Windows 10 May 2020 Update、「メモリ整合性」の有効化と特定のディスプレイドライバーの組み合わせでインストールできない問題 23
ストーリー by headless
問題 部門より
問題 部門より
先日リリースされたWindows 10 May 2020 Update(バージョン2004)では、ハイパーバイザーによるコード整合性の保護(HVCI)が有効になっていると特定のディスプレイドライバーとの組み合わせでインストールがブロックされるそうだ( Microsoftサポートの記事、 Neowinの記事 )。
HVCIは悪意のあるコードを高セキュリティプロセスに挿入する攻撃を避けるためのもので、「Windowsセキュリティ」の「デバイスセキュリティ→コア分離」で「メモリ整合性」をオンにすると有効になる。しかし、メモリ整合性の保護を有効にした場合、特定のディスプレイドライバーとの組み合わせでバージョン2004との互換性に関する問題が発生することがあるという。
特定のディスプレイドライバーといいつつ製品名やバージョンは記載されていないが、影響を受ける環境ではメモリ整合性を無効にするよう表示されてバージョン2004のインストールが中断するそうだ。回避策としてはディスプレイドライバーを更新する、更新できない・更新しても効果がない場合はメモリ整合性を無効にする、という2つの方法が提示されている。
同じサポート記事の日本語版は最終更新日が4月17日でWindows Insider Preview向けの内容になっており、1か月以上前から確認されていた問題のようだ。
HVCIは悪意のあるコードを高セキュリティプロセスに挿入する攻撃を避けるためのもので、「Windowsセキュリティ」の「デバイスセキュリティ→コア分離」で「メモリ整合性」をオンにすると有効になる。しかし、メモリ整合性の保護を有効にした場合、特定のディスプレイドライバーとの組み合わせでバージョン2004との互換性に関する問題が発生することがあるという。
特定のディスプレイドライバーといいつつ製品名やバージョンは記載されていないが、影響を受ける環境ではメモリ整合性を無効にするよう表示されてバージョン2004のインストールが中断するそうだ。回避策としてはディスプレイドライバーを更新する、更新できない・更新しても効果がない場合はメモリ整合性を無効にする、という2つの方法が提示されている。
同じサポート記事の日本語版は最終更新日が4月17日でWindows Insider Preview向けの内容になっており、1か月以上前から確認されていた問題のようだ。
どこのドライバだろ? (スコア:0)
IntelとかNVIDIAだと大問題になりそうですが。
Re: (スコア:0)
どこのでも問題になると思いますけど。
シェアはAMD:Intel:NIDIAがそれぞれ2:6:2ぐらいなんだし。
Re: (スコア:0)
Matroxなら…
#一応Windows10対応のPCIe x16接続カードとかあるのよ
Re: (スコア:0)
HVCIの初期値はオフで、対応しているのは8世代CoreかRizen2以降、
VT-XやAMD-vが必要になるが、これも最近のUEFIだと初期値オフが多いので、問題が顕著化することはないのでは、と。
Re: (スコア:0)
VT-xがデフォルトで無効なんてMacと極一部のVAIOくらいじゃないの?
絶対ネットで叩かれるのにあり得ない
Re:どこのドライバだろ? (スコア:1)
ASUSマザーは出荷時Disabledのしか見た事がない
https://did2memo.net/2019/05/13/uefi-bios-enable-intel-virtualization-... [did2memo.net]
Re:どこのドライバだろ? (スコア:1)
BIOSアップデートの度にVT-x無効になるので、仮想マシン使う人はほんのちょっどだけ面倒。
ただセキュリティ上の理由でデフォルト無効なので、この仕様は適切ですわな。
当時はBlue Pill [wikipedia.org]とか、OSの下で動作する為100%検知不可能なルートキットってことで
結構問題になりましたな。
Re: (スコア:0)
特定のソフトウェアだけ動作しないとかじゃないの?
Re: (スコア:0)
もしかして、さりげなくAMDならいつものことだって言ってますか?
えっと。。。 (スコア:0)
メモリ整合性の保護の無効化って
UI上で無効にしても
レジストリを手動で戻しても
元には戻らず
初期化しか手がないんじゃなかったっけ?
# May 2020 Updateではその不可逆性が修正されてるってことではないと思うのだが。。。
Re:えっと。。。 (スコア:3, 参考になる)
タレコミのリンク先にあるマイクロソフトのページに
How to turn off HVCI
って説明があります
要はこのコマンドを実行して再起動するだけで無効化できるみたいですよ
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
Re: (スコア:0)
タレコミのリンク先にあるマイクロソフトのページに
How to turn off HVCI
って説明があります
要はこのコマンドを実行して再起動するだけで無効化できるみたいですよ
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
以前からUI上やレジストリ操作での無効化情報はありまして
それを行ってもダメだったわけなのだけども
今回のソースのどこを探しても
それが解消されてるって情報はなさげなわけでして
Re: (スコア:0)
回復環境でブートしている場合、書き換えてるレジストリが間違ってるとか?
reg load HKLM\wkSYS W:\Windows\System32\config\system
reg add "HKLM\wkSYS\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
みたいにSystemハイブをマウントしてから書き換えないと、起動イメージの一時的なレジストリを書き換えるだけの無駄な努力をすることになります。
Re:えっと。。。 (スコア:1)
#3825133への追記
「CurrentControlSet」が本当に適切か不明なので、
reg query HKLM\wkSYS\Select
の結果を参照して、
reg add "HKLM\wkSYS\ControlSet###\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
の###を001、002等に書き換えて再試行する必要があるかもしれません。
# 書き換える前にqueryしてキーが存在するか確認すべきとも思う。
確かに (スコア:0)
「 コード整合性に対する仮想化ベースの保護を有効にする [microsoft.com]」(英語版 [microsoft.com])の「トラブルシューティング」のCに有効にして問題があったら以前のチェックポイントに戻して起動しろ、ってありますね。
ここに書いてある「s
Re: (スコア:0)
https://yamanxworld.blogspot.com/2015/11/upgrade-to-windows-10-device-... [blogspot.com]
月日が流れるのは早いもんです
最近、virtualboxでWin10上でubuntuの14.04とかvhdで動かしてみてましたが、
古いAPU/CPUだとレジストリにEnabled=0とか書き込んでしまうとUIから設定が変更できなくなるみたい。
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCode Integrity\Enabled
Re: (スコア:0)
トレンドマイクロがコメントに書かれてて草
Re: (スコア:0)
では高品質な製品を教えてください
Re:まだまだ序の口 (スコア:1)
マイクロソフトのVaporWareは、どれもこれも凄く高品質で高性能に思えたのになあ。
Re: (スコア:0)
・・・・・。サイドワインダー (ボソっ)