Windows7の次のOSに付いて考える

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------
Windows7のサポートが切れる2020年1月を迎える前に、Windows10ではない別のOSに切り替えしようと考えている筆者です。

MSはWindows10 Creators Updateから段階的にWin32と.NETを切り捨てタイルUIのUWP(Universal Windows Platform)だけを動作させるOSに移行し始めました、近い将来のWindows10では旧来のアプリが動作しなくなります。結果、Windowsである必要性が全く無くなりますので、もうLinuxで良いでしょ・・・という。逆にここでUWP限定でアプリ開発するとMSへの生涯献金中毒から抜け出せなくなります。囲い込み戦略の一環としてMSはXamarinの様なものを脅威認定し買収しています。恐らくXamarinは緩やかな終息とUWPのみの世界への統合に向う様に徐々に調整されiOSやAndroidでは正常に動作しなくなる様に少しづつ(しかしラチェット規定の如く非可逆的に)変化して行くと思われます。

筆者がWindows10へ移行しない理由は既に幾度か記事にしていますが、現時点での候補としては下記で考えています(右往左往していますので、時々変更も有り得ます)。

LinuxMint(Ubuntuベースで最新版でも32Bit対応、最近シェアを伸ばしている)+Wineで普段使うWorkstation向けにし、慣れ親しんだCentOSをサーバーサイドの開発主体に構成しようかと思います。

OSではありませんが、ブラウザはFireFoxに統一しようかと思います。理由はMozillaのマニフェストに共感したからです。特に次の一文です『04 インターネットにおける個人のセキュリティとプライバシーは必須のものであり、オプションとして扱われるべきではありません。』しかし残念な事にWindows10は入力した文字がサーバに送信される仕様ですからクレジットカードの番号や暗証パスワードなどが筒抜けになりますのでWindows10は使いたくありません。逆にオープンソースLinuxの特徴の一つとしてオープンソース故にスパイ機能が有れば何をしているかバレバレですから安心感が有ります。


Linux Mint 18 + Wine
 ---サポート終了日---
  2021年4月30日
 ---対象機体---
  魁??漢塾:三号生二号生一号生新一号生(K6-Single)
  32Bit機:4号機5号機6号機7号機14号機16号機#1
  64Bit機:10号機11号機12号機13号機15号機16号機#2
       16号機#317号機18号機19号機20号機
       21号機(Naples)、22号機(SkylakeEP)
     BIOSのBOOTオプションでWindows2000/7とのデュアルブート
 ---セキュリティ対策---
   基本:必要最小構成でセットアップし、ポートは基本全て塞ぐ。
   有料:Symantec Endpoint Protection for Linux
      ESET NOD32アンチウイルス for Linux Desktop(※未対応)
      Kaspersky Endpoint Security for Linux(※未対応)
   無料:ClamAV


CentOS 7
 ---サポート終了日---
  2024年6月30日
 ---対象機体---
  64Bit機:17号機20号機、21号機(Naples)、22号機(SkylakeEP)
     BIOSのBOOTオプションでWindows7とのデュアルブート
 ---セキュリティ対策---
   基本:必要最小構成でセットアップし、ポートは基本全て塞ぐ。
   有料:Symantec Endpoint Protection for Linux
      ESET File Security for Linux
      Kaspersky Anti-Virus 8.0 for Linux File Servers
   無料:ClamAV


Windows2000 Professional SP4 + Kernel32改
 ---サポート終了日---
  既に終了
 ---対象機体---
  魁??漢塾:三号生二号生一号生新一号生(K6-Single)
     魁??漢塾は前世紀末(1997-1999) 混沌とした時代を切り開くべく
     登場した新人類(ニュータイプ)による世紀末双発電脳伝説として
     永遠に語り継がれる事でしょう・・・
  32Bit機:4号機(P6)、5号機(K7)、6号機(P3S)、7号機(P4)、16号機(C3)
     Windows7のサポート終了前にWindows2000に戻します
     BIOSのBOOTオプションでLinuxとのデュアルブート設定
 ---セキュリティ対策---
   基本:無防備なので1機に1台のファイヤーウォールが必要です。
     Windows2000は比較対象として残すだけでメインはLinuxに移行し、
     イーサネットアダプタを無効設定にするかもしれません。
   有料:ESET NOD32アンチウイルスV4.2(2017年5月31日まで
     ALYac Internet Security Pro \3,579-
   無料:ClamWin(ブログ読者様に教えて頂きました)


