Windows

C:\Windows\System32\wfpにwfpdiag.etlというファイルがあります。具体的にこれはなんぞ、と申しますと、知らん。中身を覗いたら使用ブラウザ名が記載されていましたので、通信があったアプリのLogだと思われます。MSの説明によると

Windows でのポートのスキャン防止フィルターの動作
このシナリオでは、C:\Windows\System32\wfp\wfpdiag.etl ログに書き込みを行うときに大量のディスク I/O を生成する可能性があります。
(ソース:https://support.microsoft.com/ja-jp/kb/3044882)

と書かれていました。サーバ運用等でLog取りがオンの状態だと負荷が掛かる感じなんですかね、わからん。そもそも通信があったアプリのLogなんていらないし(管理人は別のソフトで記録しているので)、ってことでオフにしてみることに。同ページにレジストリからオフに変更の仕方も書いてありました。

肝心の「次のレジストリサブキー」が書かれていませんでした。

MSーッ！！ど、どこに「CollectNetEvents」を追加したらええんや…

もちろん自分のレジストリを「CollectNetEvents」で検索しても見つからず(追加しろって書いてあるんだから当然)。とりあえず「CollectNetEvents」に絞って検索してみるもHitしたのはわずか4件…。内3件は上記MSサイトの言語違いページ。関連ワードで日本と英語圏を検索してみるもまったく情報無し。3時間くらい検索し続けて辿り着いた中華圏にやっとこさ情報が。

(ソース:C:\Windows\System32\有两个造成大量写入的日志文件，求禁用方法)

「wfpdiag.etlへの書き込みを抑止したい！」
「コマンドプロンプトでこれを実行な ⇒ netsh wfp set options netevents = off」

大体こんな会話だと思う。やってみました。wfpdiag.etlへの書き込みが無くなりました。おわり。

wfpdiag.etlへのLog取り無効化 (コマンドプロンプトで実行)
netsh wfp set options netevents = off

wfpdiag.etlへのLog取り有効化 (コマンドプロンプトで実行)
netsh wfp set options netevents = on

無効化後にレジストリを調べてみると

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE\Parameters\Policy\Options
CollectNetEvents 0

上記項目に「CollectNetEvents」が追加されていました。MSの説明を補完すると、この部分に「CollectNetEvents」を追加すると無効化出来ると思います。MSさん頼んまっせ…

余談ですが「netsh wfp set options netevents = off」で検索してみるとHITするのは中国語とロシア語ばかり。あっちの方ではメジャーな設定変更なんですかね…

最後に、この記事はwfpdiag.etlのLog取り無効化をオススメするものではありません。これを無効化したことでどんな影響が出るかは不明です。じゃあなんでやってみた。そこにLogがあるから止めてみた。

12/28追記
ログ取りを停止してから約2ヵ月後、衝撃的でも何でも無い結果を書きました。
【Win7】 イベントトレースとwfpdiag.etlのログを停止して運用するとどうなるの

にするとどうなるのか。気になったのでやってみました。イベントビューアーが無事死亡しました(無効にしたものを有効に戻すと復活します)。初心者にはオススメ出来ない。え、誰もしないって？ごもっとも。おわり。

以下、気になって調べたメモ2点。

・AITEventLog

AITはApplication Impact Telemetryの略、どうみてもテレメトリ。テレメトリ関連を無効にしていてもLogだけは取り続けている模様。これ単品を無効にしてもイベントビューアーには影響無し。しかし、無効にしても何故かC:\Windows\System32\LogFiles\AITにログ取りは続行中。

下記のレジストリを変更でLog取り完全停止。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\AIT
AITEnable 1 ⇒ 0(Logを記録しない)

・WdiContextLog

WDIはWindows診断インフラストラクチャの略。MSの説明を見てもいまいち分からないものの、多分、メモリ診断とかネットワーク診断とかその辺？なんたら診断を使わない人や、サービスでDiagnostic系を無効にしている人には影響がないと思われ。OS起動時にC:\Windows\System32\wdi\LogFiles内のWdiContextLog.etl.001～003等に書き込みが発生。イベントビューアーへの影響は無し。これもパフォーマンスモニタで無効にしてもログ取り続行中。

