Windows11で無事Flare-VM構築できましたのでご紹介します。
Windows10の手順を紹介しているサイトは多くあったのですが、Win11に関するものは少ないですね。
情報があまり無く、苦労している人が多いのではないかと思います(私もかなり苦労しました)。
このサイトが構築の一助になれば幸いです。
要注意点
まずは要注意点を記載しておきます。
気を付けるべきところを先におさえておきましょう。
・Flare-VMの構築が成功するとWin10の場合と同様に壁紙が変わります。Win11では壁紙が変わらない、と紹介していたサイトを見かけましたが、壁紙が変わらないのは失敗している(もしくは中途半端な状態になっている)ということです。
・事前準備のWindows Defender無効化が肝です。Win10用の手順は通用しないので気を付けましょう。
・インストール作業はとても時間がかかります。特に1回目は長いので、ながら作業しながらにしましょう。
・インストール作業の中で自動的にDNSキャッシュが無効になりドメイン解決ができなくなります。そのままだとパッケージのダウンロードに失敗するのでインストール実行の度にDNSキャッシュを有効化する必要があります。
・インストール作業は1回では終わりません(インストール失敗したパッケージが大量に出ます)。インストールを再度実施すると失敗分を再試行してくれるので、大方のパッケージがインストール完了するまで粘り強く再試行しましょう。
・本手順は2025年10月時点のものになります。最新の情報については公式情報をご確認ください。
https://github.com/mandiant/flare-vm
事前準備
Windows11の準備
・言わずもがなですが、Flare-VMを構築する先は仮想マシン(VirtualBoxかVMWare)にしましょう。普段使いのPCにFlare-VMを入れるのは危険すぎます。
・準備するWin11はローカルユーザの管理者アカウントを準備しましょう。
Win11がオンライン認証しか受け付けないと紹介しているサイトがありましたが誤りです。ローカルユーザ作れますので、ネットを調べて作ってください。管理者ユーザにすることを忘れずに。
Windows Defenderの無効化
Flare-VM構築に当たって一番大切かつ難解なWindows Defenderの無効化をまずしておきましょう。
Win10ではグループポリシーの変更でDefender無効化の対応ができましたが、Win11では再起動したら設定が戻るためこの手法は通用しません。また、GUIでの設定(Windowsセキュリティの「ウイルスと脅威の防止」>「リアルタイム保護」)も再起動したら設定が戻るので使えません。
Defenderを永続的に無効化する手順は、OSをセーフモードで起動し、Defenderのフォルダをシステムユーザがアクセスできなくする、というものです。
セーフモードを使う理由ですが、通常のOS起動状態だとDefenderのフォルダに付与されているSYSTEMユーザの権限を削除することができないためです。
①OSをセーフモードで起動
Win+Rで「ファイル名を指定して実行」を開き、「msconfig」と入力してシステム構成を開きます。
「ブート」タブの「セーフブート」にチェックを入れ「OK」ボタンで再起動。
・再起動すると自動的にセーフモードになります。セーフモードの画面はXGA(1024×768)になります。
②Defenderの無効化
エクスプローラでDefenderのフォルダである「C:\ProgramData\Microsoft\Windows Defender」を開きます。
「Platform」フォルダを右クリックして「プロパティ」を表示し、「セキュリティ」タブの「詳細設定」ボタンを押します。
所有者が「SYSTEM」になっていますね。
まず「有効なアクセス」タブに遷移して、「ユーザーの選択」を行います。
「ユーザー または グループ の選択」では「詳細設定」ボタンを押し、開いた詳細設定画面から「Administrators」を選択します。
選択後はこのようにAdministratorsが入力されます。
次に、所有者の「変更」リンクから、同様の方法で「Administrators」を選択します。
所有者が変更されました!
「サブコンテナーとオブジェクトの所有者を置き換える」チェックボックスをチェックし、「アクセス許可」タブの「アクセス許可エントリ」に記載のプリンシパルをすべて削除します。
「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」のチェックボックスをチェックし「OK」。
ポップアップが3回出ますので、はい・OKで進みます。
「Platform」フォルダ配下すべてのフォルダ・ファイルで、自分以外のグループ・ユーザが消えていればOKです。
これでWindows Defenderが無効化されました。
①と同じ手順で「システム構成」を開き、「セーフブート」のチェックを外して「OK」で再起動しましょう。
通常のOS起動後に、「Windows セキュリティ」を開き、「ウイルスと脅威の防止」がなくなっていれば問題なしです。
「Windows セキュリティ」はWindowsボタンで表示される検索窓で検索すると出てきます。
Windows Defenderが有効になっていると、このように「ウイルスと脅威の防止」が表示されます。こうなっていたらDefenderの無効化が出来ていないので原因を探りましょう。
Windows Updateの無効化
Flare-VM構築中にWindows Updateが行われると厄介なので無効化しておきます。
Win+Rで「ファイル名を指定して実行」を開き、「gpedit.msc」と入力して「ローカルグループポリシーエディター」を開きます。
「コンピュータの構成」>「管理用テンプレート」>「Windows コンポーネント」>「Windows Update」>「エンドユーザーエクスペリエンスの管理」>「自動更新を構成する」 をダブルクリック
「未構成」から「無効」にします。
これでWindows Updateが無効化されます。
事前準備は以上です!
