miniPCのBMAXでWindows11のsecure boot設定漏れでトラブル発生

0.推奨

Windows11をプリインストールモデルの状態で利用されている場合は問題になることはありません。Windows11のUSB bootメディアを作成して自分で新規導入したり、Windows10からWindows11へupgradeをした場合。Windows11への移行条件確認が十分でない状態があったのではないかと思います。Windows11で必須要件を満たさずに移行されたWindows11環境がありました。

今回のトラブルでBitLockerの48桁の回復キーがないことが痛手でした。Windows11を利用する上でBitLockerの回復キーは大切に保管が必要です。secure bootを設定するとディスクは暗号化されてしまいます。障害復旧に回復キーは必須です。6月の証明書期限切れで問題が発生して、思わぬ事態にならぬように早めにチェックすること、回復キーを保管することを推奨します。

1.概要

始まりは、参考資料の「6月からパソコンが動かなくなる?」です。miniPCのsecure boot設定をmsinfo32で確認すると「無効」でした。そこで、BIOSの設定でsecure bootをenableに設定して、msinfo32は「有効」になりました。これが暗号化設定と認識不足でした。Windows Updateを実行して証明書の更新を実行すると、Windows Updateのボタンが赤色に変わりました。ここからトラブルです。理解不足で複数のミスが重なり、データを消失。復旧も時間を必要としました。その内容を記述します。

2.詳細

(1) トラブルの始まり
ネット記事で、secure boot設定が必要で、6月にPCが動かなくなると思って、BIOS設定を変更したことが始まりです。この変更は、BIOSでSecurityのsecure bootをdisableからenableに変更だけです。Windows11を起動してmsinfo32で有効をチェックして完了。追加としてWindows Updateで証明書の導入をしてからハマりました。
障害の状況は、Windows11自体は普通に使えるのですが、Windows Updateのボタンが赤色。文字も赤字に変わりました。今後、発生するupdate適用ができなくなると認識しました。

(2) GoogleAI(Gemini)に相談、そして、Microsoftとchat問合せ
Windows Updateが途中で止まっている可能性があり、その対処策を複数実行。回復=>Windows Updateで問題を解決する=>今すぐ再インストールによる修復を試して駄目でした。
Windows Updateの問題で、問合せができる「赤いボタン」が表示されていたので、Microsoftにchatで相談。海外のサポートのようで英語でした。こちらでもWindows Updateが途中で止まっている可能性を指摘され、サービスからプロセスの停止と再起動の手順を連絡。実行しても変化ありません。quickアシスタンスによるサポート提供の連絡もありましたが、環境問題で接続できません。

(3) ネットワーク環境変更、しかし、効果はなかった
GoogleAI(Gemini)から(2)で実施した手順の回復=>Windows Updateで問題を解決する=>今すぐ再インストールによる修復がipv6環境を必要と考えてネットワーク設定を変更。回復処理は完了したのですが、Windows Updateのボタンが赤色のままで改善しません。ネットワークはipv4に戻しました。

(4) PCのBIOSを規定値に戻して、データ消失。幸いテスト環境だった
secure bootをdisableからenableに一度設定してBitLockerを稼働した後、設定をenableからdisableに戻してもBitLockerの48桁の回復キーがない場合、Windows11の中身を取出す方法がありません。暗号化されてしまってWindows11を起動できなくなります。また、SystemRescueでBootしても暗号化されたデータは参照できません。もし、回復キーがあれば対処方法はありました。
最終的に対処方法がわからないので、Windowsを初期化する方向でBIOSを規定値で初期化。この時に、secure bootの既定値がdisableを確認。

(5) SSD初期化
SSDを初期化したいのですが、BitLockerがblockして簡単ではありません。一度、secure bootをdisableでCSMに変更してSystem Rescueで起動。SSDをgpartdでgptで完全初期化。パーティションは何も作成せず。SSD初期化後にBIOS設定を既定値に戻して、secure bootをenableに設定。

(6) Windows11をUSBからinstall
以前導入に利用したWindows11のUSBからinstallしたのですが、「ライセンスキーがありません」を選択すると、認証エラー。Windows11はインストールできません。2023年に購入したWindows11プリインストール製品ですが、WindowsのライセンスはWindows10で、OS移行時の製品だったと思います。

(7) Windows10をUSBからinstall
このPCはWindows10ライセンス製品であることを過去Blogの参考資料で思い出しました。以前のWindows10の導入USBからWindows10をSSDにinstall。「ライセンスキーがありません」を選択してインストールできました。インストール後、msinfo32でsecure bootが有効を確認。Windows Updateボタンは青色です。更に、Windows updateで最新まで更新。

(8) Windows11へupgrade
Windows11へupgrade可能か確認するために、WindowsPCHealthCheckSetupを実行。問題なし。そこで、Windows11InstallAssistantを利用してupgradeを実行。これでWindows11に変わりました。msinfo32でsecure bootが有効を確認。Windows Updateボタンは青色。更に、更新処理を実行しました。

(9) 証明書の更新
Windows Updateで適用されても実際の証明書確認をpower shellで確認するとfalse。Geminiによると時間が必要との事。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

(10)バックアップ
作業完了したので不要ファイルの削除(システム=>ストレージ=>一時ファイル)、更にBitLocker回復キーを保管しました。外部へのBackup取得をするためにSystemRescueでUSB起動をすると、secure bootがblockしてUSB bootできません。このPCはテスト用途であり、Windows11の外部へのBackupは中止しました。また、Windows11起動時にBackup用にOne Drive設定が推奨されて設定、しかし、良く考えて不要と判断し、One Drive設定をOffに変更。

