デュアルブート環境のVista、SP1インストール時にはご注意を 31
ストーリー by hylom
ブートローダーはOSのもの? 部門より
ブートローダーはOSのもの? 部門より
あるAnonymous Coward 曰く、
Vista EnterpriseやVista UltimateとともにLinuxなどをインストールし、Linuxのブートローダを使ってデュアルブートにしているようなシステムでは、SP1インストール時に問題が発生する場合がある。問題はMicrosoft認定のブートローダを使用していなかったり、ブートプロセスに承認されていない変更を行っていたりするケースで、このような場合SPがシステムのトラストチェーンを無効化してしまい、TPMがハードディスクをアンロックするキーを発行してくれなくなってしまう。
BitLockerを走らせていない場合、Vista専用のブートローダに戻し、SPをインストールした後、ほかのブートローダを再インストールすればokだ。BitLockerを走らせていたり、またトラステッドコンピューティング処理がそのまま続行された場合は、残念ながら面倒なことになりそうだ(apcmag.com・本家記事)。
この問題は、Windows Vista SP1でBitLockerによるブートドライブの暗号化に対応したために発生する模様。通常のSP1ではこの機能に対応する新しいブートローダがインストールされるが、このブートローダ―GRUBやLILOなどの「Microsoft非認定」のものに置き換えられていると、起動時の信頼性チェックに引っかかる、ということらしい。この問題は、BitLockerのオン/オフには関係なく発生する可能性があるそうだ。
セキュリティの向上→落とし穴でガクブル (スコア:4, 興味深い)
認証やハードウェアの組み合わせの制限を掛けると,
それはそれでいざというときガクブルな事態になってしまうことがありますよね.
昨今のPCだと,たいていは
1)BIOSへのパスワード設定
2)ハードディスクへのパスワード設定
3)ボリュームレベルでの暗号化
4)ファイルシステムレベルでの暗号化
5)暗号化に必要なキーのTPMでの管理
くらいは可能になっていますが,にファイルシステムに加えてキーのバックアップを
怠っていたりするともう悲惨な事態に・・・ええ,NTFSのEFSのキーを失って
ガクブルしたことがあります.暗号化していないバックアップがあったので
事なきを得ましたけど.
そういやハードディスクへのパスワード設定って,
実はATAコマンドをチョイチョイと直接叩けば解除できたりするのだろうか?
屍体メモ [windy.cx]
Re:セキュリティの向上→落とし穴でガクブル (スコア:2, 参考になる)
全消去の上、解除するコマンドがあったかと。
Re:セキュリティの向上→落とし穴でガクブル (スコア:1)
コマンドというより、強引に上書きするみたいですけど。
http://trashbox.homeip.net/nownow/20070107/
Re:セキュリティの向上→落とし穴でガクブル (スコア:1)
キーを無くしてしまってさぁ大変という事を指しているのか
バックアップには暗号化掛けていないという、ひどい片手落ちを指しているのか
どっちなんでしょう?
# キーは無くさないようディスプレイ等見やすい位置に貼っておく事!
やはり仕様? (スコア:3, 興味深い)
「Windows Vista、ブラインドテストで好印象? [srad.jp]」なんて事までしてVistaのイメージを良くしようとしても、こういう制限や問題が発覚するたびに多くの技術者がVistaに不安を覚えるのではないでしょうか?
MSでもどんなことが起きるか予測できていないように感じるし、このままだと「WindowsXPがMS最後のまともなOS」という事になりかねない。
個人的には、サーバーOSとしてのWindowsは色々と面倒なので避けたいが、クライアントOSとしては優れたOSだと思っています。
(ウィルス感染とか、セキュリティホールとかは棚に上げておいて、操作性に関してね。)
Windowsが無くなっても代わりのOSを使うだろうから自分は困らないが、周りのPCユーザーからの質問に答えるのは非常に面倒だったりする。
そういうことも考えて、Windows7はまともであってほしいのだが。
Windows7にもいろいろな仕様が盛り込まれるのだろうか....
ブートローダ入れ替えまで責任負えないのでは (スコア:5, すばらしい洞察)
マイクロソフトを非難するのはちょっと酷ではという気がします.
むしろブートローダ入れ替えられちゃっても起動するよって方が
怖いのではないでしょうか?
屍体メモ [windy.cx]
Re: (スコア:0)
>マイクロソフトを非難するのはちょっと酷ではという気がします.
マイクロソフトがデュアルブートできる純正ブートローダを用意すれば済むこと。
『悪の帝国』とも呼ばれる世界的独占企業マイクロソフトが、自社の独占的地位を
守るためにLinuxを排除しようとした結果がコレだと言われてもしかたないな。
これだったのか (スコア:3, 参考になる)
TPMってそういうものでしょ? (スコア:2, 興味深い)
TPM無しのPCでVistaとXPとUbuntuをマルチブートしてますけど問題ありませんよ。
VistaはBitLockerで、XPはTruecryptで、Ubuntuはdm-cryptでそれぞれシステム暗号化してます。ブートローダーはTruecryptで、Vistaを起動する時はTruecrypt用パスワードを入れて、BitLocker用USBメモリを入れる。Ubuntuを起動する時はTruecryptブートローダーでエスケープを押すとGRUBに遷移できます。
Re: (スコア:0)
システムドライブのBitLockerがOFFの時に、ブートローダーをGRUBに入れ替えてブートできないのはどうよ?ってことだと思います。
MS製MBR以外は禁止? (スコア:1, すばらしい洞察)
TPM を利用する環境では MBR の内容まで制限されても仕方がない。
だとしたらどちらなんでしょ?
