主にWindows・ソフトウェア・スマートフォン関連の操作・設定を掲載してます、不定期の更新ですが是非、感想、コメント、評価をお願いします。 ブロとも・相互リンク募集中





UEFI環境でCSMとセキュアブートの設定

UEFIマザーボードの設定にある「CSM」と「セキュアブート」、
これらは同時に有効にしてはいけません。

昔から色々なところで言われていたことですが、
Windows を UEFI (GPT) 形式でインストールしたら
マザーボードのこれら設定は見直したほうが良いですね。

設定は以下のようにすることが推奨されます。

CSM―無効

Secure Boot ―有効・無効どちらでもOK

または

CSM―有効

Secure Boot―必ず無効にする

PC環境はWindows 10 ProでUEFIモードでインストールされていますが、
UEFIのアップデートを行ったら「CSM」も
「セキュアブート」も有効になってしまい
Windowsの起動不良に陥りました。
設定を上記のように変更したら改善しました。



UEFI について

Unified Extensible Firmware Interface【UEFI】とは、
従来のBIOSに代わるソフトウェアインタフェースの仕様です。

従来のBIOSよりも機能が拡張されており、「高速なシステムの起動」
「より拡張されたディスク管理形式であるGPT形式の利用」
2TiB以上のディスクからのブート
「セキュアブートなどの利用」が可能になっています。
特に大容量のディスクからOSが起動できるようになったのが
最大のメリットと考える方もい多いでしょう。
2TiB以上の記憶装置も珍しくなくない時代ですから。

UEFIでのブートに対応したOSを「UEFIモード」でインストールすることで、
UEFIによるOSの起動ができるようになり、
上記のメリットを活かせるようになります。
ただ、64bit版Windowsであることがほぼ必須です。
32bit版WindowsではUEFIモード(GPT形式へ)のインストールができません。

従来の方式である「レガシーBIOSモード」で
インストールされている場合は、
UEFIモードでOSを再インストールする必要があります。



最近は再インストールしなくても変更できる模様

最近はWindowsの再インストールをしなくても、
現環境のままレガシーからUEFIへ変更できるようです。

IntelのサイトではWindows 10 Creators Update x64以降に搭載されている
「MBR2GPT.exe」を用いて変換しています。また、
他のサードパーティー製の変換ツールもあるようです。

システムの根底を操作するため、このツールによる不具合も考えられます。
バックアップはしっかり行いたいところですが、
再インストールの手間が省ける可能性があるのならば
試してみるのもよいかと思います。



CSM について

Compatibility Supported Module【CSM】と呼ばれるシステムは、
従来のBIOSをエミュレートして互換性を保つための仕組みです。

UEFIを実装している殆どのマザーボードで内蔵されているシステムで、
これが有効になっていると従来のBIOS(レガシーBIOS)を
通しての起動が可能になります。
例えば、32bit版の Windows Vista や Windows 7 などの
 " レガシーなOS " をインストールできたり、
また古いドライバや周辺機器との互換性が高くなります。

上記のような古い資産を運用したい場合は
CSMを有効にすることで動作することが期待できます。

そこまで古いものを利用していないという場合であれば
通常お世話になることは少なく、
さらにUEFIブートをしているのであれば後述する
「セキュアブート」との関係より「無効」が推奨されます。



セキュアブート について

セキュアブート【Secure Boot】とは、
OSが起動する前に改ざんされていないかどうかをチェックする
セキュリティ機能です。

UEFIで規定されているプロトコルの一つで、
UEFIファームウェア内に保存されている「鍵」を使って、
OSのブートローダやカーネルなどを検証、
不正があれば実行を拒否できるシステムです。
起動時のデジタル署名をチェックし、
著名があるソフトウェアのみ実行します。

例えば、OS起動前にマルウェアなどを実行されてしまい感染を許してしまったり、
不正なOSが読み込まれるのを防ぐことができます。

セキュリティの向上が見込めますが、反面意図的にLinuxなど別の
OSのブートや、デジタル著名のないソフトウェアの実行、
パーツの交換などを行うとOSの実行を拒否されることがあります。
その場合は一時的にセキュアブートを無効化する必要があります。

また、CSMが有効になっている場合はセキュアブートを
「無効」にすることが推奨されています。
両方共有効になっているとWindowsの起動がうまくいかなかったり、
動作が非常に不安定になります。
CSMが無効の場合、セキュアブートは有効・無効どちらでもよいみたいです。



