Windows11のシステム要件を回避したい!!
経緯は、検証環境として仮想OSを用意したかったけど、4GBのメモリを割り当てられる環境になかったため、2GBの割り当てとしてインストールしようとしたらひっかかりました。
なるほど、回避しよう。
回避は Windows11 25H2 でも有効であることを確認した。
回避前の状態
Hyper-V で、第1世代の仮想OSを用意し、メモリを2GB割り当てとしたとき、インストールを進めると下記画面になる。
次へ進めると・・・
回避方法
-
この画面よりも前の画面で、Shift+F10 を押す。
-
コマンドを実行してレジストリエディタを表示させる。
regedit
-
HKEY_LOCAL_MACHINE\SYSTEM\Setup まで移動する。
-
『LabConfig』キーを追加する。
-
回避したい要件の値を追加する。
名前 値の種類 値 意味 BypassRAMCheck DWORD(32ビット) 1 メモリ要件を回避 BypassSecureBootCheck DWORD(32ビット) 1 セキュアブート要件を回避 BypassTPMCheck DWORD(32ビット) 1 TPM2.0 要件を回避 
-
先に進める・・・!!
注意点
今回はすべての要件が満たしていない状況をわざと作り上げたが、Microsoft が公式に保証していないため、セキュアブートとTPM 2.0 は原則無効化する必要がない環境でやった方がいい。
調べればすぐ分かると思うけど、Hyper-V の仮想OSなら、満たす環境は下記の通り。
| ルール | 内容 |
|---|---|
| 仮想マシンの世代 | 第2世代 |
| セキュリティ | 『セキュアブートを有効にする』 をチェックする |
| セキュリティ | 『トラステッドプラットフォームモジュールを有効にする』 をチェックする |
せいぜい、めちゃくちゃ遅くてページングしまくってもいいから、少しメモリ少ない環境で動かしたいの!
を叶えるだけにした方がいい。
下記は ChatGPT に聞いた、セキュアブートとTPM 2.0 を回避したことによる具体的な影響リスク。
まぁ簡単に言ったら、それでも大丈夫なんて言ってないんだから、何があっても知らんぜ!ってことだね。
1) なぜ TPM / Secure Boot が重要か(仕組み)
TPM(Trusted Platform Module)
TPM はハードウェアに埋め込まれたセキュリティチップで、暗号鍵の安全な保管、プラットフォームの測定値(measured boot)、ファームウェア/ブートの整合性チェックといった機能を提供します。Windows では BitLocker のキーの格納、Windows Hello の鍵の格納・デバイス結び付け、Virtualization-Based Security (VBS) や Credential Guard といった機能の基盤として用いられます。TPM 2.0 が推奨・要求されるのはこれらのためです。
Secure Boot(UEFI Secure Boot)
Secure Boot はファームウェア(UEFI)がブートローダー/カーネル等の署名を検証して、信頼された(署名済み)コードだけをブート前に実行する仕組みです。これによりブートキット/ルートキットのような先行型マルウェアの侵入を大幅に低減できます。Secure Boot が無効だと、改ざんされた(または署名の無い)ブートローダーが起動でき、事前にカーネルが乗っ取られるリスクが増します。
2) レジストリでチェックを無効にしたときに直接生じる影響(技術的・機能的)
(A)インストール直後に起こること
インストールは通るが、システムは「ハードウェアで保証されたセキュリティ」を持たない状態で動作する。Microsoft はそのような環境での Windows 11 をサポートせず、可能なら Windows 10 に戻すことを勧めている。
(B)暗号化・認証関連の機能低下
BitLocker:通常は TPM を鍵の保護に使う。TPM がない/無効だと TPM バインドの自動解除が使えない(代替でパスワードやUSBキーに頼る必要がある)。その場合、キーの安全性は低下し、物理アクセスがあれば鍵を奪われやすくなります。
Windows Hello / NGC(新しい認証基盤):ユーザーの生体認証情報や鍵が TPM によって保護される前提が多く、TPMがないとセキュリティ強度が下がります。
(C)仮想化ベースの保護(VBS)やCredential Guardの制約
Credential Guard / VBS は OS の重要データを隔離することでパス・ザ・ハッシュ等を防ぐが、TPM/ハードウェアの機能と連携して安全性を高める。TPM がない/無効だとこれらが無効化されるか効果が限定される。結果、資格情報盗難のリスクが上昇します。
(D)ブート時の攻撃に対する脆弱性増加
