モバイルファースト(働き方改革時代)のIDS/IPS(不正侵入検出、排除)とIT資産管理

ipv6 は殺してしてしまえ。検疫システムの限界 - 今後のIT資産管理

というブログを数年前に書いて、不正端末検出システム(IDS/IPS)の限界を探ってみました。

ま、大した反響もなかったンですが、最近、普段持ち運び用のPCがご臨終になったので、色々物色していました。何しろPCというのはスマートフォンやタブレット端末に向く「デジタルコンシューマー」のツールではなく、その中身を作る「デジタルクリエーター」のツールなのですね。少なくともオフィスにおいてはです。という事で何とか 13.3 Inch の「ちょっと重いけど」フルスペックの安物ノートを手に入れました。ところで、この種の「カバンPC」を探すうえで色々物色して問題となるのが、薄さと軽量化を求めるとオンボードで RJ45 のポートが標準装備というPCが中々手ごろなのがない、という事です。

- 脱着可能な Ethernet アダプタ -

でも「やっぱりNASの中に大量にある、馬鹿みたいにデカい映像や画像、資料からデジタルコンテンツとして、資料見ながら、文書から簡単な映像、プレゼンテーション資料、プログラミングまで、一つのコンテンツを作るなら有線接続だよね」という事になると、多くの 11.1 ~ 13.3 Inch モバイル系PCの多くは、有線LANポートを持っていません。無線アダプタはIDSなどの不正端末検出システムに正規の物として登録しても、速度面ではやっぱり 802.11ac 規格より、有利な有線で 1Gb ネットワークを使いたい、という事で USB TypeC 用の RJ45 変換プラグとかをホワイトリストに登録して使うわけですね。これ、簡単に脱着できるし、簡単に無くすし、別なPCに繋いでも、同じ MAC アドレス使っているのでDHCP環境では同じIP振られる可能性が高く、単に「未登録のPC」に不正使用していただく事もできるわけです。IPS の Arp Poisoning による不正端末検出、切断なんて全然使えません。

「あれ、オレのこのノート、ゲストは繋がんないねぇな」
じゃぁこのアダプタで繋いでみたら?」
「あ、繋がるねぇ」

という事になります。何しろMACアドレスによる arp poisoning は PC 本体の情報ではなく、PCに半永久に実装されている Ethernet Port の MAC アドレスを登録することで、未登録のデバイスにアタックを与えて接続拒否をするからです。「脱着可能な Ethernet Adapter」なんて、「アウトオブ眼中」なのですね。

- テザリング端末 -

まぁ最近のスマートフォンってのは、普通にテザリング機能があるわけですね。当然 IDS にはスマートフォンが社内ネットワークにつながる時は Wireless デバイスの接続の許可/非許可を、システム担当者は IDS 内部に設定できるのですが、テザリングを有効にした後の、その先のタブレットだとか無許可ノートPCなんてのはチェックできない。

勿論、普段使いの BYOD スマートフォンは許可とって、従来型のエージェントレスの IDS/IPS に登録していたとしても、テザリングで「オレんちで使っていたオレのノートPC」も同じ手段で社内に接続ができてしまうのです。現在の普通のIDSシステムではこれを拒否る機能はまずなさそうです。そこで「My持ち込み無許可PC」を「許可付きスマートフォン」のテザリング機能で繋いでしまえば、いくらでもデータコピーができて風呂敷残業ができてしまいます。

- VPN接続 -

何やら「働き方改革」というのがキーワードになる近年、経営側だけのメリットを考えると無駄な残業代をカットしたり、オフィススペースの賃料を節約するために、狭いフリーアクセスフロアにして、経営側は成果、結果ではなく、時間でしか成果を評価できないクセに「ウチで仕事してもいいよ」という事が、どうもぶっ飛んだ企業では流行りになりそうです。当然、これも、IDS/IPS では検出できない。当然VPNで繋ぐにはそれなりの設定というのが必要なんだろうけど、普通は、VPN ゲートウェイのユーザIDとパスワードなんで、自宅で悪い事しているPCでもIDとパスワードを登録すれば、接続できてしまいます。

