Aktualizacja Windows 10 1511 kończy się niepowodzeniem z szyfrowaniem całego dysku DiskCryptor

10

Korzystam z systemu Windows 10 z szyfrowaniem całego dysku DiskCryptor na dysku systemowym. Nie można zainstalować najnowszej aktualizacji systemu Windows 10. Po ponownym uruchomieniu systemu w celu zainstalowania aktualizacji pojawia się następująca sekwencja zdarzeń:

  • Podaję hasło DiskCryptor, które odblokowuje dysk
  • Windows Update pyta o układ klawiatury
  • Windows Update następnie kończy się niepowodzeniem wkrótce potem

Jeśli przejdę przez proces wystarczająco daleko, dostanę komunikat, że nie można kontynuować, ponieważ plik (lub pliki) jest zablokowany.

Mój kolega używa również DiskCryptor na swoim dysku systemowym i miał identyczne doświadczenie.

Więc:

  • Czy jest to ogólnie znany problem z szyfrowaniem całego dysku?
  • Czy to konkretnie problem z DiskCryptor?
  • Jeśli tak, czy to błąd, który MS naprawi, czy będzie wymagał obejścia?
mwolfe02
źródło
1
Zauważ, że DiskCryptor nie twierdzi, że jest kompatybilny z Windows 10: diskcryptor.net/wiki/Main_Page
ChrisInEdmonton
1
Słusznie. I nie narzekam ani nie oczekuję wsparcia, mam tylko nadzieję, że jest tam odpowiedź;).
mwolfe02,
Zdarza się to również w systemie Windows 10 i Truecrypt. Mam nadzieję, że ten komentarz pomoże osobom z tym problemem znaleźć rozwiązanie (odpowiedź @ mwolfe02). Byłem zagubiony w problemie, dopóki nie zobaczyłem tego pytania, a ponieważ w przeszłości korzystałem z Diskcryptora, postanowiłem to sprawdzić i znalazłem odpowiedź.
cablop

Odpowiedzi:

9

Wydaje się, że jest to ogólnie problem z oprogramowaniem do pełnego szyfrowania dysku (z domniemanym wyjątkiem własnego BitLockera MS). Od samego koordynatora VeraCrypt:

Windows 10 wersja 1511, kompilacja 10586 aktualizacja nie powiodła się

TrueCrypt miałby ten sam problem. To ta konkretna aktualizacja systemu Windows wydaje się wyłączać sterowniki filtrów używane do szyfrowania w locie, a gdyby Windows został zaszyfrowany przy użyciu TrueCrypt, również by się nie udało. W sterowniku TrueCrypt nie ma nic magicznego, co mogłoby temu zapobiec.

Microsoft robi coś paskudnego w instalatorze aktualizacji. Sterownik VeraCrypt działa zgodnie z oczekiwaniami, ale ten instalator wyraźnie go blokuje podczas aktualizacji systemu. W ten sposób Microsoft łamie oprogramowanie FDE inne niż Bitlocker i partnerzy Microsoft.

Jaki jest najlepszy sposób na zgłoszenie tego do Microsoft? Oczywiście na VeraCrypt brakuje nam siły ludzkiej, aby zbadać dalsze głębokie blokowanie jądra przez instalatora aktualizacji.

Obejście opisano w osobnym wpisie na forum :

Musisz odszyfrować szyfrowanie systemu przed wykonaniem jakichkolwiek aktualizacji systemu operacyjnego.

Ponadto listopadowa aktualizacja systemu Windows 10 wymaga odszyfrowania systemu operacyjnego w celu zastosowania aktualizacji systemu Windows 10 1511. Zwykle nie jest to konieczne.

UWAGA : Odłącz i odłącz wszystkie zaszyfrowane woluminy zewnętrzne podłączone do komputera przed rozpoczęciem aktualizacji systemu operacyjnego. W przeszłości użytkownicy narzekali, że uaktualnienie systemu operacyjnego Windows widzi zaszyfrowany dysk / partycję w formacie RAW, a system Windows stara się być zbyt pomocny, automatycznie formatując partycję i przypisując literę dysku, aby była dostępna dla systemu Windows.


AKTUALIZACJA: Aby zamknąć pętlę, wykonałem następujące kroki bez żadnych złych efektów. Jak zawsze, najpierw wykonaj kopię zapasową !! Nie potrzebowałem mojej kopii zapasowej, ale nie mogę zagwarantować, że nie będziesz jej potrzebować;).

