Windows 10 Update 1511 falha com a criptografia de disco inteiro do DiskCryptor

10

Estou executando o Windows 10 com a criptografia de disco inteiro do DiskCryptor na unidade do sistema. A atualização mais recente do Windows 10 falha na instalação. Quando reinicio o sistema para instalar a atualização, recebo a seguinte sequência de eventos:

  • Entro minha senha do DiskCryptor que desbloqueia o disco
  • O Windows Update solicita o layout do teclado
  • O Windows Update então falha logo após

Se eu avançar o processo o suficiente, chego a uma mensagem que indica que ele não pode continuar porque um arquivo (ou arquivos) está bloqueado.

Meu colega também usa o DiskCryptor em sua unidade de sistema e teve uma experiência idêntica.

Assim:

  • Esse é um problema conhecido com a criptografia de disco inteiro em geral?
  • Esse é um problema específico do DiskCryptor?
  • Em caso afirmativo, é um bug que a Microsoft corrigirá ou exigirá uma solução alternativa?
windows windows-10 encryption windows-10-upgrade diskcryptor mwolfe02
fonte
1
Observe que o DiskCryptor não afirma ser compatível com o Windows 10: diskcryptor.net/wiki/Main_Page
ChrisInEdmonton
1
Justo. E não estou reclamando ou esperando apoio, apenas esperando que haja uma resposta por aí;).
mwolfe02
Isso pode ser relevante
Vinayak
Isso acontece com o Windows 10 e o Truecrypt também. Espero que esse comentário possa ajudar as pessoas com esse problema a encontrar a solução (@ resposta mwolfe02). Eu estava perdido com o problema até ver esta pergunta e, porque eu usei o Diskcryptor no passado, decidi verificar e encontrei a resposta.
Cablop # 10/16

Respostas:

9

Isso geralmente parece ser um problema no software de criptografia de disco completo (com a exceção presumível do próprio BitLocker da MS). Do próprio coordenador VeraCrypt:

Falha na atualização do Windows 10 versão 1511, build 10586

TrueCrypt teria o mesmo problema. É essa atualização específica do Windows que parece desativar os drivers de filtro usados ​​para criptografia instantânea e se o Windows fosse criptografado usando TrueCrypt, também teria falhado. Não há nada mágico no driver TrueCrypt que teria evitado isso.

A Microsoft está fazendo algo desagradável no instalador da atualização. O driver VeraCrypt está funcionando como esperado, mas este instalador o bloqueia claramente durante o processo de atualização do sistema. Ao fazer isso, a Microsoft está quebrando o software FDE que não seja o Bitlocker e os parceiros da Microsoft.

Qual é a melhor maneira de denunciar isso à Microsoft? Obviamente, no VeraCrypt, não temos mão de obra para investigar ainda mais esse profundo bloqueio do kernel pelo instalador da atualização.

A solução alternativa é descrita em uma postagem no fórum separada :

Você deve descriptografar a criptografia do sistema antes de executar qualquer atualização do sistema operacional.

Além disso, a atualização do Windows 10 de novembro exige descriptografar o sistema operacional para aplicar a atualização do Windows 10 1511. Normalmente isso não é necessário.

NOTA : Desmonte e desconecte todos os volumes criptografados externos conectados ao seu PC antes de iniciar a atualização do sistema operacional. Eu já vi usuários reclamando no passado que a atualização do sistema operacional Windows vê a unidade / partição criptografada como formato RAW e o Windows tenta ser muito útil, formatando automaticamente a partição automaticamente e atribuindo uma letra de unidade para torná-la utilizável pelo Windows.

ATUALIZAÇÃO: Apenas para fechar o loop, executei as seguintes etapas sem efeitos negativos. Como sempre, faça backup primeiro !! Eu não precisava do meu backup, mas não posso garantir que você não precisará do seu;).

  1. Descriptografar a unidade do sistema (provavelmente C :)
    • Eu tenho um disco rígido secundário (D :)
    • Esta unidade D: também foi criptografada
    • Não decifrei minha unidade D:
  2. Aplique a atualização do Windows
    • O carregador de inicialização do DiskCryptor ainda solicitou uma senha a cada reinicialização
    • Eu apenas pressionei [Enter] sem nenhuma senha e a máquina inicializou
  3. Criptografe novamente a unidade do sistema

Nota rápida sobre a unidade D: criptografada (unidade secundária):

Tenha muito cuidado quando o Windows 10 inicializar e a unidade C: ainda não estiver criptografada. A unidade D: não é montada automaticamente na inicialização neste cenário. Se você clicar duas vezes na unidade D:, o Windows não a reconhecerá e oferecerá a formatação para você. Para montar a unidade, é necessário abrir o DiskCryptor, escolher a unidade D:, clicar em [Montar] e digite a senha.