何しろ「働き方改革」は、与党の民衆への人気取り政策であり、「働くオフィスドレイの為の政策」ではないのです。何しろ多くのIDSで検知できるのはVPNサーバーの MAC アドレスだけ。当然、VPNの向こうの平和だったり、平和でもない家庭のネットワークなんぞ、知らんぞな、もし。という事なのですね。もし、そんなユーザにとっては当たり前の環境を検出できずに、繋がっちゃった場合、責任を取るのは結局「現場のネットワーク管理者の減点5」になるわけです。

-これからのIDS(不正侵入者検出、ブロック)の機能は-

やっぱり、接続可能なデバイスの「システム内部」の全てに何等かのエージェントをインストールして「マーキング」をして、マーキングがないデバイスは接続は許さんぞ、というシステムが必要なような気がします。これらは Windows, MacOS, iOS, Android, Linux など全てのシステムソフトウェアに対応している必要があり、システム管理者に対して「お前働くドレイなんだから、それインストールするのに八王子の山奥に住んでいるオレんちまで来て仕事しろ」というユーザがいるかも知れませんが、黙って高尾山の蕎麦屋のレシート確保してでもやるべき仕事かもしれません。

- やっぱりはびこるセキュリティ根性論 -

私はパスワード管理もウィルス対策も、基本は「根性論」であると考えています。システムとしていくつかの障壁を作ってみても、今あるIDSによる不正接続検出に限界がある以上、「やっていい事」「悪い事」はそれぞれユーザに教科する根性論が重要になります。「悪い事」を教えるのはシステムの穴を教えるようなモノなのですが、「やってもいい事」だけのリストではそれ以外は、グレーリストになるため、ブラックルールも明示し、それなりのペナルティを用意しておくことも必要だろうな、という根性論なのです。またグレーゾーンをどう探し出して、運用基準を定期的にアップデートするかのシステム運用側の「根性論」も重要でしょう。

--
という事で、「今考えられる働き方改革の障害となる不正アクセス検出方法」のホワイトリストに俄然と存在するブラックホールを幾つか考えてみました。単純な IP Poisoning によるIDS/IPS にはもう限界があり、それなりのシステム側の対策には様々な方法が見当たるのでしょうが、その都度、新たな投資を考えなければならないのです。









[PR]
by islandcenter | 2017-10-13 10:41 | プライベートクラウド | Trackback | Comments(0)

Windows10には、複数のPCを使って同じアカウントで使っていると、同じアカウントでログインしているPCに「勝手に個人設定を同期」してくれるという、実にお節介な機能が標準で備わっています。

例えばデスクトップPCの21インチの大きな画面の設定を、11インチのノートパソコンにも「同期」してくれて、せっかくそれぞれのPCに合った好みの「個別のPC設定」を文字通り「個人」の環境に変えてしまうのですね。自宅のサイケデリックな壁紙やカラーの設定がノートPCにも「乗り移ってしまう」と「こいつ何者だ?」とプレゼンテーションでPCをのぞき込まれた時に変な誤解を生みます。

ウザい。

ウザいだけではなく、「自宅PCのムフフな個人設定」を勝手に「仕事用PC」に同期してくれるのですね。これで「仕事の顔」から「素の趣向」がばれてしまうので、PC複数持ちには「邪魔だアッチ行ってろ」的な本当にお節介な機能なのです。

という事で、デフォルトでONになっている個人設定の同期をOFFにする方法です。

スタートメニューにあるシステムの設定(歯車ボタン)から「アカウント」を選びます。
a0056607_09164429.jpg

左の「設定の同期」メニューから「同期の設定」を「オフ」にします。

a0056607_09181199.jpg

もちろん全てOFFにしても、一部だけ同期させても構いません。

まとめ
Windows7 からWindows10 にアップデートしたらまずするべき事。

しっかし、裏で何やっているのか分からないのが Windows の怖さですね。


isLandcenter.jp

Windows10 個人設定の同期 壁紙が勝手に書き換わる 設定が勝手に書き換わる




[PR]
by islandcenter | 2016-10-10 09:24 | Windows | Trackback | Comments(0)

