L'aggiornamento 1511 di Windows 10 non riesce con la crittografia dell'intero disco di DiskCryptor

10

Sto eseguendo Windows 10 con la crittografia dell'intero disco DiskCryptor sull'unità di sistema. Impossibile installare l'ultimo aggiornamento di Windows 10. Quando riavvio il sistema per installare l'aggiornamento, ottengo la seguente sequenza di eventi:

  • Inserisco la mia password DiskCryptor che sblocca il disco
  • Windows Update richiede il layout della tastiera
  • Windows Update quindi fallisce poco dopo

Se passo attraverso il processo abbastanza lontano, arrivo a un messaggio che indica che non può continuare perché un file (o file) è bloccato.

Il mio collega utilizza anche DiskCryptor sulla sua unità di sistema e ha avuto un'esperienza identica.

Così:

  • Si tratta generalmente di un problema noto con la crittografia dell'intero disco?
  • È un problema specifico con DiskCryptor?
  • In tal caso, è un bug che MS risolverà o richiederà una soluzione?
windows  windows-10  encryption  windows-10-upgrade  diskcryptor 
mwolfe02
fonte
1
Si noti che DiskCryptor non afferma di essere compatibile con Windows 10: diskcryptor.net/wiki/Main_Page
ChrisInEdmonton,
1
Giusto. E non mi lamento o non mi aspetto supporto, spero solo che ci sia una risposta là fuori;).
mwolfe02,
Vinayak il
Succede anche con Windows 10 e TrueCrypt. Spero che questo commento possa aiutare le persone con questo problema a trovare la soluzione (@ mwolfe02 answer). Mi sono perso con il problema fino a quando non vedo questa domanda e, poiché in passato ho usato Diskcryptor ho deciso di controllarlo e ho trovato la risposta.
cablop,

Risposte:

9

Questo sembra essere un problema con il software Full Disk Encryption in generale (con la presunta eccezione del BitLocker di MS). Dallo stesso coordinatore di VeraCrypt:

Windows 10 versione 1511, build 10586 aggiornamento non riuscito

TrueCrypt avrebbe avuto lo stesso problema. È questo specifico aggiornamento di Windows che sembra disabilitare i driver di filtro utilizzati per la crittografia al volo e se Windows fosse stato crittografato utilizzando TrueCrypt, avrebbe fallito anche. Non c'è nulla di magico nel driver TrueCrypt che lo abbia impedito.

Microsoft sta facendo qualcosa di brutto nel programma di installazione degli aggiornamenti. Il driver VeraCrypt funziona come previsto, ma questo programma di installazione lo blocca chiaramente durante il processo di aggiornamento del sistema. In questo modo, Microsoft sta rompendo il software FDE diverso da Bitlocker e dai partner Microsoft.

Qual è il modo migliore per segnalarlo a Microsoft? Ovviamente, su VeraCrypt, ci manca il potere umano per indagare ulteriormente sul blocco del kernel così profondo da parte dell'installer dell'aggiornamento.

La soluzione alternativa è descritta in un post del forum separato :

È necessario decrittografare la crittografia del sistema prima di eseguire eventuali aggiornamenti del sistema operativo.

Inoltre, l'aggiornamento di Windows 10 di novembre richiede la decrittografia del sistema operativo per applicare l'aggiornamento di Windows 10 1511. Normalmente questo non è necessario.

NOTA : smontare e disconnettere tutti i volumi crittografati esterni collegati al PC prima di iniziare l'aggiornamento del sistema operativo. Ho visto gli utenti lamentarsi in passato che l'aggiornamento del sistema operativo Windows vede l'unità / partizione crittografata come formato RAW e Windows cerca di essere troppo utile formattando automaticamente rapidamente la partizione e assegnando una lettera di unità per renderla utilizzabile da Windows.