O Windows não formatou automaticamente minha unidade secundária, mas teria sido muito fácil fazê-lo acidentalmente. Prossiga com cuidado!

mwolfe02
fonte
"Normalmente isso não é necessário." - Na verdade, normalmente é. O que é descrito normalmente é o que acontece, pelo menos é o que acontece, desde o Windows 8.1 e o Windows 8.1 Update 1. O que eu acho que o autor dessa declaração significa é atualizações que não alteram o kernel, se for o caso então e só então eu concordaria com essa afirmação. Antes que eu percebesse essa resposta, eu perguntaria: "você descriptografou a unidade antes de tentar a atualização". Acontece que essa seria a solução.
Ramhound
Vale ressaltar. Qualquer "atualização" para o Windows que altere o número de compilação maior ou menor mais do que provavelmente exigirá que esse procedimento aconteça, pelo menos até que essas soluções alternativas de FDE suportem GPT e, portanto, UEFI. Eu também não diria que é um problema com a FDE, mas soluções herdadas da FDE, esse são o problema.
Ramhound
Essa NOTA na última parte é particularmente preocupante para mim. Eu tenho um disco rígido secundário que também é criptografado. Parece que eu devo desconectar fisicamente o cabo da unidade antes de descriptografar a unidade do sistema e aplicar a atualização. Caso contrário, corro o risco de o Windows formatar a unidade criptografada secundária e perder todos os dados nela. Isso está certo?
mwolfe02
Permitam-me que anteceda minha resposta, você deve ter um backup dos dados, mas não concordo com essa parte do comentário.
Ramhound
3
Isso é muito irritante para dizer o mínimo, mas eu estou feliz que você postou então eu não perder horas de meu tempo tentando ver se eu tinha quebrado algo
munrobasher
1

Sei que este segmento é um pouco antigo, mas para o bem dos pesquisadores ... A presença do DiskCryptor impede que as atualizações do Windows (10) 1709 (pelo menos) sem que nenhum erro específico seja relatado - apenas uma tela azul no final e reinstalar o antigo versão ... não importa se as unidades DiskCryptor estão realmente montadas ou não.

A solução simples é desinstalar o DiskCryptor, executar as atualizações e reinstalar - funcionou para mim após muitos dias pesquisando por que meus sistemas não estavam atualizando.

Mas depois que a atualização é instalada, pelo menos com a atualização Creators, o comportamento das unidades montadas mudou. Os volumes montados não são mais desmontados ao desligar o Windows. De fato, parece que o DiskCryptor impede o desligamento do Windows se alguma unidade do DiskCryptor estiver montada e a estação simplesmente entrar em suspensão (que, se você não estiver atento, pode não ser notado) - ao acordar, as unidades ainda estão montadas! Testei isso em dois laptops Lenovo com o Win 10 em casa e um desktop com o Win 10 Enterprise - sem diferenças. Espero que isso ajude alguém e espero que o Windows conserte isso rapidamente - a menos que a intenção seja forçar a mudança para o BitLocker :( btw esse novo comportamento não estava presente quando eu testei com o TrueCrypt. As unidades desmontam automaticamente ao serem desligadas.

GenAdmin
fonte
-1

Eu havia encontrado outro problema com o disco DiscCryptor e GPT.

Eu tenho vários Windows 32 Bits (todas as versões Home do Vista ao 10) no mesmo disco GPT (o único presente, é um laptop apenas com BIOS, sem U-EFI); sim e sim, é apenas BIOS e o disco é GPT com mais de 4 partições primárias, todas as partições são GPT, exceto um pequeno GrubBIOS RAW de 8MiB para Grub2 core.img ... e sim, sim, Windows 32 Bits; lembre-se de que o Windows não inicializa a partir de qualquer disco que não seja MBR, não gosto de Hybrid GPT + MBR, prefiro arquivos pequenos Grub2 + MemDisk + VHD (32MiB ou menos).

Meu disco é 100% GPT, possui uma partição GPT NTFS para cada Windows do sistema (onde está a pasta WINDOWS, mas o código de inicialização NT60 e o BCD não estão lá), também possui uma partição NTFS extra para arquivos Grub2, MemDisk e VHD (caso contrário, as janelas de 32 bits não poderão ser inicializadas a partir de um disco GPT, também conhecido como 32 bits no disco BIOS + GPT); que os arquivos VHD são de tamanho fixo (apenas para permitir que o memdisk os emule no RAM) e possuam internamente um disco MBR com apenas uma partição NTFS de 32MiB, na qual existe o código de inicialização NT60 e o BCD para o Windows específico; um VHD por Windows.