下記のレジストリを変更でLog取り完全停止。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Diagnostics\Performance
DisableDiagnosticTracing 0 ⇒ 1(Logを記録しない)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Diagnostics\Performance\BootCKCLSettings
Start 1 ⇒ 0(Logを記録しない)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Diagnostics\Performance\ShutdownCKCLSettings
Start 1 ⇒ 0(Logを記録しない)

(参考:https://sites.google.com/site/tweakradje/windows/windows-tweaking)

備考:このレジストリ項目は所有者をAdminに変更して、Adminをフルコントロールにしないと編集出来ません

これ、停止したからといって「PCが速くなった！」なんてことはないです。変更をオススメするものではありません。どんな影響が出るかは不明です。日本語情報が全然見つからなかったので書き残しておきます。

12/28追記
ログ取りを停止してから約2ヵ月後、衝撃的でも何でも無い結果を書きました。
【Win7】 イベントトレースとwfpdiag.etlのログを停止して運用するとどうなるの

Microsoftの現CEOサトヤ・ナデラ氏宛に署名が始まりました。Windows10に対する要望内容は以下の2点です。(ザックリ意訳)

・WindowsUpdateにより多くの制御項目を加えるべきである
現状のWindowsUpdateは強制的なアップデートが行われ、システムの機能やビデオ及びディスプレイ表示、その他、これまでに重大な問題と損失を引き起こしました。

・Microsoftは各アップデートの詳細な情報を提供するべきである
Windows10のシステムを組織で維持するためには、ドキュメントの欠如があっては安全に運用することが出来ません。

署名したい人は下記サイトでどうぞ。

Change.org
What Computer users want changed in Windows 10

海外勢も現Windows10の仕様には不満のようですね。そりゃそうだわ。

そりゃこういう反応にもなりますわな。どうあがいても逆効果。もし、MSが信用を落とすことを目的としてやっているのなら大成功と言えるでしょう。

よくわかっていないご年配の方なんかだとこの罠を踏んでいる人もいるでしょうに。酷いなぁ…

まず最初に。既報ですが、人によってはオプションに「Windows10にアップグレード」が配信されていて、チェックが入ったままになっています。ご注意ください。鬱陶しい人は10関連のパッチを全削除しましょう。「10関連死すべし慈悲は無い」って人は↓をご参照くださいませ。

【Win】 入れなくても良いKBリスト。2015年10月14日まで分

それ以外の2015/10/14に配信されたKBザックリまとめ。

KB3093983
IEの脆弱性の修正。

KB3080446 / KB3093513
特別に細工されたツールバーオブジェクトを開くとリモートでコード実行がされる脆弱性の修正(KB3080446)とタブレットでの脆弱性の修正(KB3093513)。
(備考:この2パッチはMSセキュリティ情報MS15-109共通の模様。ファイルの中身は別物です。片方入れたら大丈夫というわけではありません)

KB3088195
特別に細工されたアプリケーションを実行した場合、特権が昇格される脆弱性の修正。
(備考:Win7で起動画面を変更した場合、再設定の必要有かも)
(備考2:Win7/8.1だとKB3088195、Win10だとKB3097617(内のKB3096447)を適用しているとSandboxieでSBIE1222エラーが発生する模様)

KB3097966
不注意で発行されたデジタル証明書の無効化パッチ。

KB3042058
暗号スイートにPFS(Perfect Forward Secrecy)のサポートを追加と優先度の変更。

KB890830
悪意のあるなんとかかんとか。

KB2999226
人によっては来ている模様。Cのランタイムっぽい。前にオプションで来ていたので必要性を感じず管理人は非表示入り。

ざっと見たところ、10関連の罠パッチは無い模様。Windowsの挙動も、今のところ問題有との報告は見かけません。

KB3083710
Win7用WindowsUpdateクライアントのアップデート。

KB3083711
Win8.1用WindowsUpdateクライアントのアップデート。

上記2パッチ(KB3083710/KB3083711)、数日前の初回配信日に即非表示にしていたので気づきませんでしたが、非表示にしていない人には10/14の配信で重要に来ている模様。2015年4月度以降のWindowsUpdateクライアントのアップデートには10関連が盛り込まれていると見てほぼ間違いありません。この件に関しては下記の記事を順番にご参照くださいませ。