Windows7 Profesional/Ultimate SP1
 ---サポート終了日---
  2020年01月14日
 ---対象機体---
  32Bit機:14号機(Yonah/Sossaman)
  64Bit機:10号機11号機12号機13号機15号機16号機#317号機
      18号機19号機20号機、21号機(Naples)、22号機(SkylakeEP)
   BIOS/UEFIにて起動順を変更する形でLinuxとデュアルブートします。
   MacユーザがBootcampするのと同様に考えると良いかと・・・
 ---導入手順---
   ※:ネットワークに接続せずに実行
   ボタン電池交換後にBIOS/UEFIにて現在の日時を設定
   Windows7 + SP1 + 安定板ネットワークドライバ クリーンインストール
   WindowsUpdateサービスを停止
   ※:下記を予めダウンロードしてCD-R等に焼いておき順番にインストール
   ※:インストール不要のエラーが出る物はスキップして次をインストール
   KB3020369
   KB3138612
   KB3160005 ←が入らない時は先にIE11(Patch本体
   KB3172605
   KB3177725
   KB3178034
   IE11(Patch本体
   WindowsUpdateサービスを再開
   下記セキュリティ対策を実施後にネットワークに接続
   WindowsUpdateの実行と各種ドライバの安定板インストール
 ---セキュリティ対策---
   有料:ESET Endpoint Securityサポート終了日
      Kaspersky Endpoint Securityサポート終了日
      Symantec Endpoint Protection(2020/01/14)
   無料:ClamWin(ブログ読者様に教えて頂きました)
      Microsoft Security Essentials(2020/01/14)
   Win7は保険として残すだけでメインはLinuxに移行する予定です。
   NICドライバを無効設定にしてネットからは隔離します。
   現状維持ではなく、クリーンインストールからやり直した状態を
   ボリュームイメージごとバックアップをとり、その状態を維持しよう
   かと考えています。
   リカバリーフラッシュの様なネカフェ御用達の再起動でHDDが元の
   状態に戻る仕組みはRAIDに対応している物が見付からないので・・・


Windows10 Enterprise 2016(14393) LTSB
 ---サポート終了日---
  2026年10月14日
  サポート終了日に付いてはこちらのブログを参考にさせて頂きました、
  私の居る某国からですとコメントの投稿を受け付けてもらえない様で
  すので、こちらにて御礼に代えさせていただきます。
 ---動作要件を満たす機体---
  32Bit版:11号機(64Bit機)、14号機
  64Bit版:10号機12号機13号機15号機16号機#317号機
      18号機19号機20号機、21号機(Naples)、22号機(SkylakeEP)
 ---導入検討対象---
  64Bit版:21号機(Naples)、22号機(SkylakeEP)
 ---セキュリティ対策---
  LTSBは通常のWindows10 ProやEnterpriseとは異なり、Edgeや
  Cortanaや洗脳宣伝広告プロパガンダなどを含まず、改悪や不要
  な機能の強制導入をしない。
という特徴が有りますが、試した結果、
  スパイウエアは健在でした。筆者によるお試しレポートはこちら
  スパイ機能をファイアーウォール等で双方向遮断が出来るならば、
  AMD Naples/Intel SkylakeEP以降の機体での導入を検討してみ
  ようと思います。


自宅サーバ
 一昨年、CentOS + OpenStack で自宅サーバを構築しましたが、今は海外生活なので日本の自宅に残して来たサーバは停止したまま使っていません。
 来月から日本滞在日数を増やす予定なので自宅サーバを12号機で再構築するかもしれません。2年経ってOpenStackも使い易くなっているかもしれませんので総入れ替えするかも?


