Windows 10 Update 1511 виходить з ладу при шифруванні всього диска DiskCryptor

Я запускаю Windows 10 з шифруванням диска на цілому диску DiskCryptor на системному диску. Не вдалося встановити останнє оновлення Windows 10. Перезавантажуючи систему для встановлення оновлення, я отримую таку послідовність подій:

• Я ввожу свій пароль DiskCryptor, який розблоковує диск
• Windows Update запитує розкладку клавіатури
• Потім оновлення Windows виходить з ладу

Якщо я просуну процес досить далеко, я перейду до повідомлення, яке вказує, що він не може продовжуватися, оскільки файл (або файли) заблоковані.

Мій колега також використовує DiskCryptor на своєму системному накопичувачі і мав ідентичний досвід.

Тому:

• Це загальновідома проблема із шифруванням всього диска?
• Це проблема саме з DiskCryptor?
• Якщо це так, чи буде виправлена ​​помилка MS або вона потребуватиме вирішення?

Це, мабуть, є проблемою із повним програмним забезпеченням для шифрування повного диска (за винятком припущення про виключення власного BitLocker MS). Від самого координатора VeraCrypt:

Windows 10 версії 1511, збірка 10586 не вдалося оновити

У TrueCrypt була б така ж проблема. Це специфічне оновлення Windows, яке, здається, відключає драйвери фільтрів, які використовуються під час шифрування льоту, і якби Windows була зашифрована за допомогою TrueCrypt, вона також не змогла б. У драйвері TrueCrypt немає нічого магічного, що це завадило б.

Microsoft робить щось неприємне в установці оновлень. Драйвер VeraCrypt працює як слід, але цей інсталятор чітко блокує його під час оновлення системи. Цим самим Microsoft зламає програмне забезпечення FDE, відмінне від програмного забезпечення Bitlocker та партнерів Microsoft.

Який найкращий спосіб повідомити про це Microsoft? Очевидно, що у VeraCrypt нам не вистачає сил для дослідження подальшого такого глибокого блокування ядра установщиком оновлення.

Вирішення описано в окремому дописі на форумі :

Ви повинні розшифрувати шифрування системи перед будь-якими оновленнями ОС.

Крім того, для оновлення Windows 10 листопада необхідне розшифрування ОС, щоб застосувати оновлення Windows 10 1511. Зазвичай це не потрібно.

ПРИМІТКА : Перед початком оновлення ОС зніміть і від'єднайте всі зовнішні зашифровані томи, приєднані до ПК. У минулому я бачив, що користувачі скаржаться на те, що оновлення ОС Windows бачить зашифрований диск / розділ у форматі RAW, і Windows намагається бути надто корисним шляхом автоматичного швидкого форматування розділу та призначення букви диска, щоб зробити його зручним для Windows.

ОНОВЛЕННЯ: Щоб закрити цикл, я виконав наступні дії без негативних наслідків. Як завжди, резервне копіювання спочатку !! Мені не потрібно було резервного копіювання, але я не можу гарантувати, що вам не знадобиться ваше;).

1. Видалення системного накопичувача (швидше за все, C :)
   • У мене вторинний жорсткий диск (D :)
   • Цей D: диск також був зашифрований
   • Я не де-скріптував свій D: диск
2. Застосуйте оновлення Windows
   • Завантажувач DiskCryptor все ще підказував мені пароль при кожному перезавантаженні
   • Я просто натиснув [Enter] без пароля і машина завантажилася
3. Повторно зашифруйте системний диск

Коротка примітка про зашифрований D: привід (вторинний диск):

Будьте дуже обережні, коли Windows 10 завантажується, а диск C: все ще незашифрований. У цьому сценарії дисковод D: не встановлюється автоматично. Якщо ви двічі клацніть на D: накопичувачі, Windows не розпізнає його та запропонує відформатувати його. Щоб встановити накопичувач, вам потрібно відкрити DiskCryptor, вибрати диск D:, натиснути на [Mount] і ввести пароль.