3.所見

(1) Windows10がインストールできる理由は、プリインストールモデルはBIOS上にWindowsのライセンス番号が記録されている。Geminiから説明で、実機通りで納得できる内容です。 
(2) 以前利用時のWindows11の設定情報は、Windows10導入後Loingする時、Microsoftのmail-address登録情報で復元されます。ブラウザの設定やパスキーなどは引き継がれ復元されます。
(3) PCのBIOS初期化からここまでの作業はipv4環境で実施。ipv6なしで問題ありません。
(4) 準備も含めて作業に必要な時間は12時間以上です。早めにチェックして問題を回避しましょう。
(5) Geminiの提案ではWindows11のバックアップは回復ドライブが最善策とのことです。 

 4.追加

今朝、 証明書の更新を下記コマンドで実行して、Trueに変わり、設定完了しました。[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

2026-04-27加筆

参考資料の2023-12の再導入を参照すると、miniPCのBMAXはWindows11でデジタルライセンス認証を再度実施して、それ以降、Windows11をUSBから再導入できています。私個人の認識ですが、secure bootを設定をすると、再度、ライセンスを元からたどって確認するようです。不明瞭なWindowsライセンスではsecure bootは設定できないと思いました。

参考
[本ブログ内参照]
Windows11が起動できない状態で回復キーを入手する方法
miniPCのBMAXでWindows11の回復ドライブの作成と起動試験
Windows11でストレージが暗号化されるタイミングをKVM環境で調べました
Windows11のセキュアブートと暗号化を少しだけ理解できた気がします
LinuxMint 22.4のKVM環境でBitLockerで暗号化されたWindows11 proのドライブ読込に成功しました
miniPCのBMAXにwindows11を再導入しました。無事完了
miniPCのBMAXにwindows11を再導入(re-install)。ハマりました
BMAX製のminiPCでWindowsの回復とUSBからの再導入を試しました

[外部サイト参照]
・「6月からパソコンが動かなくなる?」証明書の失効で使用不可に!自分のPCが安全か確認する手順を解説
BitLocker 回復キーの検索

コメント

コメントを投稿

過去30日間に良く読まれた記事

OpenMythosをLinuxMint 22.3に環境構築してみました

1.概要 Claude Mythosが話題になっています。このClaude Mythosの公開論文を元にOpen Mythosが開発されてOSS公開されたとのニュースが目に止まりました。早速、Open Mythosの環境構築にチャレンジしました。 2.詳細 pytorchベースで、Pytorch-12.6、CUDA-12.6環境を構築して、python3でimportできることを確認しました。 環境は以下の通りです。 HW amd 3200G, Memory 16GB, SSD 256GB, nvidia-1660 super SW LinuxMint 22.3, NVIDIA-driver-595-open, CUDA-12.6, Pytorch-12.6 (1) nouveauの無効化 /etc/modprobe.d/blacklist-nouveau.conf作成 # nvidia(nouveau) blacklist nouveau options nouveau modeset=0 適用します $ sudo update-initramfs -u (2) nvidia driver設定 $ ubuntu-drivers devices $ sudo apt -y install nvidia-driver-595-open (3) CUDA設定 $ wget https://developer.download.nvidia.com/compute/cuda/repos/ubuntu2404/x86_64/cuda-keyring_1.1-1_all.deb $ sudo dpkg -i cuda-keyring_1.1-1_all.deb $ sudo apt update $ sudo apt install cuda-toolkit-12-6 path設定を~/.bashrcに追加( vi ~/.bashrc ) # CUDA Toolkit export PATH="/usr/local/cuda/bin:$PATH" export LD_LIBRARY_PATH="/usr/local/cuda/lib64:$LD_LIBRARY_PATH" (4) 動作確認 $ nvidia-smi $ nvcc -V ...
続きを読む

OpenMythosをGPUを利用できるDocker環境で構築しました

1.概要 前回までは、LinuxMint 22.3のオンプレミスでGPUを利用してOpenMythosを動かしました。しかし、OS更新で構築環境の整合性が取れずに動作しなくなる場合があり、Docker環境で動かすことにチャレンジしました。その内容を記述します。 2.詳細 LinuxMint 22.3が導入され、nvidiaのGPUがHWとして認識されている状態を想定します。 利用した機器は、amd 3200G, nvidia-1660 superです。 Docker環境を利用することでContainer内部に必要なPython3環境を準備できてpython3-venvも不要となり、操作も楽になります。利用したubuntu-24.04ベースのContainerはUser:Ubuntuが存在し、ContainerとLocal間のデータを楽にできるようにLocal上のUserとuid:gidが同じにしています。 オンプレ構築部分は参考資料(OpenMythosをLinuxMint 22.3に環境構築してみました)を参照願います。 (1) nouveauの無効化 /etc/modprobe.d/blacklist-nouveau.conf作成 # nvidia(nouveau) blacklist nouveau options nouveau modeset=0 適用します $ sudo update-initramfs -u (2) nvidia driver設定 $ ubuntu-drivers devices $ sudo apt -y install nvidia-driver-595-open (3) nvidia Container Toolkit導入 参考資料(Installing the NVIDIA Container Toolkit)を参照願います $ curl -fsSL https://nvidia.github.io/libnvidia-container/gpgkey | sudo gpg --dearmor -o /usr/share/keyrings/nvidia-container-toolkit-keyring.gpg \   && curl -s -L https://nvidia.github.io/libn...
続きを読む