全機共通セキュリティ対策
 1:ファイヤーウォールの多重化とセグメント分割
 2:BadUSB対策としてUSBを基本的には使用しない
 3:メールソフト不使用(クラウド化によりウイルスダウンロード阻止)
 4:ブラウザプラグイン(FlashやJava)の基本不使用(使用機を限定)
 5:BIOS/UEFI/Firmware書換えプロテクト(別の記事で重点的に検討予定)
 6:パケットモニタ

 
総評
 プリンタもですが、OSの使い方を変えるの辞めて欲しいです。Windows10は使い方が変に変わった事だけでなく、どちらかと言えばスパイウエア内蔵&強制広告機能が嫌で使わない決断をした訳ですが、強制広告機能が無いLinuxでもバージョンが変わるとディレクトリ構成が変わって設定方法が変わるのは辞めて欲しいです。

 下記の新機能なら大歓迎です。

 1:今までより高速・軽量(但し操作方法は全く同じ、スパイ無し、広告無し)
 2:今までより壊れ難い(但し操作方法は全く同じ、スパイ無し、広告無し)
 3:今までより省電力(但し操作方法は全く同じ、スパイ無し、広告無し)
 4:今までより小型軽量(但し操作方法は全く同じ、スパイ無し、広告無し)
 5:今までより静音(但し操作方法は全く同じ、スパイ無し、広告無し)
 6:今までより多機能(但し操作方法は全く同じ、スパイ無し、広告無し)
 7:今までより安価(但し操作方法は全く同じ、スパイ無し、広告無し)
 8:セキュリティ強化(但し操作方法は全く同じ、スパイ無し、広告無し)

 便利でスマートで高機能であっても、使い方や操作方法を変更されると、それを覚えるまでに非効率で多大な時間浪費をしている事に気付くはずです。そういった無駄な時間浪費が大嫌いなので使い方の変更は辞めて欲しいんですよね・・・

 と言いますか、Win7で充分便利ですよね!?何も変える必要無いと思いませんか?変えるとすればネットが遅いのを速くして!とか、スパイを辞めてセキュリティ強化して!とか、特定のアプリの問題点や機能不足は有ったとしても、OSに新機能や新UIが必要ですか?OSの使い方を変更する必要が有りますか?無いですよね?使い方の変更=時間を無駄にするだけです。それ以前にスパイ機能満載のWin10を企業に導入するの辞めませんか?

 

 
  
スポンサーサイト

3D-Xpoint の迷走

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------

商品ラインナップのおかげで期待を裏切られた自作erが多数を占めると思われる3D-Xpointですが、簡単に言えば大人の事情でしょうね。たぶんローエンドCPUやZenとの組み合わせで爆速快適静音PCを狙っていた様な人も居ると思うのですが、そういった人達の期待を全部根底から奪っていった様な製品ラインナップになっていますから・・・

普通にSSDを作ってもNANDとの差別化は難しいので、3D-Xpointが本領を発揮できるのはNVDIMMやNV-HBMとしてメインメモリと同じバスに組み込むしかないと思うのです。しかし知っている人なら書き込み耐性などの点から高速大容量のM.2やSATA-SSDとして登場するだけでも既存のモバイルにも組みこめるし等々

しかし、汎用規格で3D-XpointのNVDIMMを作ってしまうと、AMD ZEN や ARM鯖にも使われてしまいIntelの優位性が失われてしまう為、Intelプラットフォームでしか使う事の出来ない独自規格で3D-Xpointを売り出そうとしているのではないかと思うのです。技術的に可能か?ではなくIntelだけが勝利するにはどうすべきか?だけを考えて3D-Xpointの用途制限をしているのでしょうね。でなければ現状の製品ラインナップは有り得ませんから。

普通にSATAやM.2で使えるSSDとして売り出せばNANDのSSDが価格崩壊してHDD並みに安くなるかもと期待していたのですが、しばらく御預けで、来年あたりから独自規格のNVDIMMとしてXEONもしくはCore i7以上との組み合わせの場合だけ有効化される制限付き製品として売り出されるのではないかと・・・