Windows автоматично не відформатував мій вторинний диск, але мені було б дуже легко зробити це випадково. Продовжуйте обережно!

Я усвідомлюю, що це нитка трохи стара, але заради пошукових запитів ... Наявність DiskCryptor заважає оновленням Windows (10) 1709 (принаймні), не повідомляючи про будь-які конкретні пов’язані помилки - просто синій екран наприкінці та перевстановлення старого версія ... не має значення, чи диски DiskCryptor дійсно встановлені чи ні.

Просте рішення - видалити DiskCryptor, запустити оновлення та перевстановити - для мене спрацювало багато днів дослідження, чому мої системи не оновлювалися.

Але після встановлення оновлення, принаймні з оновленням Creators, поведінка змонтованих дисків змінилася. Налаштовані обсяги більше не знімаються, коли вимкнено Windows. Насправді виявляється, що DiskCryptor перешкоджає відключенню Windows, якщо встановлені будь-які диски DiskCryptor, а станція просто переходить у режим сну (що, якщо ви не спостерігаєте, може не помітити) - коли прокидаєтеся, диски все ще змонтовані! Я тестував це на двох ноутбуках Lenovo w / Win 10 home та 1 настільному w / Win 10 Enterprise - немає різниці. Сподіваюсь, це комусь допомагає, і я сподіваюся, що Windows це швидко виправить - якщо тільки наміром не буде змусити перейти на BitLocker :( btw ця нова поведінка не була присутня, коли я тестував її з TrueCrypt. Диски автоматично відключаються при відключенні.

Я знайшов ще одну проблему з DiscCryptor та GPT диском.

У мене декілька біт Windows 32 (всі домашні версії від Vista до 10) на одному диску GPT (єдиний присутній, це ноутбук тільки з BIOS, без U-EFI); так і так, це лише BIOS, а диск - це GPT з більш ніж 4-ма основними розділами, усі розділи є GPT, крім одного невеликого 8MiB RAW GrubBIOS для Grub2 core.img ... і так, так, Windows 32 біт; пам'ятайте, що Windows не завантажується з будь-якого диска, що не є MBR, мені не подобається Hybrid GPT + MBR, я віддаю перевагу Grub2 + MemDisk + VHD невеликі файли (32MiB або менше).

Мій диск на 100% GPT, має один розділ GPT NTFS для кожної Windows для системи (де папка WINDOWS, але код завантаження NT60 та BCD немає), він також має додатковий розділ NTFS для файлів Grub2 & MemDisk & VHD (інакше, що 32-бітових вікон не вдасться завантажити з диска GPT, він же 32-х біт на диску BIOS + GPT); що VHD-файли мають фіксований розмір (просто для того, щоб memdisk імітував їх у оперативному режимі) і внутрішньо мали диск MBR з лише одним розділом 32MiB NTFS, де є завантажувальний код NT60 та BCD для цієї конкретної Windows; один VHD на Windows.

Це зразок (усі вікна - 32-бітні та домашні версії, жоден Pro, жодне підприємство, сервер, 100% юридичні речі) на диску GPT, я роблю тести на:

• 1-й сектор = Код завантаження Grub2 + захисний GPT
• GPT1 = 8MiB RAW GrubBIOS (куди Grub2 поставив core.img в RAW)
• GPT2 = 1GiB NTFS для файлів Grub2 + MemDisk + VHD-файли
• GPT3 = NTFS для 32-розрядної системи Windows Vista SP2 (папка Windows тощо)
• GPT4 = NTFS для 32Bits системи Windows 7 SP1 (папка Windows тощо)
• GPT5 = NTFS для 32-розрядної системи Windows 8 (папка Windows тощо)
• GPT6 = NTFS для 32Bits системи Windows 8.1 (папка Windows тощо)
• GPT7 = NTFS для 32-розрядної системи Windows 10 (папка Windows тощо)
• GPT ... і так далі ...