Windows10 の Windows Update は P2P の仕組みを利用して配信するように、デフォルト設定されています。どの様な仕組みなのかは、明らかにされていませんが、アップデートプログラムが Microsoft からではなく、不特定のインターネットに接続されたPCから入手されるような仕掛けがデフォルトです。

設定>更新とセキュリティ>「詳細オプション」>「更新プログラムの提供方法を選ぶ」という、山深い伊賀忍法のヒミツの隠し戸のようなトコロにこの設定があります。

a0056607_21561872.jpg

「ローカルネットワーク上のPCとインターネット上のPC」がデフォルトなので、これを「ローカルネットワーク上のPC」のみにします。

複数の場所から更新するはONでも構いませんが、入手先はローカルネットワークのみにします。僻地でダイアルアップ回線を使っている(限界集落なら当然)なら、もちろんOFFですね。

最初にアップデートを受け取るPCは Microsoft からの転送になりますが、一度受け取ったアップデートはローカルネットワーク内部でP2P配信されるようです。もっとも、社内に Windows Update Server (WSUS) を用意してあるのであれば、すべてそこから供給を受けるべきなのでP2P配信もOFFにするのが良いでしょう。

どうせ一台目はMicrosoft から受けざるを得ません。しかし、他の全く面識のないWindows ユーザにアップデートを送信する義務は、利用者にとっては全く意味のないことですし、受け取るにもどのような危険性があるかわかりません。アップデートを配信するのは Microsoft の義務ですから、ユーザのリソースを勝手に使わないで、自社の配信設備をちゃんと金かけて構築してくれと言いたくなります。よくゲームのパッチ配信でP2P技術を使ってウィルスまがいのソフトウェアがご訪問してくることもよく聞きます。

また、自分のLAN内のPCから、アップデートが外に出ていくという事は、当たり前ですが、自社のネットワークのアウトゴーイングのトラフィックに 社内からDDoSの踏み台になって攻撃してんじゃないのってくらいの、アップロードの負荷をかけます。そのコストは利用者が負担しなければなりません。もちろん私たちはそんな義務はありません。当然従量課金制の無線ネットワークを利用しているユーザにとっては、パケット代もISPへの「お布施」になってしまいます。

という事で、Windows Update は、自社の社内ネットワークだけのP2Pコピーにとどめておくことをお勧めします。

"Do not use Windows Update on default condition"

関連記事

補足記事
Windows 10 更新プログラムにおけるP2P配信の仕組み - 阿久津良和のWindows Weekly Report

その他の情報はこちら

-key Word-
Windows10 Update Default 変更 SUSE Linux Novell NetIQ





[PR]
by islandcenter | 2015-10-04 22:01 | Windows | Trackback | Comments(0)

ネットワーク管理者にとっては、シャドウIT、シャドウクラウドはセキュリティ上でも、運用の上でも脅威の一つです。
その中でも極悪なのが Microsoft の OneDrive です。OneDrive はローカルに保存したデータを、クラウドに転送しようとするため、ただでさえ空けておきたい上り回線に大きな負荷をかけてしまいます。

OneDrive のアイコン自体が非常に目立つところにあるので、エンドユーザとしては「便利なのかどうなのか」の判断もなく、そこにファイルを重要なのか、共有したいのか、モバイル機器でも利用したいのか、という判断なく保存します。目立つところにあるから保存してしまうのですね。その結果がどうなるのかは全く気にしない、というのが普通の企業内のエンドユーザ様の行動です。

