Windows architecture

BitLocker に関する情報

ちゃっぴ (tyappi@wankuma.com) — Wed, 14 May 2008 04:21:00 GMT

できるだけあさってみた。

すんげ～情報量

BitLocker 有効化後 BCD を変更すると回復 password を求められる

ちゃっぴ (tyappi@wankuma.com) — Wed, 14 May 2008 04:00:00 GMT

BitLocker 有効化後の BIOS 更新には注意が必要で BIOS 更新時にも求められることは書きましたが、BCD (Boot Configuration Data) を変更したときにも求められます。

ちなみに求められるのは例によって system partition のみ。

~~ただし、BIOS 更新時とは違い BitLocker の無効化・再有効化は必要ありません。~~Balloon で表示されないだけで、BIOS 更新時と同様有効化・無効化が必要でした。

調査してみたところ、こんなの見つかった。

Data Encryption Toolkit for Mobile PCs : 計画および実装ガイド

安定したブートパスの確認

BitLocker および TPM は、総称して TPM プラットフォーム検証プロファイル (PVP) と呼ばれる一連のチェックを実行することで、コンピュータの起動から Windows Vista の起動プロセスが終了するまでブートパスの整合性を確保します。BitLoker をインストールした後に起動プロセスが大きく変更された場合、PVP の結果は異なるものになり、整合性の変化が通知されます。整合性に変化が生じた場合、BitLocker によりオペレーティングシステムボリュームのロック解除が拒否され、別の回復手段も使用できなくなる場合があります。

そのため、BitLocker を有効にする前に、ハードウェアおよびソフトウェアのブートパスが完全に構成され安定した状態にあることを確認してください。特に、BitLocker を有効にする各コンピュータでは、次の設定/装備が必要です。

・
正しいブートデバイスに対応した BIOS 構成

・
ファームウェアがインストールされた ROM 採用のオプションデバイス

・
構成済みの Wake-on-LAN イベント

・
構成済みの Windows ブート構成データ (BCD)

ローカルコンピュータポリシーおよび Active Directory グループポリシーを使用して、起動プロセス中に TPM が使用するブートコンポーネント (プラットフォーム構成レジスタ (PCR) と呼ばれる) を構成できます。大部分のアプリケーションでは、PCR の既定の設定で十分なセキュリティの効果があるので、PCR を変更することはお勧めしません。

BitLocker をインストールした後では、対応する PCR を備えたどのコンポーネントを変更する場合にも、回復パスワードが要求されます。PCR の変更例としては、BIOS の更新、ROM 対応のブートデバイスの追加、マスタブートレコード (MBR)、パーティションテーブル、低レベルのブートセクタデータ、ブート構成データ、またはブートマネージャの変更、新たにデュアルブートを実現するための別のオペレーティングシステムのインストールなどが挙げられます。

注 :

Windows Vista のマスタブートレコード (MBR)、ブートセクタコード、およびブートマネージャでは、整合性が強固に保護されており、BitLocker に適しています。マイクロソフトでは、サードパーティ製のブートローダーを使用しないように強くお勧めします。BitLocker を有効にした後で新しいブートローダーを追加すると、復元処理が開始されます。BitLocker を有効にする前にブートローダーを取り替えた場合、BitLocker は安全なブート環境を維持できなくなります。

Windows Vista カーネルの内部 : 第 3 部

Windows Vista SP1 で memory 容量の表示が変わった

ちゃっぴ (tyappi@wankuma.com) — Wed, 14 May 2008 02:01:00 GMT

まずは、これを見てください。

Memory が 4 GB と表示されているよ！

SP1 以前では 3GB と表示されていた記憶が。。。

これだけ問い合わせがあったのでめんどくさくなって表示をいじくった？

んで、Task Manager の表示。

Systeminfo の結果 (抜粋)。

OS 名:                       Microsoft® Windows Vista™ Enterprise 
OS バージョン:               6.0.6001 Service Pack 1 ビルド 6001
OS 製造元:                   Microsoft Corporation
OS 構成:                     スタンドアロン ワークステーション
OS ビルドの種類:             Multiprocessor Free
システム製造元:              LENOVO
システム モデル:             1709GDJ
システムの種類:              X86-based PC
プロセッサ:                  1 プロセッサインストール済みです。
                             [01]: x64 Family 6 Model 15 Stepping 6 GenuineIntel ~1000 Mhz
BIOS バージョン:             LENOVO 7BETD5WW (2.16 ), 2008/03/31
Windows ディレクトリ:        C:\Windows
システム ディレクトリ:       C:\Windows\system32
起動デバイス:                \Device\HarddiskVolume1
システム ロケール:           ja;日本語
入力ロケール:                ja;日本語
タイム ゾーン:               (GMT+09:00) 大阪、札幌、東京
物理メモリの合計:            3,062 MB
利用できる物理メモリ:        1,522 MB
ページ ファイル: 最大サイズ: 6,334 MB
ページ ファイル: 利用可能:   4,689 MB
ページ ファイル: 使用中:     1,645 MB