Кожен VHD є навколо 32 Мбіт віртуального диска MBR, як це:

• 1-й сектор = Nt60 завантажувальний код + таблиця розділів MBR
• MBR.1 = Первинний NTFS 32MiB (де є BCD)
• MBR.2 = -порожньо-
• MBR.3 = -порожньо-
• MBR.4 = -порожньо-

По одному файлу VHD на кожне вікно (щоб ізолювати завантажувачі та BCD).

Якщо я хочу поставити все це на MBR (він обмежений 3 первинними + 1 розширеним), я можу поставити лише 3 Windows (Grub2 може бути в логічному всередині розширеного), що 3 первинні будуть ті, які мають кожен Речі BCD (виділення BCD кожного вікна) ... якщо я дозволю всім BCD Windows на одному і тому ж розділі, я можу поставити стільки Windows, скільки мені хочеться, але всі вони будуть спільними для BCD, тому меню завантаження буде представлене Windows, вони не будуть відокремлені, помилка на одному з них, що торкнеться такого BCD, зіпсує завантаження всіх інших тощо, не кажучи вже про те, що я також хочу шифрувати.

За допомогою цих файлів GPT + Grub2 + MemDisk + VHD я отримую ват, який я хочу (крім енципції), на 100% ізолюючи кожну Windows від решти Windows.

Я хочу BIOS, а не U-EFI з трьох основних причин:

1. Я хочу, щоб 100% жорсткого диска (крім першого сектора, таблиці GPT та другої копії таблиці GPT в кінці диска) були зашифровані ... все ще працюю над тим, як зашифрувати цей розділ, який я використовую для файлів Grub2 + MemDisk + VHD ... я розглядав можливість створити один додатковий розділ для кожного файлу VHD ... так що один буде зашифрований як Система, а потім Grub2 один з LUK (використовуючи параметри модулів при установці grub2).
2. У мого ноутбука немає U-EFI, це лише BIOS
3. Мій жорсткий диск більший, ніж 2TiB (MBR дозволяють використовувати до 2TiB, решта втрачається)

Повернувшись до проблеми з DiskCryptor, якщо я шифрую завантажений розділ Windows GPT (де папка WINDOWS), поставте завантажувальний код на інший віртуальний диск MBR (тобто всередині файлу VHD), після завантаження він запитує пароль, але це завжди показує помилку "недійсного пароля".

Але якщо я не шифрую завантажений розділ Windows GPT (де папка WINDOWS), і я шифрую лише розділ, де є BCD (той, що знаходиться у віртуальному диску MBR, який знаходиться у файлі VHD), під час завантаження він запитує пароль і якщо це правильно, він завантажує вікна ідеально (за винятком того, що він не автоматизує розділ віртуального диска BCD, я повинен його встановити вручну ... я повинен побачити, чи зможу я його встановити автоматично), але Windows працює чудово.

І якщо я шифрую їх обох (з однаковим паролем), завантажується завантажувальний пристрій Windows, але він повідомляє winload.exe не можна знайти в синьому тлі з графічним екраном з білим текстом.

Коли я шифрую лише частину MBR, це може бути не автоматичне, оскільки файл VHD не підключений досить рано ... можливо, кешування паролем та запуск DisckCryptor під час входу може вирішити це, оскільки підключення VHD виконується в графіку завдань перед входом ... я повинен перевірити це, якщо у мене є час.

Схоже, що "Система зарезервована" або як ніколи ви хочете її викликати (де код завантаження NT60 та BCD) на іншому диску не підтримується DiskCryptor або, принаймні, ні, якщо Windows 32Bits знаходиться на розділі GPT (де папка WINDOWS є) .... оскільки наявність зашифрованого віртуального MBR працює добре, але зашифрований розділ GPT викликає різного роду помилки!

Я повторно спробую набагато більше варіантів, таких як створення ISO і завантаження з цим і т.д.

