スキップしてメイン コンテンツに移動

UEFI Secure Boot 環境 にて、WindowsPE を PXE で起動

UEFI環境下では、2021/08/19現在、iPXEにはMicrosoftがサインしたefiバイナリがないので、そのままではセキュアブートができません。そこでWindows PEをPXE経由でDebian 10/Buster サーバからセキュアーブートしてみました。
まず初めにWindows上でWinPEを日本語化させたものを作成します。今回はamd64のみを対象としてみました。まず、Windows ADKをダウンロードします。今回もWindows 10 バージョン 2004、Windows 10バージョン 20H2、Windows 10 バージョン 21H1 用のものをダウンロードし、インストールします。adk本体のインストールがすんだら、アドオンをダウンロードしインストールします。
続いて、スクリプトを使って amd64向けの日本語化したWinPEをセットアップします。以下、スクリプトです。C:\Tempを作成し、その中にcppe_ja.batという名前で作成し保存します。 
for %%d in (amd64) do call :Cppe %%d
REM for %%d in (amd64, x86) do call :Cppe %%d
goto End

:Cppe
set ADK_PATH=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit
set ADK_PACK=%ADK_PATH%\Windows Preinstallation Environment\%1\WinPE_OCs
set WS_DIR=C:\Temp\WinPE\%1

call copype %1 "%WS_DIR%"

Dism /Mount-Image /Imagefile:"%WS_DIR%\media\sources\boot.wim" /Index:1 /Mountdir:"%WS_DIR%\mount"

Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\lp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-FontSupport-JA-JP.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-WMI.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-WMI_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-NetFx.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-NetFx_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-Scripting.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-Scripting_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-PowerShell.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-PowerShell_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-DismCmdlets.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-DismCmdlets_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-SecureBootCmdlets.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\WinPE-WDS-Tools.cab"
Dism /Image:"%WS_DIR%\mount" /Add-Package /Packagepath:"%ADK_PACK%\ja-jp\WinPE-WDS-Tools_ja-jp.cab"
Dism /Image:"%WS_DIR%\mount" /Enable-Feature /FeatureName:SMB1Protocol

Dism /Image:"%WS_DIR%\mount" /Set-Allintl:ja-jp
Dism /Image:"%WS_DIR%\mount" /Set-Inputlocale:0411:00000411
Dism /Image:"%WS_DIR%\mount" /Set-Layereddriver:6
Dism /Image:"%WS_DIR%\mount" /Set-Timezone:"Tokyo Standard Time"

Dism /Unmount-Image /Mountdir:"%WS_DIR%\mount" /Commit

goto :eof

:End
バッチファイル(スクリプト)を作成したら保存します。続いて、Windows Kitというメニューのなかに、”展開およびイメージングツール環境”という項目があるので、これを、管理者権限で実行します。作成したバッチファイルを流すとC:\Temp\WinPE\amd64以下に、5分から10分程かかりますが、日本語化されたamd64向けのWinPEができるので、これをtftpサーバに展開します。Windows 10 21h1だと scp -r が使えるので、例えば以下のようにしてtftp serverにコピーしておきます。 
# on power shell
cd \Temp\WinPE
scp -r amd64 yourid@MySrv:/tmp/WinPE
コピーがすんだら、tftp server 上でtftp bootできるようにファイルを展開します。 
# on server
sudo su
chown -R root /tmp/WinPE
mv /tmp/WinPE /srv/tftp/WinPE

cd /srv/tftp

ln -sf WinPE/media/EFI .
ln -sf WinPE/media/Boot .
ln -sf WinPE/media/sources .