内部構造がどうなっているのかはわかりませんが、最悪な作りは、「データベースの差分」を同期するのではなく、「ファイルそのものの同期」です。この手のアプリケーションサービス固有の問題として、コッチのPCで編集して、アッチのPCで編集なんかすると Notes や Evernote の様な、「同期エラーによる複製」が作られてしまう可能性もあり、決して便利とは言えません。

ははーん、これ使えばUSBメモリがなくても自宅で風呂敷残業できるンだなぁ。と気が付くエンドユーザさんはまだいい。これで「USBメモリによる重要データの持ち出し禁止」のルールを別な方法で、しかもシステム管理者、セキュリティ担当者に気づかれずに社内ルールには合法的に行う事ができるのですから、非常に便利であるし、運用側からするとリスキーな機能そのものなのです。

ある日、やけに Outgoing のトラフィックが多いなぁ。これは情報漏えいか、DDoS の踏み台にされていたのかと気になっていたので調べたら原因は OneDrive でした。

また、ノートブックなどで、スマートフォンのテザリングを有効にしている間、メールチェックのつもりが、OneDrive の同期なんかが始まってしまうと、通信容量制限にあっという間に引っかかったり、従量制課金の場合、後で怖い請求書を見る事になります。

という事で、OneDrive を無効にする方法。

gpedit を起動 > ローカルコンピュータポリシー> 管理用テンプレート> Windows コンポーネント> OneDrive の 「OneDrive を記憶域として利用できない様にする」 を 「有効」にします。
a0056607_20412797.jpg


再起動すると OneDrive 自体がエクスプローラから綺麗さっぱり消え去ってくれます。

--
あのぉ、ウチのは Pro じゃなくて 無印版なんですけどぉ。と言う方、そもそも 無印版を企業で使う事自体オカシイです。そういう質問を必死にしていた方が Microsoft Community にいらっしゃいましたが、質問する事自体、おかしいですね。 SOHO の場合は逆に OneDrive は便利だ、と考えて積極的に、あなたの猫の写真の保管場所にでもすることをお勧めします。タブレットとかスマホで他人に簡単に自慢できますから。そういう機能なんです。

その他の情報はこちら
islandcenter.jp


- Keyword -
Windows10 OneDrive 削除 非表示 トラフィック 従量課金 低減



[PR]
by islandcenter | 2015-08-15 13:19 | Windows | Trackback | Comments(2)

Windows10 に乗り換えて、エクスプローラを開いて「なんじゃこれ」というのがクイックアクセスです。

エクスプローラを開くと過去に開いたファイルがズラーリと羅列される。まぁ「正しいニッポンのビジネスマン」なら、家族の目の前でPC開いて春画のファイル名やサムネイルが表示されたりして、下半身の品格が疑われる事は、ま、ないと思いますが、先ほどまで作っていた顧客の名前のドキュメントなんかが表示されてしまうと、他のお客様との打ち合わせで「コッパズカシイ」思いをする事もあるでしょう。それだけじゃなく、そのファイル名が打ち合わせしている顧客のライバル企業だと、実質的な情報漏えいです。例え、風呂敷残業のついでに、開いた NAS のファイルパスまで残ってしまうので始末が悪い。

-クイックアクセスに履歴を表示させない-
という事で、このWindows10 の邪魔なクイックアクセスからあなたの下半身の品格と、「あァーたはモぉ」「パパやらしい、エッチぃ」という阿鼻叫喚フォークは飛ぶは茶碗はひっくり返る、夕方のダイニングテーブルから家庭の平和を、じゃないな、過去の開いたファイルの履歴を表示させない方法です。

あーぁ、春画のフォルダが残っている。ORZ.... そこでエクスプローラから「クイックアクセス」を右ボタンで「オプション」を開きます。

a0056607_12200131.jpg

オプションの中から「プライバシー」の中の「最近使ったファイルをクイックアクセスに表示する」のチェックを外します。

a0056607_13323015.jpg


これでエクスプローラには、マイドキュメント以外が表示されなくなり、人類の平和が守られるのですが、クイックアクセスには「ピン留」という逆技があります。つまりよく使うフォルダを「クイックアクセス」に登録してしまうのです。これにより、エクスプローラの中に「やる気システム」なアイテムを羅列できるわけです。

