Windows Updateは自動適用しないようにしているので、ディフェンダーのパターン更新のたびにWindows Updateの画面を表示させるのだが、今日その画面で
この PC は現在、Windows 11のすべてのシステム要件を満たしていません
詳細を取得し、PC 正常性チェック アプリで実行できる項目があるかどうかを確認します。
というメッセージが表示された。
結論からすると、メインPCでWindows 11を動作させることはできないのだが、将来PCを組み直したときに即アップデートできるよう、何を言われているのかをよく理解しようと思った。
メインPCは古いのだけれども、セキュアブートにすることはできるので、やってみた。
やり方は別の記事として切り出している。
Windows 11への誘い
Windows Update画面のお知らせ
Windows Updateで表示されたのは、このようなメッセージだった。
冒頭のメッセージが表示されており、「正常性チェックを受ける」のところがリンクになっている。
このリンクをクリックしてみたところ、こちらのページが表示された。
Microsoft / 新しい Windows 11 OS へのアップグレード - 互換性の確認
正常性チェックの実行
PC 正常性チェック アプリのダウンロード、とある。
これが散々話題になった例のツールか、と思ってダウンロードしたら、WindowsPCHealthCheckSetup.msi とかで、インストーラーになっているみたい。
早速起動して、インストールする。
インストーラーの最後の画面で「Windows PC 正常性チェックを開く」にチェックが入っているので、自動的にアプリケーションが起動する。
今すくチェックのボタンを押すと…
あ、駄目っぽい。
以降、この結果は何なのかを確認していく。
確認結果
結果として、このPCでWindows 11は使えないことがわかった。
- セキュアブート
- TPM2.0
- CPUの鮮度
それぞれ少し詳しく調べてみる。
セキュアブート
PC はセキュアブートをサポートしている必要があります。
UEFI起動、セキュアブートに対応するマザーボードならば対応可能。
第4世代のCPUを積んだこのPCでも、セキュアブートには対応していたので、少し手間をかけて実装した。
セキュアブートは信頼されたソフトウェアのみを使用してデバイスが起動されるようにする仕組み。
Microsoft / セキュア ブート
ブートプロセスの保護についてはこちらに説明があった。
Microsoft / Windows ブート プロセスをセキュリティで保護する
- PCは起動するときにブートローダーを探して実行するが、UEFIが搭載されたPCは最初にファームウェアがデジタル署名されていることを確認する。
- セキュアブートが有効になっていたら、ブートローダーのデジタル署名を検証する。
- Windows用に認定されたPCの場合、Microsoftの証明書を信頼するようになっている。
- ユーザーが自分でブートローダーのデジタル署名を承認することもできる。
- ここからはトラストブートという仕組みに移行。
- ブートローダーは、Windowsカーネルのデジタル署名を検証してから読み込む。
- Windowsカーネルは、ブートドライバー、スタートアップファイル等々のコンポーネントを検証してから読み込む。
- さらに、起動時マルウェア対策(Early Launch Anti-Malware / ELAM)に移行し、Microsoft以外のブートドライバーを保護する。
- Micorosoft以外のすべてのブートドライバー・アプリケーションよりも先に読み込まれる。
- 起動を遅らせないように、ブートドライバーが信頼されたドライバーの一覧に含まれているかどうかを単純に確認する。
セキュアブートはブートローダーを保護、トラストブートはカーネルを保護。なるほど…。
メインPCのファームウェア設定を見てみると、UEFI起動に対応しており、UEFI起動にするとセキュアブートが選択できるようになっていた。
そのため、以下を実施すればセキュアブートにできる。
- OSがMBR形式のSSDにインストールされているので、これをGPT形式に変換する。
さらに、MSR(Microsoft Reserved)というパーティションを作り、Windowsがパーティションを効率よく管理できるようにする。 - ESP(EFI System Partition)を作り、そこにブートローダーをインストールする。
- ファームウェア設定でUEFI起動とセキュアブートを選択する。
これらのパーティション操作は失敗すると大変なことになるので、検証環境を作り、手順を確立してから実行した。