Windows10 で BSOD が多発

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------

筆者は、Windows7を利用してBSODを体験する事は皆無でした。

強いて言えば、この時にMSのサポートからの要請で強制的かつ意図的にBSODを発生させた時くらいしかBSODが発生した記憶が無いのです。

少し前に行われたWindowsUpdateでのLogitecマウスドライバ更新以降、時々マウスポインタの誤動作や反応遅延に困っていますが、マウスドライバを更新しなければWindows7で困る事は何も無いのです(マウスドライバは何故の更新でしょう・・・少し調べてみます)。困る事が無いという点でWindows7は優れていて、タイルUIにする必要は全く無いのです・・・と書いていて気付いたのですが、マウスの動作不調が有ればタイルUIを試す方向で考えるユーザが出てくるかもしれませんね、そういう事か!?はぁ、、、(タイルUIはディスプレイの劣化を加速させ、かつ多画面で使い辛いのが難点です。)

もちろん、筆者が多用しているSuperMicr製マザーの完成度が高い事や、ECCメモリとAreca RAID6のスクラブでビット化けを回避するサーバ的な安定志向によりBSODを回避している面も大きく、実際、メモリとSSDともに数年経過すると数ヶ所ビット化けが発生した記録がBIOSログに残っていますが定期的にスクラブする設定にしてビット化けを修復する事で誤動作を回避出来ています。(逆にECCとRAID6(もしくはRAIDZ)で巡回スクラブを併用する様な環境にしていない(市販PCの様な)状態で常用すると年間で数回程度BSODが発生する可能性があります。)

この様なハード構成とWindows7の組み合わせではBSODが皆無で、不便なところも全く無いのです。

ですが、同じハードウエアを利用しても、Windows10ではBSODが多発します。

Windows10では、
1:そもそも標準ブラウザのEdgeがBSODの発生源になる
2:KindleでBSOD
3:強制的に更新されるデバイスドライバがBSODを発生させる

3番目は筆者の場合10号機のオンボードサウンドがそれですが、Bluetoothなどでも発生する事が知られています。

Windows8.1の次は、10ではなく、やっぱり9xだったというオチですね・・・

そもそも、MSは最近の台規模レイオフでテスト要員も大幅削減している為、新機能をテスト不十分のまま配布してユーザーをテスト要員代わりにしていますから今後のMS製品でBSODが多発するのは当然の事な訳で、まさしくWin9xの再来です。

当時のOSに例えるなら、
Windows10 PRO -> Win98SE
Windows10 LTSB -> Win2000

スパイ機能さえ無ければドライバ自動更新を停止した状態のLTSBに乗り換える事なら充分検討可なのですが残念でなりません・・・


 
  

Windows10 Enterprise 2016 LTSB に付いて考える

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------

今回は Windows10 Enterprise LTSB(Long Term Service Branch)に付いて考えてみます。

結論から先に書きますと、スパイ機能は他の Windows10 と同様に健在です

入手する為には最低3台からの導入という条件付きで、かつ、1台3万3千円(無償アップグレード権の対象外)ですから10万円の出費がスタートラインになり、一般の人に勧められる物ではありませんが、広告宣伝や不要アプリ強制インストールなどが無いなどWindows10では一番まともなエディションというのが筆者の感想です。これを普通のWorkstation向けエディションにしろと言いたいですが、スパイウエア入りですから、そのまま使う気にはなりません。

評価版で数日試した結果、

評価出来る点(というより、普通にすべき事)
 1)EdgeやCortanaや洗脳広告宣伝プロパガンダを含まない
 2)勝手にアプリをインストールしない
 ※これらはOSの本来あるべき姿で、Win7まではそうだった。

マイナス評価
 3)他のエディション同様にスパイウエア内蔵
 4)正常動作しているデバイスでもドライバを勝手に更新
 5)GUIがWindows2000/XP/7と異なり学習コストを要する
 6)既存ソフトのうち、動作しないものや使えない機能が有る
 7)個人では購入が難しい