AGGIORNAMENTO: Solo per chiudere il loop, ho eseguito i seguenti passaggi senza effetti negativi. Come sempre, esegui prima il backup !! Non ho bisogno del mio backup, ma non posso garantire che non avrai bisogno del tuo;).

  1. Decifrare l'unità di sistema (molto probabilmente C :)
    • Ho un disco rigido secondario (D :)
    • Anche questa unità D: era crittografata
    • Non ho crittografato il mio disco D :.
  2. Applica l'aggiornamento di Windows
    • Il bootloader DiskCryptor mi chiedeva ancora una password ad ogni riavvio
    • Ho appena premuto [Invio] senza password e la macchina si è avviata
  3. Cifrare nuovamente l'unità di sistema

Nota rapida sull'unità D: crittografata (unità secondaria):

Fai molta attenzione all'avvio di Windows 10 e l'unità C: non è ancora crittografata. In questo scenario, l'unità D: non viene montata automaticamente all'avvio. Se fai doppio clic sull'unità D:, Windows non lo riconoscerà e si offrirà di formattarlo per te. Per montare l'unità, è necessario aprire DiskCryptor, scegliere l'unità D:, fare clic su [Monta] e inserire la password.

Windows non ha formattato automaticamente il mio disco secondario, ma sarebbe stato molto facile per me farlo accidentalmente. Procedi con cura!

mwolfe02
fonte
"Normalmente questo non è necessario." - In realtà normalmente lo è. Ciò che viene descritto è normalmente ciò che accade, almeno è ciò che accade, sin da Windows 8.1 e Windows 8.1 Update 1. Quello che penso sia l'autore di tale istruzione è, aggiornamenti che non cambiano il kernel, se è così allora e solo allora sarei d'accordo con questa affermazione. Prima di notare questa risposta, stavo per chiedere: "hai decrittografato l'unità prima di tentare l'aggiornamento" risulta che questa sarebbe stata la soluzione.
Ramhound,
Vale la pena sottolineare. Qualsiasi "aggiornamento" a Windows che modifica il numero di build maggiore o minore più probabilmente richiederà che questa procedura abbia luogo, almeno fino a quando, queste soluzioni FDE alternative supportano GPT e quindi UEFI. Inoltre non direi che è un problema con FDE, ma il problema è rappresentato dalle soluzioni FDE legacy.
Ramhound,
Quella NOTA nell'ultima parte è particolarmente preoccupante per me. Ho un disco rigido secondario che è anche crittografato. Sembra che dovrei scollegare fisicamente il cavo dell'unità prima di decrittografare l'unità di sistema e applicare l'aggiornamento. Altrimenti corro il rischio che Windows formatta l'unità crittografata secondaria e perda tutti i dati su di essa. È giusto?
mwolfe02,
Consentitemi di anticipare la mia risposta, dovreste avere un backup dei dati, ma non sono d'accordo con quella parte del commento.
Ramhound,
3
A dir poco fastidioso, ma sono contento che tu abbia pubblicato, quindi non ho perso ore del mio tempo a cercare di vedere se avessi rotto qualcosa
munrobasher
1

Mi rendo conto che questo thread è un po 'vecchio ma per il bene dei ricercatori ... La presenza di DiskCryptor impedisce gli aggiornamenti di Windows (10) 1709 (almeno) senza che vengano segnalati errori specifici specifici - basta una schermata blu alla fine e reinstallare vecchio versione ... non importa se le unità DiskCryptor sono effettivamente montate o meno.

La soluzione semplice è disinstallare DiskCryptor, eseguire gli aggiornamenti e reinstallare - ha funzionato per me dopo molti giorni di ricerche sul perché i miei sistemi non si stavano aggiornando.