「ほーら、パパちゃんと仕事してンだろう? な。」みたいな。

-クイックアクセスを積極的に使わせたい-
そのためには、よく使うネットワークの共有フォルダなどを「クイックアクセスにピン留め」します。
a0056607_13361895.jpg


これで、エクスプローラの平和と仕事の効率に平和が訪れます。

-Windows7/8 系と同じ表示にしたい-

Windows7/8 でエクスプローラを開くと "MyPC" の中のドライブであるとか、ドキュメントフォルダがデフォルトで開くわけですが、できるだけ Windows10 風に使わせず、あくまでも従来の I/F にしておきたい場合があります。その場合、エクスプローラのオプションから「エクスプローラで開くフォルダの参照」を "クイックアクセス" から "PC" に変更します。これで、そのまんま Windows7/8系の 初期画面に変更できます。
a0056607_1182078.jpg



その他のノウハウは
islandcenter.jp


-Keyword-

Windows10 Windows 10 エクスプローラ クイックアクセスに過去の履歴を表示しない クイックアクセスを削除 クイックアクセスに登録。 Quick Access Disable

[PR]
by islandcenter | 2015-08-12 13:38 | Windows | Trackback | Comments(14)

Linux デスクトップでは当たり前に使われているタスクビューがやっと Windows10 にも搭載されました。

が、あまりにもアイコンが小さすぎて使いづらい。慣れてしまえばどうと言う事はないのですが、既に、起動しているアプリケーションのタスクバーのショートカットを間違えて叩いて、「あれぇー!」となってしまう事がよくあります。

もし企業向けに大量に Windows7 -> Windows10 への移行をするならば、タスクビューを使わない様にしてあげるのも「親切」な場合があります。

a0056607_15261726.jpg


タスクビューを消すには、タスクバーを右クリックして、「タスクビュー」のチェックを外すだけです。ついでに、あまり使わない「検索アイコン」も消してしまいましょう。


islandcenter.jp

ボタンがなくて寂しい場合は Windows + Tab キーで表示されます。


-keyword-

Windows10 タスクビューを表示しない。タスクビューを使わせない。
[PR]
by islandcenter | 2015-08-11 15:32 | Windows | Trackback | Comments(0)

先日、とあるインフラ系ソフトウェアの評価版を入手してひどく驚いた事がありました。

なんと、インストール用のソフトウェアやドキュメントと言ったディレクトリがDVDメディアの中で「インストール」などと日本語で書かれていた事です。
a0056607_1451735.jpg


思わず天を仰ぎました。

セットアッププログラムなどが「インストール」というディレクトリにあるのです。通常だったら DVD:\setup などの英数字のディレクトリにあるのですが、このソフトウェア、なんと製品やドキュメントを収めたディレクトリ名、ファイル名が全部「日本語」なのです。

そこそこに名のあるソフトウェアです。同様なライバルのソフトウェアは世界中にあります。

この国産メーカーの製品には将来はないな、とすぐ感じました。例え日本で10%のシェアがある製品であっても、世界では1%にも満たないシェアしか取れません。例え日本で100%のシェアを取っても、製品自体が日本語にしか対応されていないので、それ以上、60億人が住む海外に市場を伸ばすことは不可能なのです。

逆に海外では5%しかシェアのない製品であっても、日本で爆発的に売れれば、海外ベンダーと言え日本法人を作ったり、ローカライズや日本国内でのサポートの充実を図ります。

APC-UPS(現在のシュナイダーエレクトリック)やVMWareなどが日本で販売開始された時はそれこそごく小規模に始まりました。ローカライズさえされていませんでした。

私は、ほぼ外資系製品を専門に扱ってきたため、若干のローカライズの不備などがあっても実用性に困ったことはありません。また日本語の情報が少なくても、一般的な高卒程度の英語の知識で情報を入手できるため、困ることはまずありません。