【Win】 WindowsUpdateで入れなくても良いKBリスト
【Win7】 WindowsUpdateにWin10へのアプグレ項目はいつ追加されたのか

前回のあらすじ。WindowsUpdateに「10にアップグレード」が来て最初からチェック入りと2chで話題に。

いやさ、ほら、さすがに、ね？そんなことやったらさ、ほら、頭おかしいじゃん？ニュースサイト等でも話題になっていないようですし、ほんとかなー、とちょっと疑っていたんですが

あっ…(察し)

これあかんやつや。

メッセージで教えていただいたのですが、Win7Proで9月度まで全部適用した環境のお方のところには来ていなかったそうです。(情報提供ありがとうございます！)

来る条件と来ない条件はわかりませんが、そこまで全国的に阿鼻叫喚になっていないところを見ると、今月に来た10月度のWUクライアント(KB3083710 (Win7) / KB3083711 (Win8.1))か、再表示で来たKB3035583(Win10アプグレ用糞パッチ)辺りが怪しい感じでしょうか。いやわかりませんよ。鵜呑みにしないでくださいね。

うーん、何がトリガーになっているんすかね。何にしてもこれだけは言わせてください。

やM糞。

こういった糞な事態を極力回避したい人は↓下記の記事をご参照くださいませ。
【Win】 WindowsUpdateで入れなくても良いKBリスト
「ああああ鬱陶しい！！！！」って人はWin10関連は片っ端から除去しましょう。

(ソース:【田】Windows10へのｱｯﾌﾟｸﾞﾚｰﾄﾞ Part28【鶴】)

まじっすかねこれ。本当だとしたらMSイカれてるってレベルじゃないと思う。ちなみに管理人のWindowsUpdateクライアント(KB2887535使用)には来ていませんでした。

こういった糞な事態を極力回避したい人は↓下記の記事をご参照くださいませ。

【Win】 WindowsUpdateで入れなくても良いKBリスト

追記
狂気の続報書きました。

前回のあらすじ。Win7のWUの画面にWin10へのアプグレ項目が追加されたのはいつからなんだろう。

詳細は前回の記事をご参照くださいませ。この記事はそれのWin8.1版になります。が、管理人はWin8.1を使っていないので情報に不備がある可能性があります。元々推測なので不備も糞も無い気もしますが、それでもよろしければ続きをどうぞ。

とりあえず「Winsetupui.dll」と「Wu.upgrade.ps.dll」が含まれるWUクライアントから。

＜2015年 WindowsUpdateクライアント用アップデート＞
4月KB3044374
https://support.microsoft.com/ja-jp/kb/3044374
6月KB3050267
https://support.microsoft.com/ja-jp/kb/3050267
7月KB3065988
https://support.microsoft.com/ja-jp/kb/3065988
8月KB3075853
https://support.microsoft.com/ja-jp/kb/3075853
9月KB3083325
https://support.microsoft.com/ja-jp/kb/3083325
10月KB3083711
https://support.microsoft.com/ja-jp/kb/3083711

これら全てのWUクライアント用アップデートに「Winsetupui.dll」と「Wu.upgrade.ps.dll」が含まれておりました。この2ファイルが含まれていないWUクライアントで一番新しいのは

KB3031436 (Hotfix)
https://support.microsoft.com/ja-jp/kb/3031436

検索した限りでは多分↑これ。もしかしたら他にあるのかもしれません。

WUクライアントにWin10関連を付加させたくない人は、WUクライアントのアップデートはKB3031436(あるいは2015年4月度未満のWUクライアント)でストップさせましょう。ただ、KB3031436のWUクライアントが今でも使えるのかどうかはわかりません。Win7は去年のクライアントでも使えているので、多分いけるんじゃないかなぁ、と。

その他、入れなくても良いKBリストは下記をご参照くださいませ。

【Win】 WindowsUpdateで入れなくても良いKBリスト

↑KB3035583(Win10へアップグレード用パッチ)を入れていなくても、WindowsUpdate(以下、WU)の画面でこんなのが表示される場合があるようです。