  1. Odszyfruj dysk systemowy (najprawdopodobniej C :)
    • Mam dodatkowy dysk twardy (D :)
    • Ten dysk D: również został zaszyfrowany
    • Nie odszyfrowałem dysku D:
  2. Zastosuj aktualizację systemu Windows
    • Program ładujący DiskCryptor nadal monitował mnie o hasło przy każdym ponownym uruchomieniu
    • Właśnie nacisnąłem [Enter] bez hasła i maszyna uruchomiła się
  3. Ponownie zaszyfruj dysk systemowy

Szybka uwaga na temat zaszyfrowanego dysku D: (dysk dodatkowy):

Zachowaj ostrożność podczas uruchamiania systemu Windows 10, a dysk C: jest nadal niezaszyfrowany. W tym scenariuszu dysk D: nie jest automatycznie montowany podczas uruchamiania. Po dwukrotnym kliknięciu dysku D: system Windows go nie rozpozna i zaoferuje sformatowanie. Aby zamontować dysk, musisz otworzyć DiskCryptor, wybrać dysk D:, kliknąć [Mount] i wprowadzić hasło.

Windows nie sformatował automatycznie mojego drugiego dysku, ale bardzo łatwo byłoby mi to zrobić przypadkowo. Postępuj ostrożnie!

mwolfe02
źródło
„Zwykle nie jest to konieczne”. - Właściwie to normalnie. Opisane jest zwykle to, co się dzieje, przynajmniej tak się dzieje, odkąd Windows 8.1 i Windows 8.1 Update 1. Wydaje mi się, że autor tego oświadczenia oznacza aktualizacje, które nie zmieniają jądra, jeśli tak jest wtedy i tylko wtedy zgodziłbym się z tym stwierdzeniem. Zanim zauważyłem tę odpowiedź, miałem zamiar zapytać: „odszyfrowałeś dysk przed przystąpieniem do aktualizacji”, okazało się, że byłoby to rozwiązanie.
Ramhound
Warto zwrócić uwagę. Każda „aktualizacja” systemu Windows, która bardziej niż prawdopodobna zmienia główny lub mniejszy numer kompilacji, będzie wymagać przeprowadzenia tej procedury, przynajmniej do czasu, aż te alternatywne rozwiązania FDE będą obsługiwać GPT, a tym samym UEFI. Nie powiedziałbym również, że jest to problem z FDE, ale starsze rozwiązania FDE, są problemem.
Ramhound
Ta uwaga w ostatniej części jest dla mnie szczególnie niepokojąca. Mam dodatkowy dysk twardy, który jest również szyfrowany. Wygląda na to, że powinienem fizycznie odłączyć kabel napędu, zanim odszyfruję dysk systemowy i zastosuję aktualizację. W przeciwnym razie narażam się na ryzyko sformatowania przez system Windows wtórnego zaszyfrowanego dysku i utraty na nim wszystkich danych. Czy to prawda?
mwolfe02
Pozwólcie, że poprzedzę moją odpowiedź, powinieneś mieć kopię zapasową danych, ale nie zgadzam się z tą częścią komentarza.
Ramhound
3
To co najmniej denerwujące, ale cieszę się, że napisałeś, więc nie marnowałem godzin, próbując sprawdzić, czy coś
zepsułem
1

Zdaję sobie sprawę, że ten wątek jest trochę stary, ale ze względu na wyszukiwarki ... Obecność DiskCryptor zapobiega aktualizacjom systemu Windows (10) 1709 (przynajmniej) bez zgłaszania żadnych konkretnych powiązanych błędów - wystarczy niebieski ekran na końcu i ponownie zainstalować stary wersja ... nie ma znaczenia, czy dyski DiskCryptor są faktycznie zamontowane, czy nie.

Prostym rozwiązaniem jest odinstalowanie programu DiskCryptor, uruchomienie aktualizacji i ponowna instalacja - działało dla mnie po wielu dniach badania, dlaczego moje systemy nie aktualizują się.