なお、Windows Vista 32bit で利用可能な memory は最大 4GB です。PAE 利用時でも。

Memory Limits for Windows Releases

知っておくと便利な PsExec の便利な利用方法

ちゃっぴ (tyappi@wankuma.com) — Sat, 10 May 2008 22:46:00 GMT

Windows の深い部分は "NT AUTHORITY\System" でしか access できないように ACL で保護されている場合が多いです。というのは、Windows では "BUILTIN\Administrators" に所属する user であっても厳密に ACL が判定されるため。もっとも、所有者だけは別ですが。

所有権を取得して、ACL を置き換えることによりこの保護された部分に access することは可能ですが、置き換えた ACL を復旧させるのが面倒です。

そこで、でてくるのが PsExec。これを利用すると "NT AUTHORITY\System" で任意の process を起動することが可能です。

psexec -s -i "%APPLICATION_PATH%"

"-s" が "NT AUTHORITY\System" で起動するための switch、"-i" は UI を表示するときに使う switch です。

どうやって local system で起動しているのか？というと PsExec が "PsExec" という service を install し、その service から process を起動しています。Process Explorer で process tree を覗いてみるとよくわかりますね。

"BUILTIN\Administrators" に所属している user は service を install することができます。結果として、"NT AUTHORITY\System" で任意の process を起動できるということはおぼえておくといいかもしれません。

それから "NT AUTHORITY\System" も "BUILTIN\Administrators" の member です。こちらも合わせて覚えておくと ACL を設定するときに役立つかも？

PsExec には他にも便利な機能があって、"-l" switch を利用すると limited user で起動することができます。これは Windows Vista では low Integrity level に、それ以前ではとりあえず "BUILTIN\Administrators" が filter されているようです。

ちょっとした debug 用途に利用すると便利ですね。

最後に SysInternals で提供されている tools は非常に役立つものが多いので、Sysinternals Suite でまとめて導入されることを推奨します。

Windows での folder path 指定の問題点

ちゃっぴ (tyappi@wankuma.com) — Sat, 10 May 2008 14:39:00 GMT

ネタ元: SHFileOperation関数について

UNIX では path で direcotry を明示的に指定するためにこのような表記をします。

/dir1/dir2/

最後に '/' をつけるのがミソですね。Windows ではどうでしょう？

この表記方法が使える場合もあるし、使えない場合もある。扱う API によってまちまちです。

例えば、ネタ元の SHFileOperation function。これ、SHFILEOPSTRUCT structure の pTo に "C:\Folder1\Folder2\" のような感じで指定して copy を行うと

ダメだってさ。。。orz

ちなみにこの path 指定方法は絶対に利用できないわけではなく、一部の API や command では利用可能だったりします。たとえば、XCOPY。こちらは "C:\Folder1\Folder2\" のような指定をするべき仕様になっていて、省略する場合には "/i" switch を指定するのが正しい方法です。

しかしまぁ。統一感の無いこと。。。Path の仕様があいまいなんで、それを利用する application を作成するときにめちゃくちゃ苦労します。とはいえ、これ確か MS-DOS の頃からのしがらみなんですよね。。。

こういうところが随所に見られるので Windows 嫌いという人もまた多いんじゃないでしょうか？

現状では、こちらを抜本的に見直すのは互換性の問題があるので不可能だと思いますが、願わくば新しいものを作る時には直していただきたいんですよね。

と思って、MSDN Library 覗いてみると Windows Vista では、SHFileOperation function が IFileOperation Interface に置き換わっているらしい。調査してみるか。。。

BitLocker 有効化後の BIOS 更新には注意が必要

ちゃっぴ (tyappi@wankuma.com) — Mon, 05 May 2008 18:43:00 GMT

BitLocker で system drive を暗号化した後 BIOS 更新をすると暗号化 drive 作成時に作成した回復 password の入力を求められます。