Ma dopo l'installazione dell'aggiornamento, almeno con l'aggiornamento Creators, il comportamento delle unità montate è cambiato. I volumi montati non vengono più disinstallati quando si esegue un arresto di Windows. In effetti sembra che DiskCryptor prevenga l'arresto di Windows se sono montate unità DiskCryptor e la stazione va in modalità sospensione (che se non si osserva, potrebbe non essere notato) - al risveglio, le unità sono ancora tutte montate! Ho provato questo su due laptop Lenovo con Win 10 home e 1 desktop con Win 10 Enterprise - nessuna differenza. Spero che questo aiuti qualcuno e spero che Windows lo risolva rapidamente, a meno che l'intenzione sia quella di forzare il passaggio a BitLocker :( tra l'altro questo nuovo comportamento non era presente quando l'ho provato con TrueCrypt. Le unità smontano automaticamente all'arresto.

GenAdmin
fonte
-1

Avevo riscontrato un altro problema con DiscCryptor e il disco GPT.

Ho più bit di Windows 32 (tutte le versioni Home da Vista a 10) sullo stesso disco GPT (l'unico presente, è un laptop con solo BIOS, senza U-EFI); sì e sì, è solo BIOS e il disco è GPT con più di 4 partizioni primarie, tutte le partizioni sono GPT, tranne un piccolo GrubBIOS RAW da 8MiB per Grub2 core.img ... e sì, sì, Windows 32 Bit; ricordo che Windows non si avvia da nessun disco che non sia MBR, non mi piace Hybrid GPT + MBR, preferisco i piccoli file Grub2 + MemDisk + VHD (32 MiB o meno).

Il mio disco è 100% GPT, ha una partizione NTFS GPT per ogni Windows per il sistema (dove si trova la cartella WINDOWS, ma il codice di avvio NT60 e BCD non è presente), ha anche una partizione NTFS aggiuntiva per i file Grub2 & MemDisk e VHD (altrimenti Windows 32 bit non sarà in grado di essere avviato da un disco GPT, ovvero 32 bit su disco BIOS + GPT); che i file VHD hanno dimensioni fisse (solo per consentire a memdisk di emularli su ram) e internamente hanno un disco MBR con una sola partizione NTFS da 32MiB dove c'è il codice di avvio NT60 e il BCD per quella specifica Windows; un disco rigido virtuale per Windows.

Questo è un esempio (tutte le finestre sono 32 bit e versioni Home, no Pro, no Enterprise, no Server, roba legale al 100%) sul disco GPT eseguo test su:

  • 1 ° settore = codice di avvio Grub2 + protezione GPT
  • GPT1 = 8MiB RAW GrubBIOS (dove Grub2 inserisce core.img in RAW)
  • GPT2 = 1GiB NTFS per file Grub2 + MemDisk + file VHD
  • GPT3 = NTFS per sistema Windows Vista SP2 a 32 bit (cartella Windows, ecc.)
  • GPT4 = NTFS per sistema Windows 7 SP1 a 32 bit (cartella Windows, ecc.)
  • GPT5 = NTFS per sistema Windows 8 a 32 bit (cartella Windows, ecc.)
  • GPT6 = NTFS per sistema Windows 8.1 a 32 bit (cartella Windows, ecc.)
  • GPT7 = NTFS per sistema Windows 10 a 32 bit (cartella Windows, ecc.)
  • GPT ... e così via ...

Ogni disco rigido virtuale è un disco MBR virtuale da 32 MB, in questo modo:

  • 1 ° settore = codice di avvio Nt60 + tabella delle partizioni MBR
  • MBR.1 = NTFS 32MiB primario (dove si trova roba BCD)
  • MBR.2 = -empty-
  • MBR.3 = -empty-
  • MBR.4 = -empty-

Un file VHD per ogni finestra (per isolare bootloader e BCD).