Дякую, я помножив Windows, я завантажився з іншим, встановіть DiskCryptor, перезавантажте і спробуйте встановити GPT, він монтується ОК, тому я розшифровую його і вирішую велику проблему не в змозі завантажитися з одного, поки я не знайду рішення, я зроблю більше тесту на машині VirtualBOX, перш ніж вести з моїм ноутбуком знову ... я б хотів, щоб DiskCryptor попередив мене, перш ніж робити це ... але, принаймні, я знаю, що я роблю, і я знаю завантаження з інші вікна я можу розшифрувати, також у мене є Clone BackUp тощо.

Можливо, я щось сумую! Можливо, я не повністю розумію, як завантажуватись або куди поставити завантажувач DiskCryptor, як його налаштувати тощо.

Будь ласка, майте на увазі, що я хочу більше, ніж 4 різних Windows Home 32 біта на одному диску GPT, я хочу, щоб вони були на 100% ізольовані, включаючи завантажувальні коди, BCD та подібні речі ..., які не мають іншого варіанту ... GPT в обов'язковому порядку. .. я також хочу, щоб вони зашифровані різними паролями, не тільки система (де папка Windows), а також завантажувальний розділ (де є BCD), шифрування Grub2 для мене легко зробити так, щоб не робити речі складною, я не використовую її зашифровані, поки я не знайду робоче рішення.

Я думав, що захист завантажувального розділу (там, де знаходиться BCD) буде набагато більш важким, ніж система (де папка WINDOWS), це я сам, але я знайшов просто протилежне.

Я повинен перевірити, протестувати і випробувати ... може, я знайду спосіб.

Так, якщо хтось замислюється про них, я спробував TrueCrypt і VeraCrypt, у обох є більші проблеми, TrueCrypt не дозволяє реєструвати систему GPT, а VeraCrypt припускає, що диск GPT призначений лише для U-EFI, тому він не вдається при спробі резервного копіювання U-EFI речі, незалежно від того, чи я ставлю розділ EFI, оскільки машина не має EFI-пара (тільки BIOS, немає U-EFI), вона не працює.

Запуск (без шифрування) йде таким чином, Увімкніть, запуск BIOS, BIOS з першого разу прочитайте диск, знайдіть код завантажувача Grub2, запустіть його, прочитайте RAW GrubBIOS (core.img) і запустіть його, Grub2 зробить свої речі (читати grub .cfg файл) і покажіть меню, я вибираю, яку систему я хочу завантажувати, потім Grub2 завантажує memdisk і поміщає у віртуальний жорсткий диск відповідне зображення VHD і переходить до нього, код на MBR цього запущеного (код NT60 ), потім завантажується і запускається bootmgr, потім winload.exe і т. д. ... звичайне завантаження Windows ... тоді моє завдання "Розклад" запускається на обліковий запис SYSTEM, той самий VHD підключений, тепер BCD може отримати доступ, вхід з'являється підсказка, я вибираю користувача тощо ... нормальне вікно продовжується ... з'являється робочий стіл.

Всі завантаження зроблені з одного HDD, це в стилі GPT, хитрість полягає в тому, що перед завантаженням windows я монтую (з файлом Grub2 + memdisk + VHD) віртуальний диск MBR, де є завантажувальний код nt60 та BCD, таким чином Windows це дійсно завантаження з того, що він знає, диск MBR, але це віртуальний, який зберігається у файлі, який зберігається в розділі GPT, інший хороший трюк - завдяки Grub2, який дозволяє завантажуватись з диска GPT на ПК лише у BIOS.

Сподіваюся, хтось зможе відтворити мою процедуру завантаження та перевірити DiskCryptor. Також сподіваємось, що одного дня VeraCrypt не спричинить GPT = U-EFI.

Для створення VHD я використовував DiskPart з Windows; він також може бути створений, змонтований, доступний і т.д. після завантаження з медіа-інсталяції Windows та переходу до консолі (Shif + F10 після вибору мови) та використання DiskPart.

Спасибі DiskCryptor, я трохи поруч з тим, що я хочу, але все ще не там, ще трохи крок більше ... завантажуйте Windows!

Наступною частиною буде монтаж DiskCryptor з SystemRescueCD (дистрибутив Linux Live), але це буде справді важка історія.