ln -sf EFI/Microsoft/Boot/BCD '\BCD'
ln -sf EFI/Microsoft/Boot/BCD '\Boot\BCD'

ln -sf EFI/Microsoft/Boot/Fonts/segmono_boot.ttf '\EFI\Microsoft\Boot\Fonts\segmono_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segoe_slboot.ttf '\EFI\Microsoft\Boot\Fonts\segoe_slboot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/wgl4_boot.ttf '\EFI\Microsoft\Boot\Fonts\wgl4_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segmono_boot.ttf '\EFI\Microsoft\Boot\fonts\segmono_boot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/segoe_slboot.ttf '\EFI\Microsoft\Boot\fonts\segoe_slboot.ttf'
ln -sf EFI/Microsoft/Boot/Fonts/wgl4_boot.ttf '\EFI\Microsoft\Boot\fonts\wgl4_boot.ttf'

ln -sf EFI/Boot/bootx64.efi '\bootx64.efi'
ln -sf EFI/Boot/bootx64.efi bootx64.efi
ln -sf EFI/Boot/en-us/bootx64.efi.mui '\en-US\bootx64.efi.MUI'

ln -sf Boot/boot.sdi '\Boot\boot.sdi'
ln -sf Boot/boot.sdi '\boot\boot.sdi'
ln -sf sources/boot.wim '\sources\boot.wim'
ファイルの展開は以上です。つづいて要所だけですが、dhcpサーバの設定です。 
host i44 {
  hardware ethernet AA:BB:CC:DD:EE:FF;
  fixed-address 192.168.2.44;
  next-server 192.168.2.104; # tftp server
  filename "bootx64.efi";
  option iscsi-initiator-iqn "iqn.1868-01.com.mydomain:i44";
  option root-path "iscsi:192.168.2.104:::1:iqn.1868-01.com.mydomain:i44.disk01";
}
optionはiSCSI rootのための設定ですので、不要であれば削除してください。dhcp server の設定がすんだら、systemctl restart isc-dhcp-server としておいてください。あとは、Windows機をpxe boot すれば数分でWinPEが起動します。ウィンドウズをインストールするため、インストールディスクをネットワークから接続しsetupしてもよいですし、USBディスクからsetupしてももちろんかまいません。setupの後、何らかの処理を行いたい場合は、setup /norebootとすればセットアップ終了後も再起動しません。
今回は以上です。それでは。
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

wsdd を使ってSamba サーバをネットワークに表示

Windows 10のアップデートで、セキュリティー対応のため、smbv1がデフォルトではインストールされなくなり、Samba serverがエクスプローラーのネットワークに表示されなくなってしまいました。そこで、いくつか方法を調べたのですが、linuxでwsdの実装がないか探したところ、 https://github.com/christgau/wsdd が、見つかりましたので、さっそくインストールしてみました。まだパッケージにはないようですが、インストール自身は簡単です。wsdd自体は以下のように取得し、linkを張っておきます。 cd /usr/local/bin/ sudo wget https://raw.githubusercontent.com/christgau/wsdd/master/src/wsdd.py sudo chmod 755 wsdd.py sudo ln -sf wsdd.py wsdd こちらのsambaサーバはDebianなので、/etc/systemd/system/wsdd.serviceは以下のようにしました。 [Unit] Description=Web Services Dynamic Discovery host daemon Requires=network-online.target After=network.target network-online.target multi-user.target [Service] Type=simple ExecStart=/usr/local/bin/wsdd -d MYDOMAIN [Install] WantedBy=multi-user.target wsdd -d MYDOMAINのところを、環境にあわせて書き換えてください。 次に、systemdに登録・起動テストを行います。 systemctl enable wsdd systemctl start wsdd 起動に成功すると、エクスプローラーのネットワークに表示されます。  なおこのwsddはpython3が必要です。一度試してみてください。SMBv1/CIFSを停止していても、大丈夫です。 cで書かれたほかのwsddの実装もあるようなので、いずれパッケージになるかも...
コメントを投稿
続きを読む

