かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  ITニュース. WinREの更新失敗の既知の問題、本当に解消したの?

 

 

ITニュース. WinREの更新失敗の既知の問題、本当に解消したの?

2024年08月20日配信
2024年08月23日更新
執筆者:山内 和朗

 このブログで最初に注目したWindows Updateの問題、WinREのセキュリティ更新プログラムのインストールに失敗するという“既知の問題”の状況に変化がありました。Microsoftは5月にこの問題をユーザーの手動による解決に委ねる形で“解決済み”にし、事実上放置してきましたが、8月13日(米国時間)に問題の更新プログラムの提供をようやく廃止したのです。

 

※8月23日追記: この記事で記述している問題とは直接的な関係はありませんが、2024年8月のWindows向けの累積更新プログラムに含まれる「Secure Boot Advanced Targeting(SBAT)」設定のセキュリティ更新の影響で、一部のWindows/Linuxデュアルブート環境において、Linuxが起動しなくなるという既知の問題が公表されています。回避策を含む詳細については、Microsoft message centerの以下の情報で確認してください。
August 2024 security update might impact Linux boot in dual-boot setup devices|Microsoft message center

 

30秒で振り返る1月以降のWinREの更新失敗問題

 

 Windows回復環境(Windows Recovery Environment≪WinRE≫)の更新失敗問題とは、Windows 10バージョン21H2、22H2、Windows 11バージョン21H2、およびWindows Server 2022に対して2024年1月にリリースされた以下のセキュリティ更新プログラムが(リンク先は後述の置き換えられた更新プログラムにリダイレクトされます)、特定の環境、それもおそらく多くの環境において、インストールに失敗し、その後もWindows Updateの度に失敗を繰り返すという問題です。このブログの開始直後から時間をかけて取り上げてきた問題あり、エラー発生時の回避策や、エラー発生前からできる回避策を紹介してきました。


KB5034440: Windows 11 バージョン 21H2 の Windows Recovery Environment 更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5034440
KB5034441: Windows 10 バージョン 21H2 および 22H2 用 Windows 回復環境の更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5034441
KB5034439: Windows Server 2022 用 Windows 回復環境の更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5034439

 Microsoftは、2024年4月30日(米国時間、日本時間では5月1日7時頃)付けで、このWinREの更新失敗という既知の問題のステータスを、「Mitigated(軽減)」から「Resolved(解決済み)」に変更しました。Microsoftが示した解決策は前日まで「Workaround(回避策)」として示していたもの、それは、WinREが格納されている回復パーティションの手動によるサイズ拡張でした。以下の記事では、“この問題を自動的に解決する何らかの措置を提供することをMicrosoftは断念したようです”と書きましたが、その状況に変化がありました。

メモ. WinREの更新失敗の既知の問題、驚きの策で“解決済み”に!(2024年05月07日配信)

KB5034440/KB5034441/KB5034439の提供廃止(削除)

 

 Microsoftは8月のセキュリティ更新プログラム提供日である13日(米国時間)をもって、上記のセキュリティ更新プログラムのWindows Updateによる提供を終了しました。そのため、この問題に手動で対処していなかった環境に、上記のセキュリティ更新プログラムが提供されることはなくなります。ただし、単に提供を停止したのではなく、提供条件を変更した新しいセキュリティ更新プログラムに置き換えられた形です。括弧内は提供される内容に相当するセーフOS動的更新プログラムであり、括弧内の更新プログラムは機能更新プログラムのインストール時に適用されるものです。今回の更新プログラム(KB5042321、KB5042320、KB5042322)は通常は機能更新プログラムのインストール時に行われるWinREの変更を、現在のバージョンに適用するものです。

KB5042321: Windows 11 バージョン 21H2 の Windows Recovery Environment 更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5042321
KB5034236: バージョン 21H2 Windows 11のインストールと回復の互換性更新プログラム: 2024 年 1 月 9 日
KB5042320: Windows 10 バージョン 21H2 および 22H2 の Windows Recovery Environment 更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5042320
KB5034232: バージョン 21H2 および 22H2 Windows 10のインストールと回復のための互換性更新プログラム: 2024 年 1 月 9 日
KB5042322: Windows Server 2022 用 Windows Recovery Environment 更新プログラム: 2024 年 1 月 9 日
https://support.microsoft.com/help/5042322
KB5034235: Azure Stack HCI バージョン 22H2 および Windows Server 2022 のインストールと回復の互換性更新プログラム: 2024 年 1 月 9 日

 新しいWinREのセキュリティ更新プログラム(KB5042321、KB5042320、KB5042322)は、以下の条件を満たしている場合提供されません。そして、新しいセキュリティ更新プログラムの内容は1月のセキュリティ更新プログラムに含まれているものと同等のものです。つまり、1月のセキュリティ更新プログラムが引き起こした更新エラー問題が発生しないように提供条件を変更したということです。