これ一回入力すれば OK というわけではなく、その後 BitLocker の無効化・有効化を行う必要があります。最初から無効化しておくのが実は正解かも？

ということで、BitLocker を利用している場合、BIOS 更新には注意が必要です。

GetLogicalProcessorInformation

ちゃっぴ (tyappi@wankuma.com) — Tue, 29 Apr 2008 14:45:00 GMT

Windows Server 2003 から CPU の情報を取得する関数として GetLogicalProcessorInformation function が導入されました。ちなみに Windows XP でも Service Pack 3 を適用すれば利用可能です。

名前に logical (論理) とついていますが、この function を利用して physical processor 数を取得することができます。

ただし、Windows Server 2003 環境では注意が必要です。

[KB932370] The number of physical hyperthreading-enabled processors or the number of physical multicore processors is incorrectly reported in Windows Server 2003

こちらで説明されているように Windows Server 2003 環境では physical processor 数を正確に取得できないことがあります。

試しに Windows Server 2003 Enterprise x64 Edition Service Pack 2 で MSDN の sample code を実行したところ、下記結果が返ってきました。

Core 2 Duo E6600 1 個搭載

Number of NUMA nodes: 1
Number of cores: 1
Number of physical packages: 0
Number of caches: 3

解消方法としては、KB932370 で提供されている hotfix を適用することになります。この hotfix は kernel module を変更し、この問題の修正だけでなく、他の kernel に修正も含まれていることに注意してください。Kernel に対する変更であるため、hotfix に問題が含まれる場合甚大な被害を被る可能性があります。置き換える対象の file version を注意深く確認し、この hotfix を適用することによって発生する既知の不具合がないか確認したほうがよいでしょう。

なお、この hotfix を適用すると GetLogicalProcessorInformation function だけではなく、WMI Win32_Processor class および Win32_ComputerSystem class に関する変更も行われています。

Class	Property	Before	After
Win32_ComputerSystem	NumberOfProcessors	Retun number of logical processors	Retun number of physical processors
	NumberOfLogicalProcessors	N/A	Available
Win32_Processor	NumberOfCores	N/A	Available
	NumberOfLogicalProcessors	N/A	Available

これらの変更は Windows Vista 以降の OS ではもちろん、Windows XP Service Pack 3 でも行われています。

Windows XP SP3 の RDP client での変更点

ちゃっぴ (tyappi@wankuma.com) — Wed, 23 Apr 2008 18:53:00 GMT

Windows XP 用リモートデスクトップ接続 (Terminal Services クライアント 6.0) (KB925876)

上記で RDP client の仕様に大幅な変更が加わったわけですが、user にとって一番大きなものは接続前に認証情報の入力が必要なこと。これが結構面倒だったためかは知りませんが、SP3 になって再度変更になりました。

事前に入力する必要なし。楽になりました。

[以下追記]

Vista SP1 でも変更されていますね。

事前に認証情報入力する仕様は下記の絡みがあって変更されたとばっかり思っていましたが、そういう可能性に対してはどのように対策しているんでしょうかね？

IBM ThinkPad X41 が外部から誰でもシャットダウンできる仕様について

Adminpak.msi はどこいった？ on Windows Server 2008

ちゃっぴ (tyappi@wankuma.com) — Mon, 11 Feb 2008 16:48:00 GMT

え～と、Windows Server 2003 以前では remote から server を管理する方法として mmc snap-in を集めた "adminpak.msi" が OS の media に同梱されていました。

Windows Server 2008 では探してみたんですけどありません。どうやら、RSAT (Remote Server Administration Tools) に置き換えられたらしい。