Se voglio mettere tutto ciò su un MBR (è limitato a 3 primari + 1 estesi) posso solo mettere 3 finestre (Grub2 può essere su una logica all'interno dell'estensione), che 3 primari saranno quelli che hanno ciascuno Roba BCD (isolando i BCD di ciascuna finestra) ... se consento tutti i BCD di Windows sulla stessa partizione posso mettere tutte le finestre che voglio, ma tutte condivideranno il BCD, quindi il menu di avvio sarà quello presentato da Windows, non saranno isolati, un errore nel toccare uno di questi BCD rovinerà l'avvio di tutto il resto, ecc., per non parlare del fatto che voglio anche la crittografia.

Con quei file GPT + Grub2 + MemDisk + VHD ottengo wat che desidero (tranne la crittografia), isolando al 100% ogni Windows dal resto di Windows.

Voglio un BIOS e non U-EFI per tre motivi principali:

  1. Voglio che il 100% dell'HDD (tranne il primo settore, la tabella GPT e la seconda copia della tabella GPT alla fine del disco) sia crittografato ... sto ancora lavorando su come crittografare quella partizione che uso per i file Grub2 + MemDisk + VHD ... avevo preso in considerazione la creazione di una partizione aggiuntiva per ogni file VHD ... in modo che uno venisse crittografato come è il sistema e quindi Grub2 uno con LUK (usando il parametro module quando si fa grub2-install).
  2. Il mio laptop non ha U-EFI, è solo BIOS
  3. Il mio HDD è più grande di 2 TB (MBR consente solo fino a 2 TB, il resto è perso)

Tornando al problema con DiskCryptor, se crittografo la partizione GPT di Windows avviata (dove si trova la cartella WINDOWS), inserisco il codice di avvio sull'altro disco di MBR virtuale (che si trova all'interno del file VHD), dopo l'avvio richiede la password ma mostra sempre l'errore di "password non valida".

Ma se non crittografare la partizione GPT di Windows avviata (dove si trova la cartella WINDOWS) e crittografare solo la partizione in cui si trova BCD (quella all'interno del disco MBR virtuale che si trova all'interno del file VHD), all'avvio chiede la password e, se corretto, avvia Windows perfettamente (tranne che non si monta automaticamente sulla partizione del disco virtuale del BCD, devo montarlo manualmente ... devo vedere se riesco a montarlo automaticamente), ma Windows funziona alla grande.

E se crittografo entrambi (con la stessa password), allora bootmbr di Windows si carica ma dice che winload.exe non può essere trovato in uno sfondo blu con schermo grafico di testo bianco.

Quando crittografo solo la parte MBR, il mancato montaggio automatico potrebbe essere causato perché il file VHD non è collegato abbastanza presto ... forse la memorizzazione nella cache della password e l'esecuzione di DisckCryptor all'accesso possono risolvere il problema poiché la connessione VHD viene eseguita in una pianificazione delle attività prima dell'accesso ... devo provarlo se ho tempo.

Sembra avere "Riservato al sistema" o come mai lo si desidera chiamare (dove si trova il codice di avvio NT60 e roba BCD) su un disco diverso non è supportato da DiskCryptor, o almeno non se Windows 32 Bit è sulla partizione GPT (dove cartella WINDOWS è) .... dato che avere l'MBR virtuale crittografato funziona bene, ma avere la partizione GPT crittografata causa diversi tipi di errori!

Proverò molte più opzioni, come la creazione di un ISO e l'avvio con quello, ecc.

Grazie ho moltiplicato Windows, ho avviato con un altro, ho installato DiskCryptor, riavviato e ho provato a montare quello GPT, si monta OK, quindi lo decrittografo e risolvo il grosso problema di non essere riuscito ad avviarne uno, finché non trovo una soluzione che farò più test su una macchina VirtualBOX, prima di ricominciare a guidare con il mio laptop ... vorrei che DiskCryptor mi avesse avvertito prima di farlo ... ma almeno so cosa sto facendo e so l'avvio da altre finestre che posso decifrare, inoltre ho Clone BackUp, ecc.

Forse mi manca qualcosa! Forse non capisco completamente come avviare o dove mettere il bootloader DiskCryptor, come configurarlo, ecc.