Esta é uma amostra (todas as janelas são versões 32Bits e Home, no Pro, no Enterprise, no Server, 100% legal) no disco GPT, faço testes em:

  • 1º setor = código de inicialização Grub2 + proteção GPT
  • GPT1 = GrubBIOS RAW de 8MiB (onde o Grub2 colocou core.img em RAW)
  • GPT2 = NTFS 1GiB para arquivos Grub2 + arquivos MemDisk + VHD
  • GPT3 = NTFS para o sistema Windows Vista SP2 de 32 bits (pasta Windows, etc)
  • GPT4 = NTFS para o sistema Windows 7 SP1 de 32 bits (pasta Windows, etc)
  • GPT5 = NTFS para o sistema Windows 8 de 32 bits (pasta Windows, etc)
  • GPT6 = NTFS para o sistema Windows 8.1 de 32 bits (pasta Windows, etc)
  • GPT7 = NTFS para o sistema Windows 10 de 32 bits (pasta Windows, etc.)
  • GPT ... e assim por diante ...

Cada VHD possui um disco MBR virtual de 32MiB, assim:

  • 1º setor = código de inicialização Nt60 + tabela de partição MBR
  • MBR.1 = NTFS primário 32MiB (onde estão os itens do BCD)
  • MBR.2 = -vazie-
  • MBR.3 = -vazio-
  • MBR.4 = -vazio-

Um arquivo VHD por cada janela (para isolar os gerenciadores de inicialização e o BCD).

Se eu quiser colocar tudo isso em um MBR (é limitado a 3 primários + 1 estendido), só posso colocar 3 Windows (o Grub2 pode estar em uma lógica dentro do estendido), esses 3 primários serão os que possuem cada Material do BCD (isolando os BCDs de cada janela) ... se eu permitir todos os BCDs do Windows na mesma partição, posso colocar quantos Windows quiser, mas todos compartilharão o BCD, para que o menu de inicialização seja o apresentado pelo windows, eles não serão isolados, uma falha em um deles tocando em tal BCD arruinará a inicialização de todo o resto, etc., sem mencionar que eu também quero criptografia.

Com esses arquivos GPT + Grub2 + MemDisk + VHD, eu consigo o que eu quero (exceto a criptografia), 100% isola cada Windows do restante do Windows.

Quero um BIOS e não U-EFI por três razões principais:

  1. Quero que 100% do HDD (exceto o primeiro setor, a tabela GPT e a segunda cópia da tabela GPT no final do disco) sejam criptografados ... ainda trabalhando em como criptografar a partição que uso nos arquivos Grub2 + MemDisk + VHD ... eu tinha pensado em criar uma partição extra para cada arquivo VHD ... para que uma seja criptografada como o sistema e, em seguida, o Grub2 com LUKs (usando o parâmetro modules ao executar o grub2-install).
  2. Meu laptop não possui U-EFI, é apenas BIOS
  3. Meu HDD é maior que 2TiB (o MBR permite apenas até 2TiB, o restante é perdido)

Voltando ao problema com o DiskCryptor, se eu criptografar a partição inicializada do Windows GPT (onde está a pasta WINDOWS), coloque o código de inicialização no outro disco Virtual MBR (que está dentro do arquivo VHD), após a inicialização, ele pede a senha, mas sempre mostra o erro de 'senha inválida'.

Mas se eu não criptografar a partição inicializada do Windows GPT (onde está a pasta WINDOWS) e apenas criptografar a partição onde está o BCD (aquele dentro do disco MBR virtual que está dentro do arquivo VHD), na inicialização, ele solicita a senha e se estiver correto, ele inicializa o Windows perfeitamente (exceto que ele não monta automaticamente a partição do disco virtual do BCD, preciso montá-lo manualmente ... preciso ver se o consigo montar automaticamente), mas o Windows funciona muito bem.

E se eu criptografar os dois (com a mesma senha), o Windows bootmbr é carregado, mas informa que o winload.exe não pode ser encontrado em um plano de fundo azul com a tela gráfica de texto em branco.

Quando criptografar apenas a parte MBR, o not automount pode ser causado porque o arquivo VHD não está conectado suficientemente cedo ... talvez o cache da senha e a execução do DisckCryptor no logon possam resolver isso, pois a conexão VHD é feita em uma agenda de tarefas antes do logon ... devo testar se tiver tempo.

Parece ter "Sistema reservado" ou como você deseja chamá-lo (onde o código de inicialização NT60 e os itens BCD estão) em um disco diferente não é suportado pelo DiskCryptor, ou pelo menos não se o Windows 32Bits estiver na partição GPT (onde a pasta WINDOWS é) .... desde que o Virtual MBR criptografado funcione bem, mas a partição GPT criptografada causa tipos diferentes de erros!

Vou tentar muito mais opções, como criar um ISO e inicializar com isso, etc.

Obrigado, eu multipliquei o Windows, eu inicializei com outro, instalei o DiskCryptor, reiniciei e tentei montar o GPT, ele monta OK, então eu o decifrei e corrijo o grande problema de não conseguir inicializar um, até encontrar uma solução, farei mais testes em uma máquina VirtualBOX, antes de liderar novamente com o meu laptop ... gostaria que o DiskCryptor tivesse me avisado antes de fazê-lo ... mas pelo menos eu sei o que estou fazendo e sei que a inicialização do outras janelas eu posso descriptografar, também tenho o Clone BackUp, etc.

Talvez eu perca alguma coisa! Talvez eu não entenda completamente como inicializar ou onde colocar o carregador de inicialização do DiskCryptor, como configurá-lo etc.

Lembre-se de que quero mais de 4 bits diferentes do Windows Home 32 no mesmo disco GPT, quero-os 100% isolados, incluindo códigos de inicialização, BCD e outras coisas ... que não fazem outra opção ... GPT obrigatório. .. Eu também quero que eles sejam criptografados com senhas diferentes, não apenas o sistema (onde está a pasta Windows), também a partição de inicialização (onde está o BCD), a criptografia Grub2 é fácil para mim fazer isso, para não tornar as coisas complexas. criptografado até encontrar uma solução de trabalho.

Eu pensei que proteger a partição de inicialização (onde está o BCD) seria muito mais difícil do que o sistema (onde está a pasta WINDOWS), mas achei o oposto.

Devo testar, testar e testar ... pode ser que eu encontrei um caminho.

Sim, caso alguém esteja pensando neles, tentei o TrueCrypt e o VeraCrypt, ambos têm problemas maiores, o TrueCrypt não permite a inscrição do sistema GPT e o VeraCrypt assume que o disco GPT é apenas para U-EFI, por isso falha ao tentar fazer backup do U-EFI coisas, não importa se eu coloco uma partição EFI, já que a máquina não possui vars EFI (somente BIOS, nem U-EFI), ela falha.

A inicialização (sem criptografia) funciona assim: Power on, BIOS executado, primeiro setor de disco de leitura do BIOS, encontre um código do gerenciador de inicialização Grub2, execute-o, leia RAW GrubBIOS (core.img) e execute-o, o Grub2 faz suas coisas (leia grub .cfg) e mostro o menu, eu escolho o sistema que quero inicializar, o Grub2 carrega o memdisk e coloca no disco rígido virtual a imagem VHD correspondente e salta para ela, o código no MBR executado (código NT60 ), o bootmgr é carregado e executado, o winload.exe, etc ... inicialização normal do Windows ... minha tarefa de agendamento é iniciada na conta SYSTEM, o mesmo VHD está conectado, agora o BCD pode ser acessado, logon prompt aparecer, eu escolho usuário, etc ... janelas normais continuam ... área de trabalho aparece.

Toda a inicialização é feita a partir do mesmo HDD, no estilo GPT, o truque é que, antes da inicialização do Windows, eu monto (com o arquivo Grub2 + memdisk + VHD) um disco Virtual MBR onde estão o código de inicialização nt60 e o BCD, dessa forma o Windows é realmente inicializado pelo que sabe, um disco MBR, mas é virtual armazenado em um arquivo, armazenado em uma partição GPT, o outro bom truque é graças ao Grub2, que permite inicializar a partir do disco GPT em um PC apenas com BIOS.

Espero que alguém possa reproduzir meu procedimento de inicialização e testar o DiskCryptor. Também espero que um dia o VeraCrypt não assuma GPT = U-EFI.

Para criar o VHD, usei o DiskPart do windows; ele também pode ser criado, montado, acessado etc. após a inicialização do Windows Install Media e o acesso a um console (Shif + F10 após o idioma selecionado) e o uso do DiskPart.

Obrigado DiskCryptor, estou um pouco perto do que quero, mas ainda não estou lá, apenas um pequeno passo a mais ... inicialize o Windows!

A próxima parte será a montagem do DiskCryptor a partir de um SystemRescueCD (uma distribuição Linux Live), mas essa será uma história realmente difícil possível.

Laura
fonte
Isso realmente não responde à pergunta do autor.
Ramhound 11/01
Esta não é uma resposta para a pergunta original. Se você tiver uma nova pergunta, faça sua própria pergunta (fazendo referência a esta para contextualizar, se ajudar).
DavidPostill