あまりに長くなったので、別の記事に切り出すことにする。
TPM 2.0
TPM 2.0 がこの PC でサポートされ、有効になっている必要があります。
TPM TPM は検出されませんでした
マザーボードがTMP2.0に対応していれば、ファームウェア(BIOS)の設定だけで対応可能。
このPCのマザーボードはTPMを搭載しておらず、TPMチップを取り付けるコネクタが付いているタイプなのだが、TPM1.2のチップしか販売されておらず、TPM2.0を実装することができなかった。
Trusted Platform Module(TPM)については、こちらの説明がわかりやすい。
PC Watch / Windows 11で必須になった「TPM 2.0」って何?TPMの役割や確認方法を紹介
先程のMicrosoftの説明では、
- ELAMの前(セキュアブート・トラストブートのことか)に読み込まれる色々のハッシュをTPMに放り込む。
- スタートアッププロセスの最後にリモート構成証明クライアントを起動すると、信頼された構成証明書サーバーが一意のキーを送ってくれる。
- TPMはそのキーを使用して、UEFIによって記録されたログにデジタル署名をする。
- リモート構成証明クライアントが、信頼された構成証明書サーバーにログを送る。
となっていて、Microsoftが用意したファイルに改ざんがされていたら、構成証明書サーバーで検出できる仕組みに見える。
例えば…その昔、WindowsのDLLにパッチをあててちょっと特殊な動きをさせたのだが、これは人間が自らの手で行うマルウェア活動ってことになり、行われた改ざんを機械的に洗い出すことができるんじゃないかと。
このことだけをみると、個人用のPCにこんなもんいるか?と思ってしまう。
併せて、あぁ、業務的にはこれを管理していく(管理されるようになる)んだなぁと予感したりして。
なお、PC Watchで示されたBitLockerの例について、TPMなしでBitLockerを利用するこの記事が勉強になる。
guro_chanの手帳 / TPMを装備していないマシンでもBitLockerによるデータ暗号化を利用する
そうか、Miix 2 8はファームウェアにTPM機能を有していた訳か。
SEの雑記 / Miix2 を購入しました
BIOSにあるならそれを使っても全然良いのではないかと思われ、その観点で見つかった記事が勉強になる。
情報科学屋さんを目指す人のメモ / 【Windows 11】TPM2.0を有効にするBIOS設定の変更手順メモ(自作PCでWindows 11のシステム要件を満たすために行った設定変更)
IntelのCPUは第4世代からTPMをサポートしているらしい(その情報が書かれていたページのメモ忘れ…)。
ギリ第4世代!だったのでメインPCのファームウェア設定をすべて眺めてみたが、その設定項目は存在しなかった。
マザーボードはMSIのOEMだが、MSIは第6世代のCPUまでをサポートしており、第4世代のPCはサポートしていなかった。TPM2.0のコネクターはあったので、モジュールを買ってきて組み込めば行けるかもしれないが、なんかものすごく高い…。
TPMには1.2と2.0があって、このマザーボード情報を改めて探してみると…どこにもバージョンが書いていない。MSIのホームページにあるTPM2.0モジュールの対応マザーボードにこの型番はなかったので、対応できそうもない。
CPU
プロセッサは現在、Windows 11でサポートされていません。
プロセッサ: Intel Core i5-4590 CPU @ 3.30GHz
この対応CPUは企業で利用する場合の話であって、個人が自己責任でやるなら、ISOファイルを使った手動インストールができる模様。
対応CPUを確認してみたところ、IntelのCPUの場合、第8世代以降でなければ駄目みたい。
第8世代の販売というと、2017年11月2日のよう。
週刊アスキー / 第8世代Core、10月27日予約 11月2日発売
4年かー。かなり新しいもの限定なんだなと思う。
なお、記事を書いている段階で以下を発見。
engadget / MS「Windows 11は手動なら古いPCにも導入可能」と説明
Windows 10のサポート期限
デバイスの仕様ボタンをクリックすると、
この PC は Windows 11 に対応していません
と書かれたページが表示される。
ここに、「WINDOWS 10 は今まで通り使えますか?」のリンクがあり、表示させてみたところ
使用中の PC がハードウェア仕様の最小要件を満たしていない場合はどうなりますか? Windows 10 のままで使用を継続できますか?
はい。Windows 10 は今後も、とても優れたバージョンの Windows としてお使いいただけます。Windows 10 のサポートは 2025 年 10 月 14 日まで継続します。
とのことなので、2025/10/14までこのPCは使用可能。
その頃にはこのPCも発売から12年が経過しているのか。
そう考えると、このPCは仕方がないな、多分どこかで買い換えてるな、きっと。
第7世代のPCも7~8年くらい使って引退か、なるほど現実的ではある。
この状態でWindows 11をインストールしたら
2022/04/03 追記
Microsoftによれば…
最小システム要件を満たしていないデバイスに Windows 11 をインストールした場合、以下の免責事項が適用されます。
この PC は、Windows 11 を実行するための最小システム要件を満たしていません。これらの要件は、より信頼性が高く、より高品質のエクスペリエンスを保証するのに役立ちます。 この PC に Windows 11 をインストールすることはお勧めできません。互換性の問題が発生する可能性があります。 Windows 11 のインストールを続行すると、PC はサポートされなくなり、更新プログラムを受け取る資格がなくなります。 互換性の欠如による PC の損傷は、製造元の保証の対象外です。
Microsoft / 最小システム要件を満たしていないデバイスに Windows 11 をインストールする
とのことで、特に「更新プログラムを受け取る資格がなくなります」が気になるところ。
「TPM 回避」といったキーワードで探すと、これを回避してWindows 11をインストールできることが書かれているが、多数の対策が必要になるような記述も。
経験上は…
過去のバージョンアップで、Windowsが全く動かなくなるようなことを体験したことはない。表示が寂しいとか、一部機能が制限されるといった程度。
だから、やってみる価値はあるかもしれないが、セキュリティアップデートが受けられなくなったら問題は深刻。
少し話はそれるが、いま、ウチで稼働しているESXiはCPUの制限を無視ししてインストールしたものだが、実はその制限がその後に作る仮想ゲストにも影響している。
仮想ゲスト作成のたびに細々設定を入れて動作させているが、この先も安定して動くかどうかは運次第。
これらのことから、メインPCで試すには無視できないリスクだと思った。
新しいPCを購入したら、このPCにはサーバーとして頑張ってもらう日がやってくるのだから、それまで安定したWindows 10で使い続けることにする。
さいごに
Windows 7→10のアップグレードで色々と苦労したけど、きっとMicrosoftも苦労したんだろうなぁ、バッサリと古いのを切り捨てた。
そう、何かを理由に切り捨てないと、この時みたいにVistaのドライバが入ったままWindows 10にしようとする輩が現れ、そういう古いPCが不具合を起こして文句を言われるわけで、良いことがない。PCメーカーも、そんな古いのを使い続けられたら迷惑だろう。
一方、最近は画期的なPC性能の向上を感じられていなくて、PCをかなり長く使っている。
切り捨てられるほど性能足らないのかなー、試してみないとわからないけれども、試すことができないからわからない。
ところで、アップデートに期限はあるのだろうか?
例によってPCを組んじゃえば、CPUの問題も解消できるといえばできる訳なんだけれど。
やれることはやっておいて、我が家の財務省の様子をうかがっていく日々になりそうだ。
コメントはこちらから お気軽にどうぞ ~ 投稿に関するご意見・感想・他