Re:MS製MBR以外は禁止? (スコア:5, すばらしい洞察)
また、単一のパーティション中に存在するコンポーネントは、ブートローダも含めて一つの OS であるとして考えると、その中の特定ファイルやコンポーネントを入れ替えることによって特定の機能やソフトウェアが動作しない状況が発生しうることは、当たり前とも言えます。
いうなれば、認証されていない explorer.exe に入れ替えて正常動作しないのも、NTLDR をサードパーティのブートローダに入れ替えて正常動作しないのも、どちらも同じレベルの出来事と言えるのではないかと。
# explorer.exe を自作プログラムに置き替えたら動かなくなった!と言われてもね。
Re: (スコア:0)
先生!
explorer.exe を マイクロソフト製のcalc.exeに置き替えたら動かなくなりました!
Re:MS製MBR以外は禁止? (スコア:1, おもしろおかしい)
実際に試してみたらわかるが、ログオン後にデスクトップの代わりに
電卓が表示される。至って正常だ。
Re: (スコア:0)
で、ファイルメニューからタスク実行でexplorer.exeを実行すればシェルが起動するはず。
フォルダを開くみたいな事をしても内部的にexplorer.exeが起動されるので多分起動する。
ただし、Vistaがどうなってるかは不明。
# 変なシェル拡張が刺さった時とかリソースを極限に絞りたい時に便利。
Re: (スコア:0)
Utilman.exeを マイクロソフト製のcmd.exeに置き替えたらログイン画面でコマンドプロンプトが動きました! [google.co.jp]
#管理者権限で開いちゃセキュリティ台無しだろ
#対策されたのかな?
Re:MS製MBR以外は禁止? (スコア:1)
やってることは login とか sshd とかを root で起動する話と一緒。
nologin を login に置き換えて、本来ログイン不能なユーザでログインできてしまったらセキュリティ台無し、とか言うんですか?
utilman.exe は Windows 2000 から存在しているものであり、2000/XP でも同じ攻撃は可能なのでわざわざ「Vista utilman.exe」で検索する意味はありません。むしろ XP 以前なら問題ないと誤解させる可能性があります。(XP でもログイン画面で Win+U を押せば同等のユーザ補助機能を呼び出せます)
通常 Windows 上からシステムファイルを書き換えても XP 以降では復元しようとされてしまうため、明確にこうしたバックアップ機能をオフにする、バックアップを消す、といった事を行わなければいけない以上、Windows 側では「とっくに対策されている」状態と言えるのではないでしょうか。
Re: (スコア:0)
#ここ [technobahn.com]でも「Vistaだけ」と
Re:MS製MBR以外は禁止? (スコア:1)
その記事が /.jp で出たかは覚えていないのですが、そのニュースって新しくも何ともない [avertlabs.com] 記事であって [itmedia.co.jp]、YouTube に現実に XP でやってる動画 [youtube.com]すらあったりしますが。
ちなみに Vista のログオン画面は Server 2008 でも利用されていますので (当然ユーザ補助機能も起動する)、Vista だけではなく Server 2008 も含まれることになるかと。
あと、同列の話だともっとひどい辺りで logon.scr (かな?) 辺りを cmd.exe と置き換えることでログオン画面でスクリーンセーバーが起動しようとした際にコマンドプロンプトが開くというのがあり、これは NT4 以前から共通だったりしますが……。
ちなみに、ログオン画面とユーティリティマネージャ回りに関して、Microsoft は 2004 年を最後に特に何も更新情報を出していませんね。
Re: (スコア:0)
Re: (スコア:0)
自社製品同士の組み合わせ(XP と Vista)なのにデュアルブートさせるのが面倒すぎる。
Re:MS製MBR以外は禁止? (スコア:1)
Macは大丈夫そう? (スコア:1)
よく解りませんがMacOS Xとのデュアルブートでは心配ないってことでいいんですかね。
まあ問題があるならAppleが直してくれるだろうとは思ってるんですが(それ以前にVista使ってないし)。
Re: (スコア:0)
IntelMac は EFI だから事情が違うんじゃねえの
揚足 (スコア:1, おもしろおかしい)
そうか、三つ以上OSいれときゃ大丈夫なのか
故意? (スコア:0)
Re:不思議なのは(おふとぴ) (スコア:1)
自分はMS擁護派のつもりはないし、どちらかと言えば「人にでも手を出して他所の商売を邪魔するな!」的な意見は持ってます。
でもWindowsが無いと困る人がいるのも事実な訳で、例え「悪の帝国」であっても一方的に責められる訳ではないということです。
> 飼いならされちゃった連中には消えて欲しいかも
スラドが貴方のものならそれでも構いませんが、そうではないでしょう?
「余計なお世話」ってことです。
スラド=アンチMS
ではないし、貴方の意見も含めて色々な考えを持ってる人がいるわけです。
だからといって、自分と違う意見の人を排除するような発言は望まれてはいないと思いますよ。