また海外製ソフトウェアは、基本的に海外のそれぞれのローカルタイムでサポートを行うため、「電話問い合わせ」が頼りにできない代わりに、セルフサポートが充実しています。製品サポートのための自発的なコミュニティもあります。オンラインでの情報が充実しています。

製品を利用する分母の規模が違うのです。

しかし、多くの「国産ソフトウェア」は、サポートが JST 9to5 です。製品サポートも、まずユーザ登録をしない限り受ける事ができません。事前評価の体制さえできていないケースが非常に多くあります。

分母が違うから、脆弱性の問題や不具合などは早い段階で指摘される。もっとも悪用されるのも早い段階である、という事もデメリットかもしれません。しかし分母が少ない製品では、そもそも脆弱性がある事自体発覚しない事もありますし、使っているミドルウェアをしっかり把握していないと、セキュリティ上の問題に気が付かないケースもあり得ます。

--
よくある話なのですが、日本資本の、海外現地法人が、海外製ソフトウェアを導入して成功したサクセスストーリーを見かけます。ほとんどの日本のSIベンダーが海外で仕事ができない仕組みである以上、海外進出した日系企業の現地法人は、自然と海外製のソフトウェアを導入するしか方法がなくなるわけです。
そこでグローバル化した日本企業は、国産ソフトウェアの海外展開ではなく、海外製品を逆輸入して国内導入するケースは決して少なくはありません。

この様な状況で「日本国内に日本語でサポートを受けられる」事のメリットしかない国産ソフトウェア製品の多くは淘汰されて行くでしょう。

当然このソフトウェアは、海外に現地法人がある日本企業で使われる可能性は、絶対「あり得ない」と言い切る事ができます。

何しろ、海外製品は例え少ないシェアしかなくても分母が大きい以上、開発からサポートに至るまで豊富な経験を積み、グローバルで売れるため資金面もケタが違ってきます。ソフトウェアのライセンス料金も分母に従い多くの利益が出せて、いずれ、製品の価格や機能に還元されます。

--
もし、このソフトウェアのハードコーディングされているメニュー部分を英語と日本語の両用対応にして、ヘルプとマニュアルを日英両方で書けば、それだけで簡単に英語版として出荷できるはず。メディアの中身まで日本語であれば、日英両方のメディアを作る必要があります。どう考えても、このソフトウェアベンダーが海外に進出しようという気持ちが見られません。悲しい事ですが、「どうせ日本というガラパゴス諸島で売れればいい」という意図が杜撰に見えてしまいます。

おそらく、このプログラムのソースコードもそれなりの言語でかかれているのでしょうが、コメントは全部日本語でしょう。元々海外言語にローカライズなど考慮の範囲外です。30年前のプログラムであれば、その様な開発も当たり前ですが、現代のグローバル時代に、グローバルを見据えていないパッケージソフトウェアに未来はありません。

--

残念ながら国産で海外でも成功しているソフトウェア、ITサービスは、外資系日本産サービスの LINE とスーパーマリオを始めとするゲームソフト位しか耳にしません。

--

別に海外製品を礼賛している訳ではありません。日本のソフトウェア、IT産業がグローバル化していない以上、日本の情報産業はますます特殊な市場、ガラパゴスな市場として特化するしかないのです。

多くのIT産業を志望する学生が「知っている日本のSIベンダーは?」と問われれば、いくつもの名が上がるのに対して、「知っているソフトベンダーは?」と問われて、ジャストシステム位しか思い浮かばない、というインタビュー記事を読んだことがあります。もっとも、日本の法令に従って、作らなければならない会計ソフトなどは、それなりに「日本」というガラパゴスの中で生き残る事はあり得るでしょう。