 

  • 回復パーティションに十分な空き領域(250MBの空き)がない。
  • 回復パーティションのWinREイメージが手動でパッチされている。
  • 回復パーティションのWinREイメージがバージョン10.0.22000.2710以降(Windows 11バージョン21H2)、10.0.19041.3920以降(Windows 10バージョン21H2/22H2)または10.0.20348.2201以降(Windows Server 2022)である。
  • 回復パーティションが存在しないか、WinREが無効になっている。

 

 新しセキュリティ更新プログラムは、既に1月のセキュリティ更新プログラムで更新済みであるか、手動で対処済みであるか、WinREのセキュリティ更新プログラムを受け取れる環境にないデバイスには提供されません。これまでは、脆弱性のある古いWinREイメージを使用していて、回復パーティションに十分な空き領域がない場合、更新エラーという形でユーザーに認識されましたが、今回からはセキュリティ更新プログラムを受け取れる環境にない場合はサイレントにスルーされ、その脆弱性は放置されることになります。脆弱性の解消のために回復パーティションのサイズ拡張が必要な場合があることはこれまでと何ら変わりません。ただし、この脆弱性(CVE-2024-20666≪MSRC≫)は“悪用される可能性は低い”と評価されているものなので、脆弱性が放置されてもセキュリティ侵害のリスクが高まるというわけではありません...と思います。

 

Windows Updateによる新しいセキュリティ更新プログラムの提供は確認できず

 

 “思います”と書いたのには理由があります。それは、Windows Updateによる提供を確認していないからです。

 

 既に1月のWinREのセキュリティ更新プログラムが問題なくインストールされていれば、レジストリキー「HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion」に値「WinREVersion」が作成され、そこにWinREのバージョンが書き込まれます。その情報は、コマンドプロンプト(管理者)で以下のコマンドラインを実行することで確認できます。

 

C:\> REG QUERY "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v WinREVersion

 WinREのバージョンは、上記のレジストリキーの有無に関係なく、以下のコマンドラインを実行して確認することもできます(画面1)。この方法はWinREのセキュリティ更新プログラムに関係なく、サポートされているすべてのWindowsバージョンで利用できます。X(ディスク番号)Y(パーティション番号)の数字は1行目のコマンドの結果に合わせて変更してください。

C:\> reagentc /info
C:\> Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddiskX\partitionY\Recovery\WindowsRE\winre.wim /index:1

 

画面1
画面1 Windows 10バージョン21H2/22H2、Windows 11バージョン21H2、Windows Server 2022でWinREのバージョンが更新されているかどうかを確認する

 1月のWinREのセキュリティ更新プログラムは、WinREが無効な環境(Azure MarketplaceのテンプレートからデプロイしたVMなど)にも提供され、更新エラーを引き起こしていました。また、Windows Server 2022のServer Coreの場合は、手動でパッチ済みであるかどうかに関係なく、WinREのセキュリティ更新プログラムが提供され、更新エラーを引き起こしていました。これらの環境には、2024年8月以降、WinREのセキュリティ更新プログラムは提供されなくなったことを確認しています(画面2)。

画面2

画面2 2024年7月までは、WinREが無効な環境やServer  Coreではエラーが発生していた

 

画面3

画面3 WinREが無効な環境やServer Coreで発生していたWinREのセキュリティ更新プログラムのエラーは、8月以降解消された

 Windows 10バージョン22H2およびWindows Server 2022を十分な回復パーティションのサイズ(250MB以上の空き)で新規インストールし、Windows Updateを実行してみましたが、置き換えられたWinREのセキュリティ更新プログラムの提供を確認することはできませんでした(画面3)。私の印象としては、一見、更新エラーを引き起こしていた問題は解消されたように思えますが、置き換えられた更新プログラムが私が確認した時点(8月19日時点)ではまだ提供されていないのか、提供に問題が発生しているような気がします。確認できたのは、1月の更新プログラムが提供されなくなったことまでです。インターネットを検索すると、KB5042320が配信されたものの、あいかわらずインストールに失敗するという報告もあるようです。

 

画面4
画面4 置き換えられたWinREのセキュリティ更新プログラムを、筆者が用意した環境では確認できていない

 

 今回のWinREのセキュリティ更新プログラムのインストールを確認できていないのは、私の環境だけの問題なのかもしれません。しかし、複数台のWindows 10とWindows Server 2022で検証した結果です。果たして、1月から引きずっているこの問題は、本当に解消したのでしょうか。少なくとも1月から8月の配布停止までの間に自動または手動でWinREの更新に成功したデバイスは問題ありません。そうでない場合は状況がさらに悪化し、悪化したことも分かり難くなってしまっているような気がします。

blog_subscribe

blog_comment

最新記事