Windows 11 HomeでSecure BootをOFFにする、BitLocker有効化されていたらそれも無効化する

WindowsとLinuxのデュアルブートをする際、Secure Bootで引っかかる。Secure BootをONにしつつあれこれすることもできるようなのだが、どうもトラブルメーカーの割に御利益もあまりなさそうなので、OFFにすることにした。

しかしそれをすると、BitLockerがお怒りになる。BitLockerは本来Windows Pro以上の機能のはずが、メーカーPCだとHomeでも出荷時に有効になっているものがあるらしい。なってた。仕方ないのでオフにする。

その手順と、そもそもの考え方のメモ。

環境

マシンはこれ

• ASUS TUF Gaming F15 FX506HM-I5R3060P
  • BIOSはF2
  • SSD(2TB)を増設している
• Windows 11 Home
  • なぜかBitLockerが有効だった
• デュアルブートするやつ: Pop!_OS 22.0.4

Secure Bootについて

そもそもSecure Bootとはなんぞやなのだが、これはGeminiに色々問うたところ、つまりOS起動前の門番的な仕組みらしい。Secure Bootはマザーボード上のNVRAMに信頼できるゲストを登録しており、そこに登録していないOSやら何やらは起動できない、とのことだ。

なんでそんなことするかといえば、世の中にはマザーボード上のファームウェアに潜むような、ルートキットやブートキットといった超ローレイヤーのマルウェアが存在し、それらはOSよりも先に動き出してしまう。Secure Bootは、OS起動前に動き出すこいつらをシャットアウトするための仕組み、らしい。

これはたいへん素晴らしいが、Linuxやグラボの導入の際にはハードルとして立ちはだかる。一応適切な手順はあるようなのだが、それも流動的かつ個別的になってしまうだろうし、明確に大きな手間となるのは間違いないだろう。実際、調べて見るとNVIDIAのドライバインストールなどでSecure Bootのためにこけるとかそんな情報がチラホラと見受けられた。

そうすると、このSecure BootをOFFにしたくなる。それでもいいのかな、と、一度攻撃者の目線に立って考える。Secure Bootが役立つようなマルウェアはマザーボードなどにまでアクセスできる必要があるが、これを感染させるのは相当容易ではないように思われる。実際それはそのようで、多段階の感染をさせる必要があり、これは通常特定の個人や組織を付け狙う国家的なサイバー攻撃などで行われるものだそうだ。

で、現実的に個人事業主のイチ開発者に過ぎない僕は、そんなリーサルウェポンよりもデータの消失なんかのほうがよほど現実的な心配であり、リーサルウェポン対策の前にデータの暗号化とバックアップでもしとけというごもっともな話を受け、そんならSecure Bootはオフでいいか、という考えに至った。

Secure Bootの ON/OFF はBIOSから

Secure BootのON/OFF自体はBIOSからできる。BIOSの設定はPCによるが、ASUSなら起動したらF2連打。あとはAdvance ModeからSecurity -> Security Boot ControlでEnabled/Disabledを選択してSave & Exit。終わり。

荒れ狂うBitLocker

さて、Secure BootをOFFにするだけならこれでよいが、そうすると今度はBitLockerがお怒りになる。回復キーを求められるため、以下のリンクから、該当するキーIDを参照して、48桁の数値を入力する。ドラクエ2かな？

https://account.microsoft.com/devices/recoverykey

入力するとログインできる。が、毎度これは当然ながら非常につらい。

これは、BitLockerがSecure BootがOFFの状態を普段と異なる異常な状態と見做すためらしい。つまり、Secure BootはOFFでええんやで、とBitLockerに教えてやる必要がある。つまり、Secure BootをOFFにしつつBitLockerは有効化できると理想的だが、それができるのはPro以上である。

というのも、この処理のためには一度BitLockerを無効化して再度有効化する手順が必要（有効化した時点の状態を正常と見做すため）なのだが、Homeでは一度無効化させると二度と有効化できなさそうだからだ（「Windows Homeでも「BitLocker」が有効になっている場合がある！対処法まとめ-ふくしまクラウド」）。実際、うちのPCでも一度無効化させると設定項目から暗号化が消えた。

なのでまぁ、HomeでSecure BootをOFFにするならば、暗号化についても諦めねばならないだろう。そもそもBitLockerはストレージまるごと暗号化するものだが、これが想定するのはストレージそのもの、つまりラップトップそのものの紛失や盗難だ。そうあることではないし、取られたところでDMMの動画があるだけだ。

Windows Home

設定から「プライバシーとセキュリティ」「デバイスの暗号化」にデバイス暗号のON/OFFのみが存在する。これをOFFにすると、BitLockerが無効化される（=デバイスの暗号化も解除される）。二度と復活できないので、やるならわかったうえで。

Windows Proなら

Windows Proならばシステム設定に「BitLockerの管理」、Cドライブの項目から「保護の中断」をし、処理が完了したら即「再開」とすると、現在の「Secure BootがOFFの状態」を正常と見做すようになるようだ。検索して出てくるのはだいたいこれ。

所感

今回の手順はLinuxをデュアルブートする過程で発生した。ざっと調べた限り、Secure Bootは本来オプションであるべきなのではなかろうかと思われた。というか自分でOSを入れるの上等なミニPCだとけっこう問題になりそうだが、最初から切っているんだろうか。GeminiはSecureBootのことを"「大統領官邸の対テロ特殊部隊」のようなもの"と言っていた。うちに対テロ特殊部隊は恐らく必要ない可能性が高い。まぁいずれにせよ、スナック菓子感覚でOS入れたい人向けのオプションではなかろうし、そんなPCに大した情報が入っているわけもないのだ。

問題はBitLockerのほうか。ストレージの暗号化はそりゃまぁ、やれるならやったほうがいいかな、とは思う。とはいえ、こちらもWindows Homeであれば使えないのがそもそもなので、最初からなかったものと考えよう。だいたいデバイス取られている時点でもっと根本的に色々まずいのだよ。