管理人は表示されないのですが、一体どの段階でWUにこの改変を加えてきたのか気になったので調べてみました。ただし推測なのであしからず。実際に試す気は無し。けど当たっているような気がしたりしなかったりします。ちょっとダラダラ書いているので、「前置きなんざいらねぇ！」って人は記事内の「ということで結論。」まですっとばしてください。

管理人の使っているWUクライアントのファイルのバージョンは7.6.7600.320で、WUクライアントはKB2887535(2014年7月度)に値します。KB2887535に含まれるx64用のファイル郡を見てみると↓こんな感じ。

計9ファイルとなります。
最新のWUクライアントKB3083710に含まれるx64用のファイル郡は↓こんな感じ。(x86とadmlファイルは含まず)

計11ファイル、「Winsetupui.dll」と「Wu.upgrade.ps.dll」という如何にも私が犯人です、と主張しているファイル名が増えています。管理人のPC内を検索してもこの2ファイルは見つかりませんでしたので、乱暴にこれが犯人ってことで仮定します。

ではこの犯人(仮)の2ファイルは一体どの段階で加わったのか、ずらーっと遡っていきますと

＜2015年 WindowsUpdateクライアント用アップデート＞
4月KB2990214 (アプグレ関連有と↓に記載有、ここから入ってきたと思われ)
https://support.microsoft.com/ja-jp/kb/2990214
6月KB3050265
https://support.microsoft.com/ja-jp/kb/3050265
7月KB3065987
https://support.microsoft.com/ja-jp/kb/3065987
8月KB3075851
https://support.microsoft.com/ja-jp/kb/3075851
9月KB3083324
https://support.microsoft.com/ja-jp/kb/3083324
10月KB3083710
https://support.microsoft.com/ja-jp/kb/3083710

これら全てのWUクライアント用アップデートに含まれておりました。4月度からWin10関連が付加されだしたようなので、今後出てくるWUクライアントも全て付加されたままでしょう。

2015年4月度より前のKB2990214以前のWUクライアントとなると、一気に管理人が使っている2014年7月度のKB2887535になりました。調べた限り、KB2990214～KB2887535の間のWUクライアントのアップデートは見つけられませんでした(検索不足かもしれません)。

ということで結論。

WUクライアントにWin10関連を付加させたくない人は、WUクライアントのアップデートはKB2887535でストップさせましょう。管理人はこのWUクライアントをずっと使い続けていますが、何も問題は出ておりません。だからと言って今後も問題が出ないとは保証は出来ませんのであしからず。

あと、これ、Win7/64bit向けになります。Win8.1向けはこちらをご参照ください。

備考
6月度のKB3050265以降はメモリが少ない人向けにメモリリーク問題が修正されているそうなので、人によっては入れた方が良いのかもしれません。メモリリークで困っているけど、どうしてもWin10関連が付加されたWUクライアントを回避したい人は、一度に大量のパッチをインストールなんて無茶をせず、複数回に分けてインストールすると良いでしょう。

あと、今後、WUクライアントにセキュリティ関連の修正や、WUの仕様変更等でKB2887535のWUクライアントが使えなくなった場合は、アップデートの必要性が出てきて、そのときは逃れられなくなるかもしれません。そのときになってもWin10関連を付加させたくない場合は、アップデートファイルを個別にダウンロードしてきて適用するといった形で対応することになると思います。

その他、入れなくても良いKBリストは下記をご参照くださいませ。

【Win】 WindowsUpdateで入れなくても良いKBリスト

関連記事
【Win】 WindowsUpdateクライアント単品でもWin10化の危険性

前回のあらすじ。Win8.1環境下でKB3035583が再表示。Windows7にも本日来ました。以下の内容は前回とほぼ同じです。

KB3035583はWindows10へアップグレードするためのプログラムです。中身に変更があったのか、非表示にしていてもWin7環境下でまた表示されるようになっています。不要なら入れる必要はありません。入れても無駄にPCのリソースを喰われるだけです。