CSMとセキュアブートは同時に有効化してはいけない

CSMとセキュアブートを同時に有効化してしまうと、
最悪Windowsが起動しなくなります。

一部の UEFI ベースの PC には、以前の BIOS をエミュレートする
互換性サポート モジュール (CSM) が含まれており、
エンド ユーザーにより高い柔軟性と互換性を提供しています。
CSM を使うには、セキュア ブートを無効にする必要があります。

CSMとセキュアブートは以下の組みあせで設定する必要があります。

CSM―無効
Secure Boot―有効・無効どちらでもOK

または

CSM―有効
Secure Boot―必ず無効にする

WindowsをUEFIインストールした後、UEFIのアップデートも実行して。
その際にどうやら「CSM」
「セキュアブート」どちらも有効になってしまう様です。

UEFIのアップデート後、Windowsは起動できますが
非常に不安定でとてもではありませんがOSを操作できる状態ではありません。
ということで、ここらの設定を見直してみたらあっさり直りました。







にほんブログ村 IT技術ブログへ
にほんブログ村
関連記事


















    (この一行は、各記事の最後に固定表示するサンプルです。テンプレートを編集して削除もしくは非表示にしてください。)

    コメント

    Re: ReRe: CSM無効で、Secure Boot無効/有効どちらでも可の意味
    たいした事出来なくて、申し訳ないです。

    確かにCSMとSecure Bootの設定は紛らわしいですね。

    私もそう思います。


    たいしたアドバイスは出来ませんが
    また何かございましたら
    お越しください。

    お待ちしてます。
    ReRe: CSM無効で、Secure Boot無効/有効どちらでも可の意味
    テッちゃん さま。細かなご教授ありがとうございました。

    「CSM無効で、Secure Boot無効/有効どちらでもよい」は、
    UEFIモードの使用環境では、CSM無効+Secure Boot有効が推奨。
    ただし、デジタル署名が無いOSの場合、Secure Boot無効にしないと起動しない。
    windowsが8.1(←不確か)以降の場合は、「どちらでもよい」という意味ですね。
    ただし、Secure Boot無効の場合、起動するがセキュリティは保証できない。ですね。

    私の体験上ですが、UEFIモードでのレスキューアプリやLinuxのブータブルUSBでは、
    Secure Boot無効にしないと起動できませんでした。
    「Secure Boot無効」の場合、CSMは全ての有効でいいはずですね。
    UEFIモードでの最近のwindows は、この設定でも起動できる。
    CSMとSecure Bootの設定は紛らわしいですね。
    Secure Bootの設定だけでいいように思えます。

    また疑問が沸きましたがこれまでとします。
    いろいろ有難うございました。
    Re: SCM無効で、Secure Boot無効/有効どちらでも可の意味
    CSM
    BIOSをエミュレートして互換性を保つための仕組みなのは
    ご存じかと思います。

    UEFIを実装している
    マザーボードで内蔵されているシステムで、
    これが有効になっていると
    従来のBIOSを通しての起動が可能です。

    例をあげると
    32bit版の WindowsVistaやWindows7などの レガシーなOSを
    インストールできたり、
    また古いドライバや周辺機器との互換性も高くなります。


    Secure Bootは
    OSが起動する前に改ざんされていないかどうかを
    チェックするセキュリティ機能です。
    OSのブートローダやカーネルなどを検証、不正があれば
    実行を拒否できるシステムです。

    OS起動前にマルウェアなどを実行されてしまい
    感染を許してしまったり、不正なOSが読み込まれるのを防ぐことができます。

    セキュリティの向上が見込めますが、反面意図的に
    Linuxなど別のOSのブートや、デジタル著名のない
    ソフトウェアの実行、パーツの交換などを行うと
    OSの実行を拒否されることがあります。

    その場合は一時的にセキュアブートを無効化する必要があります。

    また、CSMが有効になっている場合は
    セキュアブートを「無効」にすることが推奨されています。

    両方共有効になっているとWindowsの起動がうまくいかなかったり、
    動作が非常に不安定になります。

    なので
    CSMが無効の場合、セキュアブートは有効・無効どちらでもよいみたいです。

    CSMとセキュアブートを同時に有効化してしまうと、
    最悪Windowsが起動しなくなります。

    引用 (CSMについて)
    従来の BIOS と互換性がある。一部の UEFIベースの PCには、
    以前の BIOS をエミュレートする互換性サポートモジュール(CSM) が
    含まれており、エンド ユーザーにより高い柔軟性と互換性を提供しています。
    CSMを使うには、セキュアブートを無効にする必要があります。