Ale po zainstalowaniu aktualizacji, przynajmniej przy aktualizacji Creators, zachowanie zamontowanych dysków zmieniło się. Zainstalowane woluminy nie są już odinstalowywane podczas zamykania systemu Windows. W rzeczywistości wydaje się, że DiskCryptor zapobiega wyłączeniu systemu Windows, jeśli zamontowane są jakiekolwiek dyski DiskCryptor, a stacja po prostu przechodzi w tryb uśpienia (co jeśli nie jesteś obserwujący, może nie zostać zauważone) - po przebudzeniu wszystkie dyski są nadal zamontowane! Przetestowałem to na dwóch laptopach Lenovo z Win 10 Home i 1 pulpicie z Win 10 Enterprise - bez różnicy. Mam nadzieję, że to komuś pomoże i mam nadzieję, że Windows załatwi to szybko - chyba że celem jest wymuszenie przejścia do BitLocker :( btw to nowe zachowanie nie było obecne, kiedy testowałem to z TrueCrypt. Dyski automatycznie się wyłączają po wyłączeniu.

GenAdmin
źródło
-1

Znalazłem inny problem z DiscCryptor i dyskiem GPT.

Mam wiele Windows 32 Bits (wszystkie wersje Home od Visty do 10) na tym samym dysku GPT (jedyny obecny, to laptop tylko z BIOSem, bez U-EFI); tak i tak, jest to tylko BIOS, a dysk to GPT z więcej niż 4 partycjami podstawowymi, wszystkie partycje są GPT, z wyjątkiem jednego małego RAW GrubBIOS 8 MB dla Grub2 core.img ... i tak, tak, Windows 32 Bity; pamiętaj, że Windows nie uruchamia się z dysku, który nie jest MBR, nie lubię Hybrid GPT + MBR, wolę małe pliki Grub2 + MemDisk + VHD (32 MB lub mniej).

Mój dysk jest w 100% GPT, ma jedną partycję GPT NTFS dla każdego systemu Windows dla systemu (gdzie jest folder WINDOWS, ale nie ma kodu rozruchowego NT60 i BCD), ma także dodatkową partycję NTFS dla plików Grub2 i MemDisk oraz plików VHD (w przeciwnym razie 32-bitowe okna nie będą mogły zostać uruchomione z dysku GPT, czyli 32 bitów na dysku BIOS + GPT); pliki VHD mają stały rozmiar (tylko po to, aby memdisk mógł je emulować na pamięci RAM) i wewnętrznie mają dysk MBR z tylko jedną partycją NTFS 32 MB, na której znajduje się kod rozruchowy NT60 i BCD dla tego konkretnego systemu Windows; jeden dysk VHD na Windows.

To jest przykład (wszystkie okna to wersje 32-bitowe i Home, bez wersji Pro, bez Enterprise, bez serwera, w 100% legalne) na dysku GPT, na którym testuję:

  • 1. sektor = kod startowy Grub2 + ochronny GPT
  • GPT1 = 8MiB RAW GrubBIOS (gdzie Grub2 umieścił core.img w RAW)
  • GPT2 = 1GiB NTFS dla plików Grub2 + MemDisk + pliki VHD
  • GPT3 = NTFS dla 32-bitowego systemu Windows Vista SP2 (folder Windows itp.)
  • GPT4 = NTFS dla 32-bitowego systemu Windows 7 SP1 (folder Windows itp.)
  • GPT5 = NTFS dla 32-bitowego systemu Windows 8 (folder Windows itp.)
  • GPT6 = NTFS dla 32-bitowego systemu Windows 8.1 (folder Windows itp.)
  • GPT7 = NTFS dla 32-bitowego systemu Windows 10 (folder Windows itp.)
  • GPT ... i tak dalej ...

Każdy dysk VHD jest umieszczony wokół wirtualnego dysku MBR o wielkości 32 MB, w następujący sposób:

  • 1. sektor = kod rozruchowy Nt60 + tablica partycji MBR
  • MBR.1 = Podstawowy NTFS 32MiB (gdzie jest BCD)
  • MBR.2 = -pusty-
  • MBR.3 = -pusty-
  • MBR.4 = -pusty-

Jeden plik VHD na każde okno (w celu odizolowania programów ładujących i BCD).

Jeśli chcę umieścić to wszystko na MBR (jest ograniczony do 3 podstawowych + 1 rozszerzony), mogę umieścić tylko 3 Windows (Grub2 może być logiczny wewnątrz rozszerzonego), to 3 podstawowe będą tymi, które mają każdy BCD rzeczy (izolowanie BCD każdego okna) ... jeśli pozwolę wszystkim Windows BCD na tej samej partycji, mogę umieścić tyle Windows, ile chcę, ale wszystkie z nich współużytkują BCD, więc menu rozruchu będzie prezentowane przez Windows, nie będą izolowane, awaria jednego z nich dotykając takiego BCD zrujnuje całą resztę itp., nie wspominając również, że chcę Szyfrowania.