一度非表示にしたからもう安心、と油断せず、しっかりと番号を確認・検索して、Windows10にアップグレードしたくない人や、無駄にPCのリソースを喰われたくない人は地雷を踏まないようご注意を。

KB3035583と入れなくても良いKBについては下記をご参照くださいませ。

【アプデ】 Windows Update KB3035583 GWXConfigManager.exeは糞である
【Win】 WindowsUpdateで入れなくても良いKBリスト

KB2952664はWindows10へのアップグレード用のパッチのため、アプグレする気の無い人は再度非表示にしてどうぞ。

一緒に来ているKB3083710(ざっと見た限り、KB3083324の置き換え)はWindowsUpdateの新しいクライアントのようですが、セキュリティパッチでは無いWindowsUpdateクライアントのアップデートは、現状、使っていて問題がなければわざわざ入れる必要は無いと思います。テスターになりたい方はインストールしてどうぞ。

ちなみに2015年4月度以降のWindowsUpdateクライアントには、全てWin10関連が盛り込まれていると見て間違いないのでご注意ください。

詳細は↓こちらへどうぞ。
【Win7】 WindowsUpdateにWin10へのアプグレ項目はいつ追加されたのか

オプションは真っ先に罠パッチが投げ込まれるので、基本的に全スルー推奨でございます。入れないとやばいようなセキュリティパッチは重要に上がってくるでしょう(だからと言って重要のパッチは安全と言っているわけではありません)。試してみたい人はどうぞ遠慮なく。

インストール不要なKBリストは以下をご参照くださいませ。

【Win】 WindowsUpdateで入れなくても良いKBリスト

Win8.1関連の追記
同日に来たWin8.1用KB3083711とKB2976978もこちらで追記。上記のWin7と似たような内容ですが。

KB3083711はファイル名からしてKB3083325の置き換えでWindowsUpdateのクライアントの模様。セキュリティパッチでは無いWindowsUpdateクライアントのアップデートは、現状、使っていて問題がなければわざわざ入れる必要は無いと思います。テスターになりたい方はインストールしてどうぞ。

上の方でも書いていますが、4月度以降のWindowsUpdateクライアントには全てWin10関連が盛り込まれていると見て間違いないのでご注意ください。

KB2976978は以前に来たものの再表示、CEIP関連のためわざわざ入れる必要はありません。MSに情報提供したい人は入れてどうぞ。

再々々表示くらいかもしれない。中身に変更があったのか、非表示にしていてもWindows8.1環境下でまた表示されるようになっているそうです。

一度非表示にしたからもう安心、と油断せず、しっかりと番号を確認・検索して、Windows10にアップグレードしたくない人や、無駄にPCのリソースを喰われたくない人は地雷を踏まないようご注意を。

KB3035583と入れなくても良いKBについては下記をご参照くださいませ。

【アプデ】 Windows Update KB3035583 GWXConfigManager.exeは糞である
【Win】 WindowsUpdateで入れなくても良いKBリスト

(Source:Digitalmediaphile / MSフォーラム)

Windows10のWindowsUpdateからSurfacePro3のファームウェアが配信されて、無事そのまま死亡するケースがある模様。お気をつけくださいませ。やっちまった人はソース元に対処方法が書かれていますのでそちらをご参照ください。

MSさん、順調に信用を落としていっていますが内部が混乱しているんすかね。日本のMS公式フォーラムでも、日本語が不自由なMS社員(写真を見た限り日本人ではない)がトンチンカンな対応をするようになっていますし。

　MS公式フォーラム
　yahooメールが受信できない

　・三行まとめ
　　質問者「Outlookでyahooメールが受信できなくなりました」
　　MS社員「他社製品の広告をやめてください」
　　全員「は？」

本当にこういった会話をしているんです。詳細は上記リンク先をご覧ください。

http://www.microsoft.com/ja-jp/download/search.aspx?q=directx

↑MSのサイトでDirectXのインストーラをクリックすると

https://www.microsoft.com/ja-jp/software-download/windows10

↑ここに飛ばされる。ファッ！？

なんてことになるんじゃ、と思ったら既に被害者もいる模様。

お気をつけくださいませ…ひでぇ手口だ…

10/6追記
本当のDirectXのインストーラはたぶん↓これ。
https://www.microsoft.com/ja-jp/download/confirmation.aspx?id=35