インストール
Flare-VMのインストールはPowerShellで行います。管理者権限でPowerShellを起動してください。
①installファイルのダウンロード
デスクトップにインストールファイルをダウンロードします。下記コードをPowerShellにコピペして実行します。
(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")②インストール
①でデスクトップにインストールファイルをダウンロードしたので、まずはディレクトリを移動します
cd $HOME\Desktop\続いて、下記3つのコマンドでps1ファイルを実行可能な状態にしてインストール実行します。
Unblock-File .\install.ps1
Set-ExecutionPolicy Unrestricted -Force
.\install.ps1③状態チェック
しばらくすると状態チェックの結果が表示されます。
全て「True」だったら問題ないです。チェックボックスにチェックを入れて「Continue」で進みましょう。
「False」があった場合は「Cancel」を押して、全て「True」になるまで対処しましょう。
④ユーザーパスワードの入力
その後、実行ユーザのパスワードが求められますので入力します。
⑤インストールするパッケージの選択
しばらくするとパス設定のカスタマイズについて聞かれますので必要に応じて変えます(基本的にデフォルトで大丈夫でしょう)。
続いてインストールするパッケージについて聞かれます。
デフォルトの状態で選択されていないものがあるので追加で必要なものがあれば選びましょう。
私は、とりあえず全部入りにしようと思って「Select All」を押してみたのですが、「インストールめっちゃ時間かかるよ。ほとんどの場合で必要ないよ」と警告が出たのでALLはやめてデフォルトにしました。
⑥【重要】DNSCacheの有効化
⑤で「install」を押すと後はひたすら待つだけです。
OS再起動も自動的に行われるのですが、再起動するとインターネットにつながらなくなる事象が発生します(正しくはDNS解決できなくなる)。そうなるとパッケージのダウンロードに失敗するため、対処が必要です(OS再起動になる前のインストール処理が進んでいる裏で実施します)。
OS再起動後にインターネットにつながらなくなる原因は、インストール処理の中でレジストリのDNSCacheの設定が無効に切り替わってしまうからで、解決方法としてはそれを手動で無効解除します。
まず、Win+Rで「ファイル名を指定して実行」を開き、「regedit」と入力して「レジストリエディター」を開きます。
「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache」のStartの値(データ)が「4」になっているので「2」に変更しておきます。
これでOS再起動になっても問題なくインターネット接続ができます。
レジストリが変わるのはインストール処理の最初の方の1回のみなので、インストールを実行する度に1回対応する必要があります。
⑦再起動がめちゃくちゃ時間かかっても待ちましょう
インストール中に自動的にOS再起動がかかるのですが、特に初回の再起動は「更新が進行中です」の画面がずっと表示されます(1時間以上)。
固まってしまったんじゃないかと心配になりますが大丈夫です。
再起動後のログインは自動的に行われ、続きのインストールも勝手に進むので別のことをして待ちましょう。
⑧1回目のインストールだけでは不完全
Flare-VMは構築が完了するとデスクトップの壁紙が変わるのですが、1回目のインストール作業が最後まで行っても壁紙が変わらないケースが多いと思います。
原因としてはインストールが途中で停止(失敗)してしまっていることが考えられます。
インストールを再実行すると、失敗したパッケージ分のインストールだけ再試行されるので、複数回②のコマンドでインストール実施しましょう。
私はなんやかんやでトータル3~4回インストールを実施しました。
また、インストール中のログで「C:\Windows\System32\WebThreatDefSvc」へのアクセスが拒否されたエラーが大量に出ている場合(下記キャプチャ)は、該当フォルダをAdministratorsグループがフルアクセスできるように権限を付けたうえで再インストールしましょう。
無事完了すると、壁紙が変わります!
構築後はネットワークをオフラインにするのをお忘れなく。
おつかれさまでした。
コメント