Dzięki tym plikom GPT + Grub2 + MemDisk + VHD otrzymuję wat chcę (oprócz encypcji), 100% izoluje każdy system Windows od reszty systemu.

Chcę BIOS, a nie U-EFI z trzech głównych powodów:

  1. Chcę, aby 100% dysku twardego (oprócz pierwszego sektora, tabeli GPT i drugiej kopii tabeli GPT na końcu dysku) zostało zaszyfrowane ... wciąż pracuje nad sposobem szyfrowania tej partycji, której używam dla plików Grub2 + MemDisk + VHD ... zastanawiałem się nad utworzeniem jednej dodatkowej partycji dla każdego pliku VHD ... tak aby jedna była zaszyfrowana tak jak system, a następnie Grub2 z LUK (przy użyciu parametru modułów podczas instalacji grub2).
  2. Mój laptop nie ma U-EFI, to tylko BIOS
  3. Mój dysk twardy jest większy niż 2 TB (MBR pozwala na użycie maksymalnie 2 TB, reszta jest tracona)

Wracając do problemu z DiskCryptor, jeśli zaszyfruję uruchomioną partycję Windows GPT (gdzie jest folder WINDOWS), umieść kod rozruchowy na innym dysku Virtual MBR (który znajduje się w pliku VHD), po uruchomieniu go pyta o hasło, ale to zawsze pokazuje błąd „niepoprawne hasło”.

Ale jeśli nie zaszyfruję uruchomionej partycji Windows GPT (gdzie znajduje się folder WINDOWS) i zaszyfruję tylko partycję, na której znajduje się BCD (ta znajdująca się na wirtualnym dysku MBR, który znajduje się w pliku VHD), podczas uruchamiania zapyta o hasło i jeśli jest poprawny, to doskonale uruchamia system Windows (z wyjątkiem tego, że nie montuje automatycznie partycji dysku wirtualnego BCD, muszę go zamontować ręcznie ... muszę sprawdzić, czy dostanę go automatycznie), ale system Windows działa świetnie.

A jeśli zaszyfruję oba (przy użyciu tego samego hasła), to bootmbr systemu Windows ładuje się, ale informuje, że winload.exe nie można znaleźć na niebieskim tle z białym tekstowym ekranem graficznym.

Gdy szyfruję tylko część MBR, przyczyną może być brak automatycznego montażu, ponieważ plik VHD nie jest podłączony wystarczająco wcześnie ... może buforowanie hasła i uruchomienie DisckCryptor podczas logowania może rozwiązać ten problem, ponieważ połączenie VHD odbywa się zgodnie z harmonogramem zadań przed zalogowaniem ... muszę to sprawdzić, jeśli mam czas.

Wygląda na to, że „System zarezerwowany” lub jakkolwiek chcesz go nazwać (gdzie jest kod rozruchowy NT60 i BCD) na innym dysku nie jest obsługiwany przez DiskCryptor, a przynajmniej nie, jeśli Windows 32Bits jest na partycji GPT (gdzie folder WINDOWS is) .... ponieważ szyfrowanie wirtualnego MBR działa dobrze, ale szyfrowanie partycji GPT powoduje różnego rodzaju błędy!

Spróbuję ponownie wykonać wiele innych opcji, takich jak tworzenie ISO i uruchamianie go z tym itp.

Dzięki, mam wiele systemów Windows, uruchomiłem się z innym, zainstalowałem DiskCryptor, uruchomiłem ponownie i próbuję zamontować GPT, instaluje się OK, więc odszyfrowuję go i naprawiam duży problem z niemożnością uruchomienia jednego z nich, dopóki nie znajdę rozwiązanie zrobię więcej testów na maszynie VirtualBOX, zanim ponownie poprowadzę z moim laptopem ... szkoda, że ​​DiskCryptor nie ostrzegłby mnie przed zrobieniem tego ... ale przynajmniej wiem, co robię i wiem, że uruchamianie z inne okna mogę odszyfrować, mam także Clone BackUp itp.