しかし、ネットワークという万民言語が使うシステム管理ソフトウェアが「日本語」にしか対応していないのは、もう完全に市場をあきらめています。

日本のプロプラエタリなソフトウェア開発者は所詮「日本市場」しか意識していないでしょう。その代り、優秀なソフトウェア開発者はオープンソースや外資系ソフトベンダーへ修飾する事が当たり前になります。

その事に気が付かず、「優秀なソフトウェア技術者を集められない」、と嘆く、ソフトベンダーの経営者は何か勘違いしているに違いありません。


islandcenter.jp
[PR]
by islandcenter | 2015-03-17 14:14 | Trackback | Comments(0)

※この記事の内容は書き換える可能性があります。

あれだけ、Windows 8 の事をけちょんけちょんに言っていたクセに、ノートブックは Windows 8.1 Update x64 64 ビット版となってしまいました。

というのも目的は Hyper-V です。これでオフラインでも、ガストのランチを食べていても、仕事ができる。この欲望を満たすには8Gのメモリを積んだノートブックしかないわけです。まぁ Hyper-V のダメさは他にも色々書いたのであえてここでは書きません。

とは言え、KVM や XEN もやりたいし.. という事で考えたのが USB によるブートです。今なら8G程度のメモリであれば1000円程で入手できるし、新しいノートにはなぜかUSB3.0ポートが付いている。

ということで、試行錯誤しました。SUSE Linux には ntfs-3g を入れておいたので、Windows の D: ドライブもマウントできるし、ここを集合地点として、 XEN, KVM, Hyper-V といろいろ試す事ができるだろう、という甘い目的でした。

しかし、あるとき SUSE Linux が NFTS をマウント出来ないとクレームを付けたのです。

で、色々調べた結果が

Windows8 の高速スタートアップは無効にすべし

ということです。

どうも「高速スタートアップ」という機能は、接続されているデバイスが、「シャットダウンした時と同じ」という前提で動いているようです。起動途中のデバイスの状態はノーチェックです。完全に状態がセーブされて、電源を切る訳ではないのですね。

そこで、「起動」して USB メモリなどからブートしようとするとディスクの内容は中途半端な状態で終了していて、Linux 側からはマウントできないという症状になるようです。この現象は Linux だけではなく、他の Windows 7/XP などでも発生します。

別に、「起動が速い」「再起動が速い」とは同じ意味じゃないのです。再起動は普通にデバイスのチェックを行うので高速起動を有効にしたところで、通常の「起動」より時間がかかるわけです。

それに、そもそも、ちょくちょく電源を切る人がイチイチ「遮断」「起動」をするわけがない。私なら、ハイバネーションだとか、休止状態をよく使うわけですね。ほとんどの人は「電源プチ」の設定を休止などにしているはず。

ということで「高速起動を有効にする」って、馬の尻尾に飾りを付けるような、ほとんど意味のない機能なわけです。

更に怖いことに「高速スタートアップ」を有効にして、USBに接続したメモリやHDDを抜き差しして、他のデバイスでつなぐと「認識しない」という怖い思いをすることになります。

Windows8:XP、Vista、7でも使用している外付けHDD(USB接続)にエラーが発生する


これは随分ブログやQAサイトで見かけます。

「高速スタートアップ」でググると、欠点だらけで、どうすれば無効化するかという記事ばかりで、どこに良さがあるのかを記述した記事を見つけることができません。

私は経験がないのですが、どうも「読み出せないからフォーマットするぞ」というダイアログが出てきて、フォーマット、折角のバックアップが全滅、という悲惨な末期を迎えた経験がある方もかなりいらっしゃるようです。

私の場合、ノートブックの一台は Windows 7 で Windows 8 とのデュアルブートにしているため、これは怖いことになります。大抵の場合はWindows7 側で Chkdisk が走るのですが、あまり心地よいものではありません。

PCをシャットダウンして、ディスクだとかメモリだとかを増設して、いきなり増設したデータ用ディスクがフォーマットされちゃうなんて事も、冗談じゃないけどあるようです。

--
ということで「高速スタートアップは無効」にする方法です。(ただしHOMEは除く)