RSAT には下記の種類があるようです。

Name Command value

Role administration tools RSAT-Role-Tools

Active Directory Certificate Services Tools RSAT-ADCS

Active Directory Domain Services Tools RSAT-ADDS

Active Directory Domain Controller Tools RSAT-ADDC

Server for NIS Tools RSAT-SNIS

Active Directory Lightweight Directory Services Tools RSAT-ADLDS

Active Directory Rights Management Services (AD RMS) Tools RSAT-RMS

DHCP Server Tools RSAT-DHCP

DNS Server Tools RSAT-DNS

Fax Server Tools RSAT-Fax

DFS Management Console Tools RSAT-DFS-Mgnt-Con

File Server Resource Manager Management Console Tools RSAT-FSRM-Mgnt

Hyper-V Tools RSAT-Hyper-V

Services for Network File System Tools RSAT-NFS-Admin

File Services Tools RSAT-File-Services

Network Policy and Access Services Tools RSAT-NPAS

Health Registration Authority Tools RSAT-HRA

Network Policy Server Tools RSAT-NPS

Remote Access Service Tools

Print Services Tools RSAT-Print-Services

Web Server (IIS) Tools RSAT-Web-Server

Terminal Services Tools RSAT-TS

TS RemoteApp Tools RSAT-TS-RemoteApp

TS Gateway Tools RSAT-TS-Gateway

TS Licensing Tools TS Licensing Tools

UDDI Services Tools RSAT-UDDI

Feature administration tools RSAT-Feature-Tools

BitLocker Drive Encryption Tools RSAT-BitLocker

BITS Server Extensions Tools RSAT-BITS-Server

Failover Clustering Tools RSAT-Clustering

Network Load Balancing Tools RSAT-NLB

SMTP Server Tools RSAT-SMTP

Windows Deployment Services Tools RSAT-WDS

WINS Server Tools RSAT-WINS

Name	Command value
Role administration tools	RSAT-Role-Tools
Active Directory Certificate Services Tools	RSAT-ADCS
Active Directory Domain Services Tools	RSAT-ADDS
Active Directory Domain Controller Tools	RSAT-ADDC
Server for NIS Tools	RSAT-SNIS
Active Directory Lightweight Directory Services Tools	RSAT-ADLDS
Active Directory Rights Management Services (AD RMS) Tools	RSAT-RMS
DHCP Server Tools	RSAT-DHCP
DNS Server Tools	RSAT-DNS
Fax Server Tools	RSAT-Fax
DFS Management Console Tools	RSAT-DFS-Mgnt-Con
File Server Resource Manager Management Console Tools	RSAT-FSRM-Mgnt
Hyper-V Tools	RSAT-Hyper-V
Services for Network File System Tools	RSAT-NFS-Admin
File Services Tools	RSAT-File-Services
Network Policy and Access Services Tools	RSAT-NPAS
Health Registration Authority Tools	RSAT-HRA
Network Policy Server Tools	RSAT-NPS
Remote Access Service Tools
Print Services Tools	RSAT-Print-Services
Web Server (IIS) Tools	RSAT-Web-Server
Terminal Services Tools	RSAT-TS
TS RemoteApp Tools	RSAT-TS-RemoteApp
TS Gateway Tools	RSAT-TS-Gateway
TS Licensing Tools	TS Licensing Tools
UDDI Services Tools	RSAT-UDDI
Feature administration tools	RSAT-Feature-Tools
BitLocker Drive Encryption Tools	RSAT-BitLocker
BITS Server Extensions Tools	RSAT-BITS-Server
Failover Clustering Tools	RSAT-Clustering
Network Load Balancing Tools	RSAT-NLB
SMTP Server Tools	RSAT-SMTP
Windows Deployment Services Tools	RSAT-WDS
WINS Server Tools	RSAT-WINS

Server Manager Technical Overview Appendix

本家の方では途中からずれているのと "Hyper-V Tools" が重複していますね。

RSAT 正式版ですけど現在まだ提供されていないようです。どうやらWindows Vista SP1 と同時期に提供されるらしい。

さて Server Core を扱おうと思っていたのですが、どうしたものか。。。

Windows の path 自動検索機能

ちゃっぴ (tyappi@wankuma.com) — Sat, 19 Jan 2008 16:07:00 GMT

「ファイル名を指定して実行」で full path を指定せず起動した場合の優先順序です。とりあえず、抑えているものだけ。

Current directory
環境変数 "%PATH%"
Registry "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths"

上記の順序で検索されます。

2. 環境変数 "%PATH%" はそこに記述された順序で検索します。順序の確認は command prompt から「ECHO %PATH%」で。

1, 2 に関しては拡張子を省略しても問題ありませんが、3 に関しては拡張子省略したものを entry で定義しないといけません。1, 2 において拡張子を省略した場合には、環境変数 "%PATHEXT%" の順序で拡張子が補正されて検索されます。拡張子補正の順序確認は「ECHO %PATHEXT%」で。

実際の動作確認には Process Monitor を利用してやるとよいでしょう。

なお、1. Current directory ですけど、基本的に %USERPROFILE% が使われます。Command prompt を呼び出したときと同じですね。

・	正しいブートデバイスに対応した BIOS 構成
・	ファームウェアがインストールされた ROM 採用のオプションデバイス
・	構成済みの Wake-on-LAN イベント
・	構成済みの Windows ブート構成データ (BCD)