Może coś mi umknęło! Może nie do końca rozumiem, jak uruchomić lub gdzie umieścić program ładujący DiskCryptor, jak go skonfigurować itp.

Pamiętaj, że chcę więcej niż 4 różne Windows Home 32 bity na tym samym dysku GPT, chcę je w 100% izolowane, w tym kody rozruchowe, BCD i inne rzeczy ... które nie wymagają żadnej innej opcji ... GPT jest obowiązkowe. .. chcę też, aby były one szyfrowane różnymi hasłami, nie tylko system (gdzie jest folder Windows), ale także partycja rozruchowa (gdzie jest BCD), szyfrowanie Grub2 jest dla mnie łatwe, aby nie komplikować sprawy, nie używam go nie zaszyfrowane, dopóki nie znajdę działającego rozwiązania.

Myślałem, że ochrona partycji rozruchowej (gdzie jest BCD) byłaby o wiele trudniejsza niż systemowa (gdzie jest folder WINDOWS) sama, ale znalazłem tylko przeciwieństwo.

Muszę przetestować, przetestować i przetestować ... być może znalazłem sposób.

Tak, na wypadek, gdyby ktoś o nich pomyślał, wypróbowałem TrueCrypt i VeraCrypt, oba mają większe problemy, TrueCrypt nie pozwala na rejestrację systemu GPT, a VeraCrypt zakłada, że ​​dysk GPT jest tylko dla U-EFI, więc zawiesza się podczas próby utworzenia kopii zapasowej U-EFI rzeczy, bez względu na to, czy wstawię partycję EFI, ponieważ maszyna nie ma zmiennych EFI (tylko BIOS, bez U-EFI), to kończy się niepowodzeniem.

Boot (bez szyfrowania) idzie w ten sposób, włącza się, uruchamia BIOS, pierwszy sektor odczytu dysku BIOS, znajduje kod bootloadera Grub2, uruchamia go, odczytuje RAW GrubBIOS (core.img) i uruchamia, Grub2 robi swoje rzeczy (czytaj grub .cfg) i pokaż menu, wybieram system, który chcę uruchomić, Grub2 następnie ładuje memdisk i wkładam do wirtualnego dysku twardego odpowiedni obraz VHD i skaczę do niego, kod na MBR tego jest uruchamiany (kod NT60 ), następnie bootmgr jest ładowany i uruchamia się, następnie winload.exe itp. ... normalne uruchamianie systemu Windows ... następnie moje zadanie harmonogramu jest uruchamiane na koncie SYSTEM, ten sam dysk VHD jest podłączony, teraz można uzyskać dostęp do BCD, zalogować się pojawia się monit, wybieram użytkownika itp. ... normalne okna są kontynuowane…

Cały rozruch odbywa się z tego samego dysku twardego, jest w stylu GPT, sztuczka polega na tym, że przed uruchomieniem systemu Windows zamontuj (za pomocą Grub2 + pamięć + plik VHD) dysk Virtual MBR, na którym znajduje się kod rozruchowy NT60 i BCD, w ten sposób Windows naprawdę uruchamia się z tego, co wie, z dysku MBR, ale jest to dysk wirtualny zapisany w pliku, zapisany na partycji GPT, inną dobrą sztuczką jest Grub2, który pozwala na uruchomienie z dysku GPT na komputerze z systemem BIOS.

Mam nadzieję, że ktoś może odtworzyć moją procedurę rozruchową i przetestować DiskCryptor. Mam również nadzieję, że pewnego dnia VeraCrypt nie przyjmie GPT = U-EFI.

Aby utworzyć VHD, użyłem DiskPart z Windows; można go również utworzyć, zamontować, uzyskać dostęp itp. po uruchomieniu z Windows Install Media i przejściu do konsoli (Shif + F10 po wybraniu języka) i użyciu DiskPart.

Dzięki DiskCryptor jestem trochę blisko tego, czego chcę, ale wciąż tam nie ma, tylko krok dalej ... uruchom system Windows!

Następną częścią będzie montaż DiskCryptor z SystemRescueCD (dystrybucja Linux Live), ale będzie to naprawdę trudna historia, na jaką jest to możliwe.

Laura
źródło
To tak naprawdę nie odpowiada na pytanie autora.
Ramhound
To nie jest odpowiedź na pierwotne pytanie. Jeśli masz nowe pytanie, zadaj własne pytanie (w razie potrzeby skorzystaj z kontekstu).
DavidPostill