の可能性がある重大な脆弱性が見つかった場合、そうとも云っておられない。
③CVE-2024-20666のWeb頁では、Windowsの様々なバージョンに対して、WinREを手動でオフラインパッチするPowerShellスクリプトも紹介されている。
このオフラインパッチをWindows10バージョン21H2/22H2、Windows11バージョン21H2、他のServerOSに対して、「自動化ソリューション」として提供を強行した結果が、今回のセキュリティ更新プログラムのエラーを多発させた。
④WinREがWindows Updateで更新されるようになったのは、Windows11バージョン22H2の途中からだ。Windows11バージョン23H2は、WinREの更新の可能性を最初から知っている最初のバージョンだ。その為、Windows11バージョン22H2以前や、Windows11バージョン22H2から有効化パッケージで更新されたバージョン23H2では、セキュリティ又は品質更新プログラムに依るWinREの更新は失敗する可能性がある。
⑤添付図1の表1は、Windows10バージョン22H2、Windows11バージョン22H2、Windows11バージョン23H2を、Windowsセットアップにパーティション作成を任せて新規インストールした場合の「回復パーティションのサイズ」「WinREのサイズ(使用したISOイメージに依って異なる場合がある)」「空き領域」「2024年1月に更新されたWinREのサイズ」「WinREの更新の成功/失敗」をまとめたものだ。これらの情報は、「C:\Windows\Logs\WinREAgent\setupact.log」にも、添付図2のように記録される。
◎⑥Windows10/11の通常のインストールでは、回復パーティションはディスクの最後に配置されているので、その1つ前にあるOS用パーティションの領域を縮小(Shrink)して、未使用領域を確保し、その領域を含めて回復パーティションを作成し直して、WinREをセットアップし直せば、更新プログラムのインストールは成功する。
◎⑦現在、問題のセキュリティ更新プログラムのWeb頁には、「この更新プログラムを正常にインストールするには、回復パーティションに250MBの空き領域が必要です」と書いてあるが、実際には50~100MB程度追加するだけで成功した。
⑧容量不足に依る失敗(ロールバック)については、同じログファイルに添付図3のように記録される。Windows11バージョン22H2では、2024年1月の品質更新プログラムでWinREが更新されたが、既定のパーティション構成では明らかに容量不足であり、WinREは更新されずにロールバックされる。品質更新プログラムのインストールは成功した事にされ、WinREが更新されなかった事がユーザに通知されることはない。
⑨今回の脆弱性はBitLockerドライブ暗号化を利用していない限り、影響を受けないし、影響を受けるとしても悪用の可能性が低い為に、放置しても問題はないが、今後、より深刻なセキュリティ問題でWinREの更新が必要になった事を考えてみてほしい。又、Windows Server 2016やWindows Server 2019の既定のパーティション構成では回復パーティションがディスクの先頭に位置しているので、緊急でWinREの更新が必要になった場合、かなり厄介だ。
⑩Windowsセットアップが自動作成したパーティション構成のWindows10バージョン22H2(x64)環境に、「KB5034957」に従って手動でオフラインパッチを実施したところ、問題なく更新は成功した。このオフラインパッチのPowerShellスクリプトは、回復パーティション内のWinREイメージを直接ローカルにマウントし、パッチした上でアンマウントすると云う動きをする。
⑪2023年3月にWindows10/11向けに同じように、WinREのオフラインパッチ用スクリプトが提供された事があった。その時は、回復パーティションの空き容量不足でスクリプトが失敗する事があったが、今回はサイズが微増であったので、「たまたま成功した」のだと思われる。
⑫しかしながら、その後Windows Updateを実行すると、セキュリティ更新プログラム「KB5034441」が検出、ダウンロード、インストールされ、そしてエラー「0x80070643」で失敗を繰り返す。CVE-2024-20666は対策済みであり、セキュリティ更新プログラム「KB5034441」は不要のはずだ。これが検出されるのは、「自動化ソリューション」がWinREの現在のバージョンをチェックしていないからだ。
⑬なぜ、今回の更新プログラムはこのように多数の問題を抱えたままリリースされたのか、それは、サポートされている全ての環境でテストしていないからだろう。
回復パーティション不足に依る更新の失敗は、KB情報公開時から分かっていたようだし、回復パーティションの拡張方法もKB情報までたどり着ければ最初から提供されていた。
しかし、回復パーティションが存在しない、WinRMが有効になっていない環境は想定していなかったようだ。そして、Server Coreの違いも想定しておらず、通常のWindowsと同じように更新出来るはずだと思ったのだろう。
⑭Microsoftは2024年2月上旬に、回復パーティションの拡張に使用出来る新たなPowerShellスクリプトを公開した。筆者はこのPowerShellスクリプトで拡張出来たが、管理者権限での実行、PowerShellの実行ポリシーの設定、バックアップディレクトリの作成、スクリプトとの対話実行(英語)など、一般のユーザにはハードルが高過ぎると感じた。尚、このスクリプトはWindows PowerShellでは問題なく機能するようだが、「PowerShell7」(旧称、PowerShell Core)では、Split演算子の挙動の違いが原因でOSドライブの検出に失敗する。
⑮このように、2024年1月のWinREのセキュリティ更新プログラム(自動化ソリューション)には、数多くの問題がある。そして、2024年2月のセキュリティ更新では、この問題は解決されなかった。Microsoftはこの問題に、どのように対処するのだろうか。
⑯Microsoftは2023年5月から段階的に進めているセキュアブート関連の脆弱性対策を、2024年10月に強制実施する予定だ。これに備える為にも、実は、WinREの更新が重要になる。
⑰Microsoftは、2023年5月のセキュリティ更新(Bリリース)で、「Windowsブートマネージャー」を更新し、古いブートマネージャーを失効させる為の「コード整合性ブートポリシー」(SKUSiPolicy.p7b)と、信頼されていないモジュールの読み込みをブロックする「禁止された署名リストデータベース」(DBX)の更新を、既定では無効な状態で提供した(初期展開フェーズ)。
◎⑱その後、2023年7月(Bリリース)に第2フェーズに進み、軽減策を有効にする簡略化された手順が追加された。そして今後、2024年4月9日からの第3フェーズ(追加の脆弱なブートマネージャーのブロック、起動可能メディアの更新が必要)、2024年10月に最終フェーズ(SKUSiPolicy.p7bとDBXの強制施行)が予定されている。
強制施行が実施されると、更新されていない回復パーティションの古いWinREイメージや、古い起動可能なメディア(インストールメディア、システム修復ディスク、回復ドライブ)から、セキュアブートが有効なWindowsデバイスを起動出来なくなる可能性がある。
⑲これからWindows10/11を新規インストールすると云う場合は、予め余裕のある容量で回復パーティションを手動作成してインストールする事をお勧めしたい。筆者の物理PCでは全て回復パーティションを手動作成してインストールしてあるので、今回のエラーの影響を受ける事はなかった。