    MSDNのページにも2つとも有効にしないようにと明記されています。
    是非、お時間がある際に一読してみてください。

    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824898(v=win.10)?redirectedfrom=MSDN


    私の場合、Windows11をしOSの起動をM.2 SSDにしているので
    M.2 SSDを読み込むためには「セキュアブートを無効」にする必要があるので
    無効にしています。

    セキュアブートの有効/無効はどう使い分けとして
    セキュアブートに対応したOSを
    UEFI(GPT起動)で使う際、主に不正なOS (ルートキット系ウイルス) の
    起動を防ぐ目的などで セキュアブート有効が効果があります。

    セキュアブートを無効の場合
    PC起動時の「ドライバやOSのデジタル署名のチェック」がなくなります。
    それだけです。
    SCM無効で、Secure Boot無効/有効どちらでも可の意味
    ここ(以下)についてお分かりでしたら教えていただきたかったのですが・・・
    「CSM―無効の場合、なぜ「Secure Boot―有効・無効どちらでもOK」でよいのでしょうか。」
    Re: SCM無効で、Secure Boot無効/有効どちらでも可の意味
    はじめまして
    CSMとSecure Bootに関してはどちらかを
    有効にしたほうが、いいです。
    私の場合は、同時有効にした場合に
    OSが不安定になりました、そこで設定を
    見直して改善しました。

    Linux等のブータブルメディアの場合は、
    申し訳ないですが、私も数十年
    触ってないので、分かりません。

    SCM無効で、Secure Boot無効/有効どちらでも可の意味
    CSM―無効の場合、なぜ「Secure Boot―有効・無効どちらでもOK」でよいのでしょうか。
    Secure Boot無効でも、CSMが無効であればセキュリティ機能を発揮できるということでしょうか。
    あるいは、「どちらでもOK」とはセキュリティ機能は発揮できないが、動作(起動)はできるという意味でしょうか。
    Linux等のブータブルメディアは無効にしないと起動できませんので、セキュリティには目をつむって「保障外で」使いなさいということでしょうかね~。

    コメントの投稿

    非公開コメント

    (この一行は、各ページ下部に固定表示するサンプルです。テンプレートを編集して削除もしくは非表示にしてください。)
    検索フォーム
    カウンター



    閲覧者数
    現在の閲覧者数:
    ジャンルランキング
    [ジャンルランキング]
    コンピュータ
    250位
    ジャンルランキングを見る>>

    [サブジャンルランキング]
    ウィンドウズ
    61位
    サブジャンルランキングを見る>>
    RSSリンクの表示



    カテゴリ
    タグ一覧

     Windows   Windows10   Windows11 

     パソコン   インターネット   HTML 

     自作パソコン   コマンドプロント 

     Microsoft   アプリケーション   iPhone 

     Android   Office2021   Excel 

     Excel2021 

     AfterEffects 

    FC2リンク
  1. 赤髪船長のCUSTOMラベル

  2. ブロとも一覧

    You talkin' to me ? 2nd_新たなる驚異を求めて

    あっきーの雑記ブログ

    LEVEL1 FX-BLOG

    梅月夜の夢物語り

    株式情報市場
    QRコード
    QR
    ブログランキング




    にほんブログ村 スマホ・携帯ブログへ にほんブログ村 スマホ・携帯ブログ iPhoneへ にほんブログ村 IT技術ブログへ にほんブログ村 IT技術ブログ IT技術情報へ にほんブログ村 地域生活(街) 沖縄ブログへ にほんブログ村 地域生活(街) 沖縄ブログ 沖縄市・コザ情報へ

    ブログ王ランキング

    相互リンクとランキングプラス

    PC・ソフトランキング









    ランキング集計結果









    タイムライン
    セキュリティーソフト
    ウイルスバスター公式トレンドマイクロ・オンラインショップ

    ノートンストア

    マカフィー・ストア

    ZERO ウイルスセキュリティ

    ソフトウェア
    Acronis True Image

    サイバーリンク Power2Go 12