Windows デバイス暗号化 のサポートで "許可されていない dma 対応バス/デバイスが検出されました"の対処

Windows でセキュリティー関係を見ているのですが、とあるPCでmsinfo32で確認すると"デバイス暗号化のサポート"で"許可されていない dma 対応バス/デバイスが検出されました"と出ていました。このPCの場合、それ以外はOK(なにも表示されない)だったのですが、ネットでしらべるとMSのドキュメントではハードウェアベンダーに問い合わせるなどと敷居が高く具体的にどこが引っかかっているかわかりません。そこでほかに方法はないかとしらべやってみたところ、"前提条件をみたしています"まで持って行けたので、本稿を挙げた次第です。 具体的には、以下のようにします。 1-a. 許可するDMA対応バス・デバイスを指定するレジストリの所有権と書き込み設定をおこなう。 以下のレジストリキーの所有者を自分自身(管理ユーザ)のものにし、フルコントロール権を付与する。 HKLM\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses もしくは 1-b. MicrosoftよりPsExecをダウンロードし、System権限でRegeditを立ち上げ編集する。 Microsoftより、https://docs.microsoft.com/en-us/sysinternals/downloads/psexec にある こちら をダウンロードし、解凍する。解凍すると、x64の場合、PsExec64.exeがあるので、管理者権限で以下を実行し、システム権限でregeditを立ち上げることが出来るようになる。 cd Downloads\PSTools .\PsExec64.exe -sid C:\Windows\regedit.exe 2-a. パワーシェルスクリプトを実行し、PnPデバイスのうちインスタンスがPCIで始まるものを"AllowedBuses"に追加する。 以下のパワーシェルスクリプトを作成する。たとえばDocuments\allow-dma-bus-device.ps1として作成する。( こちらの記事のものを使用させていただきました: Thank you! ) $tmpfile = "$($env:T...
コメントを投稿
続きを読む

フレッツ光クロス:MAP-E ROUTER by Debian Box (iptables)

フレッツ光クロスがようやく開通したので、Debianにてrouterを構成し接続してみました。なお、プロバイダーを選ぶにあたっては、IPoE方式がそれぞれ異なるため検討したところ、IPoEでは、MAP-Eでもv6plusとocnバーチャルコネクトがあり、前者がポート数240なのに対し、後者は約4倍のポート数が使えるようなネットの情報をみて、OCNバーチャルコネクトを選択しました。(プロバイダーとしてはぷららです。なおDS-LiteはCE側でのNATではないので今回は見送りました。)そこで、OCN バーチャルコネクトをDebian(iptables)で実現するとどうなるかと思い、ネットの情報を頼りにしつつ、設定した次第です。 実際に試した結果、とりあえず通信できていますが、MAP-Eは本来マッピングルールをマップサーバから取得するはずなので、今回のやり方が正解とはいえませんし、仕様変更されると通信できなくなる可能性があります。あくまでも参考程度ですが、本稿をUPしてみました。 2023/03/16追記: こちら にゲームコンソールNAT越え(Nintendo Switch ナットタイプ A判定)対応版を投稿しました。 2023/03/28追記:※1の記述および3行無効化によりNAT越え(Nintendo Switch ナットタイプ B判定)できるようになりました。 構成は以下の通りです。 ルーターがDebianで回線がOCNバーチャルコネクトであること以外はなにも特別なところはない構成です。 さて、いきなり設定ですが、まず、割り当てられたプレフィックスを確認します。 確認は、 dhclient -6 -d -P enp2s0 とします。出力の中に 前略 RCV: | | X-- IAPREFIX 2400:4050:5c71:af00::/56 後略 このようにプレフィックスが表示されるので、その確認したプレフィックスを書き留めておきます。これを こちらで 入力します。すると、 CE: 2400:4050:5c71:af00:99:f171:c600:2f00 IPv4 アドレス: 153.241.113.198 ポート番号:(1776-1791 2800-2815 3824-3839) 4848-4863 5872-5887 6896-...
コメントを投稿
続きを読む