どんな方法でもいいけれどまずコントロールパネルを開く
>電源オプション>「電源ボタンの動作」に

「現在利用可能でない設定を変更する」という小さなリンクが目立たないようにひっそりとあります。
a0056607_12184090.jpg


クリックすると、下の方のスクロールさせないと見えない所に

「高速スタートアップを有効にする(推奨)」(くどいようですが HOME エディションにはありません)
a0056607_1219846.jpg


という項目が隠れるようにあるのでチェックを外します。(ちなみに Windows10 HOMEにはこの項目がありません,レジストリいじれということか)

グループポリシー

 グループポリシーにはそれらしき項目は

 「gpedit > コンピュータの構成>管理用テンプレート>システム>シャットダウン」に「高速スタートアップを要求する」という項目があるのですが、「要求する」だけで「無効」にすることはできないようです。
a0056607_13162067.jpg

つまり「強制的にONにはする」が、強制的にOFFにはできないようです。

 disable Windows 8 fast startup with group policy

 レジストリを使う場合は

 Disabling “Fast Startup” in Windows 8 thru programmig

あたりによると、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power

DWORD:HiberbootEnabled キーに秘密がありそうです。

How to Turn "Fast Startup" On or Off for a Hybrid Boot in Windows 8 and 8.1
によると

DWORD:HiberbootEnabled は 0 で Disable になるようです。ただ反対に 1 で Disable という記事も見かけるので、丸のみしないでください。責任は持ちませんよ。

上のコントロールパネルを操作しても、このレジストリ値は変わりませんでした。効果あるのかなぁ。

 何だか良くわからないけど、全部かぁ... Orz.

ご存じの方はコメント期待しています。

---
 問題は、この現象がOEM各社のFAQにも掲載されていることです。当然OEMからこの様に、データを損失する可能性が高いという、重要なトラブルを Microsoft 自体が把握していないはずでしょう。

しかし問題に何の回答も出さずにコミュニティ任せ、しかも対策のためのパッチも出さないという事です。

--
そもそも高速スタートアップは再起動では有効じゃないし、ハードディスクとか付け替える時シャットダウンさせるじゃないの。どうするの?

ほとんどサスペンドやスリープ運用する訳だから、ほとんど有効にしたところで意味ないじゃん、という事ですね。それよりも「月のモノ」の Windows Update の適用を「高速」にして欲しいものです。


その他の情報はこちら
islandcenter.jp

Windows10 高速スタートアップ 危険 無効にする

※ということで、この記事の内容は書き換える可能性があります。

[PR]
by islandcenter | 2014-06-20 12:21 | Windows | Trackback | Comments(1)

Windows 7 でLAN内のリソースにアクセスすると異常に遅い場合があります。
これは一般の NAS や OES2 などでも発生するだけではなく、本来ゴールデンコンビである Windows 7 + Windows 2008r2 でも発生するようです。

次の文書の「質問者」さんの必死の努力に対するマイクロソフトさんの対応が非常に面白いのでご一読を
サーバー共有フォルダへアクセス時に「応答なし」となってしまう。

-RDC-
RDCはデフォルトでONなので必ずOFFにします。
Improving File Copy Performance with Windows 7 and Novell Client

-WebDav と NETBios-
必ず Disable にします。
Slow performance when opening MS Office files

-NICドライバ-
[Windows 7編]ネットワーク設定を標準で使ってはいけない

SNP(Scalable Networking Pack)の機能は必ず OFF にします。デバイスマネージャのNICのプロパティの「詳細」タブにいくつかプルダウンメニューがあるので、 Enable なものを Disable にします。これはハードウェアのドライバなので機種によってかなり違いがあるのでご注意ください.

今のところネットワーク上のショートカットで不具合を起こす可能性がかなり高いので、使わない方が安全なようです。

お問い合わせはこちら
islandcenter.jp
[PR]
by islandcenter | 2011-07-19 09:37 | Windows 7 | Trackback | Comments(0)