タイトルの通り、Win10+avastの組み合わせでタスクバーとCortanaが動かなくなることがあるそうです。ご注意を。

当分の間はソフトの相性でこういった不具合は起こり続けるでしょう。常々申しておりますが、そういうのが面倒な人は様子見推奨でございます。無償アップグレードは来年の夏まで可能です。お使いのWindows7は2020年、Windows8.1に至っては2023年までサポートされております。

今、Windows10にアップグレードするかどうかの目安としては、下記の日本MS公式フォーラムのトラブル報告を見て、自分で対処出来そうかどうかが判断材料になるかもしれません。

日本MS公式フォーラム

ソース
TechWorm
Windows 10 critical error Taskbar and Cortana not working related to Avast Anti-virus
海外MS公式フォーラム
* Critical Error * Start Menu and Cortana aren't working.

(ソース:Microsoft stays mum on mystery Windows 7 patch)

1行翻訳
MS「ごっめーん、うっかりミスってテスト中のを配信しちゃった☆」

Windows7用のアプデでインストールしたらシステムがクラッシュすることがあるそうです。現在は配信が停止されているようですが、こんなうっかりをやらかすようなWindowsUpdate、果たして自動更新は安心と言えるのでしょうか。言えるわけがない。

問題のある糞パッチのフルネームは

gYxseNjwafVPfgsoHnzLblmmAxZUiOnGcchqEAEwjyxwjUIfpXfJQcdLapTmFaqHGCFsdvpLarmPJLOZYMEILGNIPwNOgEazuBVJcyVjBRL

になります。一応。

WinRAR5.21の機能を悪用して、アーカイブ内の任意のexeファイルを実行出来る脆弱性があるそうです。↓こんな感じ。

対策方法としては

・WinRAR5.21を使わない
・そもそも信頼の出来ない圧縮ファイルに触れない
・他の圧縮・解凍ソフトを使う

など。

「これ絶対ウイルスだけどどんなウイルスが入っているか調べてみよう！」なんて好奇心で圧縮ファイルを解凍しようものなら、その時点でアウトになる可能性も。こわ…

ソース
RARLAB
About a supposed WinRAR self-extracting archives vulnerability
WCCF TECH
WinRAR Exploit Could Put 500 Million Users at Risk – Yet to be Patched

結論、犯人はNetwork Connectivity Status Indicator (NCSI)。これで「あっ…(察し)」って人は、以下、見るだけ時間の無駄な記事内容でございます。

で、ずっと疑問でした。OS起動時に数百バイトほど、システムファイル(svchost.exe)が一体akamai鯖と何の通信をしているのだろうと。akamaiって何ぞって人は下記をご参照くださいませ。

　技術評論社
　第19回 世界の2割のトラフィックを捌くAkamai

国内でも海外でもまったく情報が見つからず、長いこと放置していたのですが、パケット解析ソフトのWiresharkを使って中身を覗いてみましたらこんな文字列が。

　www.msftncsi.com: type CNAME, class IN, cname www.msftncsi.com.edgesuite.net
　CNAME: a1961.dspg2.akamai.net

どうやら「www.msftncsi.com」と通信しようとしているようです。「www.msftncsi.com」について調べてみると「ネットワークに繋がっているかどうかの確認用鯖」だそうです。

OS起動⇒接続がちゃんと出来てるか調べてやんよ⇒www.msftncsi.com(akamai)と通信

大体こんな感じ。はい、謎が解けてスッキリしました。特に必要が無く、無効にしたい人は下記のレジストリを変更してどうぞ。

　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
　EnableActiveProbing 1(有効) ⇒ 0(無効)

参考文献はWindowsVISTAの記事ですが、Windows7もこれでOS起動時にakamaiに接続しなくなりました。多分Vista以降、全部いけるんじゃないかと思います。

参考文献
付録K:WindowsServer2008のネットワーク接続状態インジケータとこれにより発生するインターネット通信
Appendix K: Network Connectivity Status Indicator and Resulting Internet Communication in Windows Vista