LTSBは、個人でも買えると思いますがボリュームライセンスの購入手続きを最初から自分で対応するのは少し面倒で、Linux+Wineの使い方を覚えるのに必要な時間よりも多くの時間と労力を購入手続きに要すると考えて良いと思います。


下記は、昨日~今朝までこちらの記事に記載していた内容と同じです。

クラウドWatchによりますと「しかしLTSBは、Windows 10の最大の特徴というべき年々の進化を強制的にストップさせたものだ。」という、いかにも広告宣伝が目的のプロのライターが書いたような(まさにそうですが)文言ですが、実際には「しかもLTSBは、Windows 10の悪しき特徴の1つというべき随時導入されるバグや改悪や不要なアプリ導入をストップする本来のOSにあるべき姿に近づく事が出来るWindows10では唯一のエディションだ。」と読まなければいけません。これがメディアリテラシーだと私は思うのです。

更に同記事には「一般的なオフィスで利用するOSなどは、EnterpriseやProを使用すべきだろう。」と書いてありますが、これは明らかな誘導であり、実際には「一般的なオフィスで利用するOSにEnterpriseやProを使用するのは情報弱者であり、一般的なオフィスではLTSB以外のエディションを排除すべきだろう。」と読むべきです。それでもスパイ機能が有る為、LTSBでさえも使うべきではありません。どうしても必要ならスパイ機能を切断出来るファイアーウォールなどを備えたうえで、かつ慎重にWin10を導入しないで業務を継続する方法を先に検討すべきです。

誰も仕事中に勝手にバグや改悪を注入されたいとは思わないでしょうし、一部の物好きや窓際族以外は、仕事中に最新機能を勝手に大量に入れ込まれても迷惑なだけで百害あって一利無しです。

他にも、例えば「Windows 10では、CBやCBBといった猶予期間を設けることで、アップデートを提供直後にインストールするのではなく、トラブルがないか状況を見極めてから、数カ月後にインストールするという方針をとることができる。」これはつまり、常時提供され続ける新しい問題の山を監視し続け、状況を見極め、数ヵ月後のデッドラインまでに業務アプリを絶対に対応・修正しなければ会社の業務を継続出来ないという鬼気迫る状況を永遠に繰り返し続けなければいけないという事なのだ。この人件費はきちんとこなす為には最低でも300万円@月程度になるはずだ。しかも、担当者は徹夜を常時強いられる。それだけの出費を許容し、かつ、ブラック企業の認定を受ける覚悟が無ければ、Windows10を企業に導入すべきではないと思う。

通常のWindows10では、MS側が入れたいアプリを利用者側に断り無しで強制的に勝手に黙ってバグ付きのままインストールして人柱としてバグを潰す為のテスターにされていますが、LTSBのみに限っては、この人柱機能が取り外されていてバグ修正済みアプリを選択して導入出来る仕様になっています。とは言え、デバイスドライバなどは勝手に更新されますし、セキュリティ更新系も勝手に入りますので、全て排除出来る訳ではありません。過去にはGPUを物理的に破壊してしまうバグを内包したドライバが2度ほどリリースされた事実が有りますのでデバイスドライバの自動更新は停止しなければWindows10ではネットに接続したくないですね。

導入コストはLTSBは1本3万3千円ですから私の自作機のうち動作要件を満たす10台全てに入れると33万円以上、3千人以上の規模の企業だと億円+展開費がスタートの出費になりますがMS側はコピーするだけなのでイイ商売ですね・・・

しかし、そもそもCentOS+Windows7(NIC-DISABLE)で必要充分だと思っていますので、私も単なる物好きなのかもしれません。

 
 
 

BIOS/UEFI/Firmware書換えプロテクトの重要性

->デュアルソケット・ザ・ワールドの目次は こちら へ。
-----------------------------------------------
現代のコンピュータは、省略して書くと下記の階層構造になっていますが、一般的にセキュリティソフトが面倒見ているのはオペレーティングシステムとアプリ、あとはせいぜいデバイスドライバまでで、物によってはマザーボードのBIOS/UEIFのプロテクトをする物も有りますが、デバイス固有のFirmwareの様に変更可能かつ人間でいえば脊椎や神経に相当する重要部分がセキュリティソフトの保護対象になっておらず赤字部分がノーガードになっている事があります。