Tieni presente che desidero più di 4 bit di Windows Home 32 diversi sullo stesso disco GPT, li voglio isolati al 100%, inclusi codici di avvio, BCD e roba del genere ... che non rendono obbligatoria alcuna altra opzione ... GPT in obbligatorio. .. li voglio anche crittografati con password diverse, non solo il sistema (dove si trova la cartella Windows), anche la partizione di avvio (dove si trova BCD), la crittografia Grub2 è facile per me farlo per non rendere le cose complesse non lo uso non crittografato fino a quando non trovo una soluzione funzionante.

Pensavo che proteggere la partizione di avvio (dove si trova BCD) sarebbe stato molto più difficile del sistema (dove si trova la cartella WINDOWS) da solo, ma ho trovato solo l'opposto.

Devo testare, testare e testare ... potrebbe essere che ho trovato un modo.

Sì, nel caso qualcuno ci stia pensando, ho provato TrueCrypt e VeraCrypt, entrambi hanno maggiori problemi, TrueCrypt non consente la codifica del sistema GPT e VeraCrypt presume che il disco GPT sia solo per U-EFI, quindi fallisce quando si tenta di eseguire il backup di U-EFI roba, non importa se inserisco una partizione EFI, poiché la macchina non ha VAR EFI (solo BIOS, no U-EFI) non riesce.

L'avvio (senza crittografia) procede in questo modo, Accensione, Esecuzione BIOS, BIOS leggere il primo settore del disco, trovare un codice bootloader Grub2, eseguirlo, leggere RAW GrubBIOS (core.img) ed eseguirlo, Grub2 fa le sue cose (leggi grub .cfg file) e mostra il menu, scelgo il sistema che voglio avviare, Grub2 quindi carica memdisk e inserisce nel disco rigido virtuale l'immagine VHD corrispondente e salta su di esso, viene eseguito il codice sull'MBR di quello (codice NT60 ), quindi bootmgr viene caricato ed eseguito, quindi winload.exe, ecc ... normale avvio di Windows ... quindi la mia attività Pianificazione viene avviata sull'account SYSTEM, lo stesso VHD è collegato, ora è possibile accedere al BCD, accedere appare il prompt, scelgo l'utente, ecc ... le normali finestre continuano ... desktop appare.

Tutto l'avvio viene eseguito dallo stesso HDD, è in stile GPT, il trucco è che prima di avviare Windows monto (con Grub2 + memdisk + file VHD) un disco MBR virtuale in cui sono il codice di avvio nt60 e BCD, in questo modo Windows si sta davvero avviando da quello che sa, un disco MBR, ma è un disco virtuale memorizzato in un file, archiviato in una partizione GPT, l'altro buon trucco è grazie a Grub2 che consente di eseguire l'avvio da un disco GPT su un BIOS solo PC.

Spero che qualcuno possa riprodurre la mia procedura di avvio e testare DiskCryptor. Spero anche che un giorno VeraCrypt non assuma GPT = U-EFI.

Per creare il disco rigido virtuale ho usato DiskPart da Windows; può anche essere creato, montato, accessibile, ecc. dopo l'avvio da Windows Install Media e passare a una console (Shif + F10 dopo aver selezionato la lingua) e utilizzando DiskPart.

Grazie DiskCryptor sono un po 'vicino a quello che voglio, ma ancora non ci sono, solo un piccolo passo in più ... avvia Windows!

La parte successiva monterà DiskCryptor da un SystemRescueCD (una distribuzione Linux Live), ma sarà una storia davvero difficile che sarà possibile.

Laura
fonte
Questo in realtà non risponde alla domanda dell'autore.
Ramhound,
Questa non è una risposta alla domanda originale. Se hai una nuova domanda, per favore fai la tua domanda (facendo riferimento a questa per un contesto se aiuta).
DavidPostill
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.