Secure Boot をバイパスすると、署名されていないカーネルモジュールやブートローダーの実行が可能になり、ルートキットやブートキットなどが入り込みやすくなる。一度ブート段階で侵入されたマルウェアは検出・駆除が非常に困難です。
(E)一部ソフト/ゲーム/アンチチート/DRM の動作不具合
近年、ゲームや一部のアプリケーションはセキュリティ要件(Secure Boot / TPM)を前提にした検査を行うことがあり、動作不能や制限が出る場合があります(プラットフォームやタイトルに依存)。最近ではゲーム側がSecure Boot/TPMの状態を確認する動きが増えています。
3) サポートと更新(Windows Update)の影響
Microsoft の公式見解:Windows 11 を最小要件を満たさないデバイスにインストールした場合、Microsoft はその利用を推奨せず、そのデバイスが Windows Update(機能更新やセキュリティ更新)を受ける権利が保証されないと明示しています。最悪の場合、重要な更新が当たらないことがあり得ます。したがって長期運用は非常にリスクが高い。
報道・技術系記事も、Microsoft がハード要件を緩める意図がないことや、将来的にアップデート適用に制限をかける可能性を指摘しています。つまり「動いているから安全」ではありません。
4) フォレンジック/復旧面の影響
ブート段階で改ざんが起きると、OS 起動後の常識的な検出手段(アンチウイルス、OS ログなど)が無効化される恐れがあるため、感染の検出やクリーン復旧が非常に難しくなります。Secure Boot/TPM は「起動時の信頼の鎖(chain of trust)」を提供しますが、それを無効にすると証明書的証拠も得にくくなるため、事後調査が困難です。
5) 法務・コンプライアンス面(組織で使う場合)
企業システムや規制対象データ(個人情報、機密情報)を扱う端末が TPM / Secure Boot の要件を満たしていないと、社内ポリシーや業界規定に抵触する可能性があります。監査で指摘され、結果的に運用停止や罰則・賠償につながる場合があるため業務用途は特に注意が必要です。
6) 「検出方法」と「今の状態を確認する手順」
TPM の有無/状態確認:tpm.msc を実行、あるいは Windows の「設定 > Windows セキュリティ > Device security > Security processor details」を確認。仕様バージョンが 2.0 であるかをチェック。
Secure Boot の状態確認:msinfo32 を実行し「Secure Boot State」欄を確認する(On / Off)。PowerShell の Confirm-SecureBootUEFI でも確認可。
インストール時のLabConfig改変の手がかり:インストール時にレジストリを編集している場合、HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig 下の値が存在するか確認(ただしインストール後に削除しても影響は残りうる)。レジストリの存在は“回避した痕跡”です。関連情報はコミュニティ/技術記事で広く報告されています。
7) 実務的リスクの優先度(高→低)
ブートタイム・永続的マルウェア(rootkit/bootkit)による完全侵害(非常に高リスク:検出・駆除が難しい)。
重要セキュリティ更新が適用されない/遅延するリスク(中〜高)。
マイクロソフトサポート
資格情報漏洩(Credential theft)やBitLockerの弱体化(中)。
将来的な互換性・機能喪失(新機能が動かない等)(中)。
業務上のコンプライアンス/サポート喪失(組織向けに深刻)。
8) 緩和策(可能な対応とその限界)
最良策(推奨)
BIOS/UEFI で TPM(fTPM / PTT など)と Secure Boot を有効にする(マザーボード/ファームウェアでサポートされている場合)。その上でクリーンインストールまたは再有効化。詳細手順はメーカーのドキュメント参照。
TPM が物理的に無い場合は(対応する) discrete TPM モジュールの追加が可能なマザーボードなら購入・装着を検討する。
可能なら Windows 11 を使い続ける代わりに、サポートの続く Windows 10(サポート期間に注意)や、要件を満たしたハードへ移行する。Microsoft は非準拠環境での運用を勧めていません。
マイクロソフトサポート
代替の緩和(非完璧)
ネットワーク隔離・最小権限にして外部攻撃面を減らす(ただし完全ではない)。
重要データはオフラインバックアップ・別マシンで暗号化保管(ソフトウェア暗号化も有効だが TPM バインドに比べ弱い)。
ソフトウェアベースのフルディスク暗号(例:VeraCrypt 等)の利用。ただしブート段階の攻撃(ブートローダ改ざん)には脆弱性が残る点に注意。
可能な限り Windows Update を手動で監視し、重要更新を適用する(ただし Microsoft による配布が制限される可能性はある)。
Tom's Hardware