    CPU
   ↑ ↓
 マイクロコード
   ↑ ↓
 OperatingSystem ← → アプリ
   ↑ ↓
 デバイスドライバ
   ↑ ↓
 BIOS/UEFI/Firmware
   ↑ ↓
 各種デバイス
   ↑ ↓
   ユーザ

このFirmwareマイクロコードはHDDやSSDではなく各デバイスの基板やLSIに内蔵されているEEP-ROMなど書き換え可能な半導体メモリに記憶されている為、これらが変更され乗っ取られると視神経を乗っ取られる様なもので非常に厄介な事に成ります。

実際、NSAがBadUSBでOS管理外のCPU動作モードを使って核施設のシーメンス製遠心分離機のFirmwareを変更して回転数を変更する事でプルトニウム濃縮率を変更し破壊工作をした事からも判る様に、一見して気付かないレベルのFirmware変更により重大な事態に陥ったり、或いは情報が筒抜けになる様にSisco製ルータにバックドアを仕込んでから輸出する様な工作活動もしていますので、コンピュータ単体でガードするだけでは足りない側面もあります。

バックドアが仕込まれたルータを使うと、

 コンピュータ
   ↑ ↓
   ルータ(偽造SSL鍵でサーバを擬態し解読) ← → 盗聴者
   ↑ ↓
   サーバ

という構造が出来上がり、SSLの暗号通信が全て簡単に解読され盗聴されてしまいます。
そんな簡単に解読出来るの?と思われるかもしれませんが、ルート証明の有る偽造鍵を使えばルータが鍵をすり替えてクライアントに渡すだけで仕組みが出来ますので、とても簡単に解読出来てしまいます(つまり、既にSSLの仕組みは破綻しており、全て解読済みと思った方が良いです)。

支那では、こういった盗聴と規制(Googleが使えないなど)を回避する目的で独自暗号鍵のVPNで西側諸国と通信するのがアンダーグランドで流行している様ですが、これは人民解放軍の規制により禁止の方向になる様な噂を先日聞きました。

話がそれましたが、各種デバイスのFirmwareを保護・プロテクトするような何か良い方法はないものでしょうかね?

 
プロフィール

DualSocketTheWorld

Author:DualSocketTheWorld
自作を始めて20台目くらいになりますが、最初からデュアルソケット限定(始めた当時はデュアルスロット)で自作しており、近年になってAMD K6を試したくなりSocket7でK6-2+のシングル構成で組んだのがシングル初です。

シングルマザー(含:シングルソケットマルチコア)や4ソケット以上の自作は基本的にしませんし、メーカー製PCの改造も基本的にはしません(ノートPCのSSD化くらいはしますが・・・)

基本路線はワークステーションと呼ばれる分野での自作で、OSもWindows系であればProfesionalが主な対象に成ります。

ゲーマーの様なOverClockは行わず、WS路線としてハイエンドCPUとハイエンドGPUの組み合わせで定格或いはDownClockで発熱を抑えつつ、その時のアーキテクチャに置いて爆速かつ静音を目指し、30年以上の長期に渡り稼動状態をキープする事を目指します。

※基本的にリンクフリーです。どこでも自由にどうぞ。

※画像は時々変ります。

※お決まりの文章ですが、改造は個人の責任で行ってください。ここに記載された情報は間違いを含んでいる可能性が有り、それを元に製作や改造などをして失敗しても筆者は一切責任持てませんので悪しからず。

筆者略歴:
小学生時代にゴミ捨て場で拾ったジャンクテレビ数台を分解して部品を取り出し真空管アンプを自作、中学生時代にPC8801mkⅡsrでZ80アセンブラを始める。社会人になって初のプログラムは弾道計算、後に医療系・金融系プログラマ~SEを経て100~200人規模プロジェクトのジェネラルマネジャを数年経験、独立して起業。現在は不動産所得で半引退生活。
(人物特定を避ける目的で一部経歴を変更しています)

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
アクセスカウンター
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR