Windows 10 Update 1511 завершается с ошибкой шифрования всего диска DiskCryptor

Я использую Windows 10 с шифрованием всего диска DiskCryptor на системном диске. Последнее обновление Windows 10 не удается установить. Когда я перезагружаю систему для установки обновления, я получаю следующую последовательность событий:

• Я ввожу свой пароль DiskCryptor, который разблокирует диск
• Центр обновления Windows запрашивает раскладку клавиатуры
• Обновление Windows происходит сбой вскоре после

Если я продвигаюсь через процесс достаточно далеко, я получаю сообщение, которое указывает, что оно не может продолжаться, потому что файл (или файлы) заблокирован.

Мой коллега также использует DiskCryptor на своем системном диске и имеет такой же опыт.

Так:

• Это известная проблема с шифрованием всего диска в целом?
• Это проблема с DiskCryptor конкретно?
• Если да, то это ошибка, которую MS исправит, или потребуется обходной путь?

Похоже, что это проблема с программным обеспечением Full Disk Encryption в целом (за возможным исключением собственного BitLocker от MS). От самого координатора VeraCrypt:

Windows 10 версия 1511, сборка 10586 сбой обновления

TrueCrypt имел бы ту же проблему. Именно это конкретное обновление Windows, по-видимому, отключает драйверы фильтров, используемые для шифрования «на лету», и если бы Windows была зашифрована с использованием TrueCrypt, она тоже не работала бы. В драйвере TrueCrypt нет ничего волшебного, что могло бы предотвратить это.

Microsoft делает что-то неприятное в установщике обновлений. Драйвер VeraCrypt работает должным образом, но этот установщик явно блокирует его в процессе обновления системы. Делая это, Microsoft ломает программное обеспечение FDE, кроме Bitlocker и партнеров Microsoft.

Каков наилучший способ сообщить об этом в Microsoft? Очевидно, что на VeraCrypt нам не хватает рабочей силы для дальнейшего изучения такой глубокой блокировки ядра установщиком обновлений.

Обходной путь описан в отдельном сообщении на форуме :

Вы должны расшифровать шифрование системы перед выполнением любых обновлений ОС.

Кроме того, ноябрьское обновление Windows 10 требует расшифровки ОС, чтобы применить обновление Windows 10 1511. Обычно это не обязательно.

ПРИМЕЧАНИЕ. Перед началом обновления ОС отключите и отсоедините все внешние зашифрованные тома, подключенные к вашему ПК. В прошлом пользователи жаловались на то, что при обновлении ОС Windows зашифрованный диск / раздел представляется в формате RAW, а Windows пытается быть слишком полезной, автоматически быстро форматируя раздел и назначая букву диска, чтобы он мог использоваться в Windows.

ОБНОВЛЕНИЕ: просто, чтобы закрыть цикл, я выполнил следующие шаги без каких-либо побочных эффектов. Как всегда, бекап первым !! Мне не нужна была моя резервная копия, но я не могу гарантировать, что вам не понадобится ваша;).

1. Расшифруйте системный диск (скорее всего, C :)
   • У меня есть дополнительный жесткий диск (D :)
   • Этот диск D: был также зашифрован
   • Я не расшифровал мой диск D:
2. Применить обновление Windows
   • Загрузчик DiskCryptor по-прежнему запрашивает пароль при каждой перезагрузке
   • Я просто нажал [Enter] без пароля и машина загрузилась
3. Перешифруйте системный диск

Краткое примечание о зашифрованном диске D: (дополнительный диск):

Будьте очень осторожны, когда Windows 10 загружается, а диск C: все еще не зашифрован. В этом случае диск D: не монтируется автоматически при запуске. Если дважды щелкнуть диск D: Windows не распознает его и предложит отформатировать его для вас. Чтобы смонтировать диск, вам нужно открыть DiskCryptor, выбрать диск D :, нажать [Mount] и ввести пароль.

Windows не форматировала мой дополнительный диск автоматически , но мне было бы очень легко сделать это случайно. Продолжайте с осторожностью!

Я понимаю, что этот поток немного староват, но ради искателей ... Присутствие DiskCryptor предотвращает обновления Windows (10) 1709 (по крайней мере) без каких-либо конкретных связанных ошибок - просто синий экран в конце и переустановка старого версия ... не имеет значения, смонтированы ли диски DiskCryptor или нет.

Простое решение состоит в том, чтобы удалить DiskCryptor, запустить обновление (обновления) и переустановить - это помогло мне после многих дней исследования, почему мои системы не обновлялись.

Но после установки обновления, по крайней мере с обновлением Creators, поведение подключенных дисков изменилось. Подключенные тома больше не отключаются при выключении Windows. На самом деле, похоже, что DiskCryptor предотвращает отключение Windows, если подключены какие-либо диски DiskCryptor, и станция просто переходит в спящий режим (что, если вы не наблюдаете, может не быть замечено) - при пробуждении все диски все еще подключены! Я проверил это на двух ноутбуках Lenovo с Win 10 Home и на 1 настольном компьютере с Win 10 Enterprise - без различий. Надеюсь, что это кому-нибудь поможет, и я надеюсь, что Windows исправит это быстро - если только намерение не состоит в том, чтобы принудительно перейти на BitLocker :( Между прочим, это новое поведение не присутствовало, когда я тестировал его с TrueCrypt. Диски автоматически отключались при выключении.

Я обнаружил еще одну проблему с DiscCryptor и GPT-диском.

У меня есть несколько битов Windows 32 (все версии Home от Vista до 10) на одном GPT-диске (присутствует только один, это ноутбук с только BIOS, без U-EFI); да и да, это только BIOS и диск GPT с более чем 4 основными разделами, все разделы являются GPT, за исключением одного маленького 8MiB RAW GrubBIOS для Grub2 core.img ... и да, да, Windows 32 Bits; помните, что Windows не загружается с любого диска, который не является MBR, мне не нравится Hybrid GPT + MBR, я предпочитаю Grub2 + MemDisk + VHD маленькие файлы (32 МБ или меньше).

Мой диск на 100% GPT, имеет один раздел NTFS GPT для каждой Windows для системы (там, где находится папка WINDOWS, но там нет загрузочного кода NT60 и BCD), также имеется дополнительный раздел NTFS для файлов Grub2, MemDisk и VHD. (иначе 32-битные окна не смогут загрузиться с GPT-диска, иначе 32-битные на BIOS + GPT-диск); что файлы VHD имеют фиксированный размер (просто чтобы memdisk эмулировал их в оперативной памяти) и внутренне имеют MBR-диск только с одним 32-мегабайтным NTFS-разделом, где есть загрузочный код NT60 и BCD для этой конкретной Windows; один VHD на Windows.

Это пример (все окна - 32-битные и домашние версии, ни Pro, ни Enterprise, ни Server, ни 100% легальные вещи) на GPT-диске, на котором я тестирую:

• 1-й сектор = загрузочный код Grub2 + защита GPT
• GPT1 = 8MiB RAW GrubBIOS (где Grub2 помещает core.img в RAW)
• GPT2 = 1 ГБ NTFS для файлов Grub2 + MemDisk + VHD файлы
• GPT3 = NTFS для 32-битной системы Windows Vista SP2 (папка Windows и т. Д.)
• GPT4 = NTFS для 32-битной системы Windows 7 SP1 (папка Windows и т. Д.)
• GPT5 = NTFS для 32-битной системы Windows 8 (папка Windows и т. Д.)
• GPT6 = NTFS для 32-битной системы Windows 8.1 (папка Windows и т. Д.)
• GPT7 = NTFS для 32-битной системы Windows 10 (папка Windows и т. Д.)
• GPT ... и так далее ...

Каждый виртуальный жесткий диск представляет собой виртуальный MBR-диск объемом 32 МБ, например:

• 1-й сектор = загрузочный код Nt60 + таблица разделов MBR
• MBR.1 = основной NTFS 32MiB (где BCD материал)
• MBR.2 = -mpty-
• MBR.3 = -mpty-
• MBR.4 = -mpty-

Один VHD-файл для каждого окна (чтобы изолировать загрузчики и BCD).

Если я хочу поместить все это в MBR (он ограничен 3 основными + 1 расширенный), я могу поставить только 3 Windows (Grub2 может быть внутри логического внутри расширенного), то 3 основных будут иметь те, которые имеют каждый Материал BCD (изолируя BCD каждого окна) ... если я разрешу все BCD Windows в одном разделе, я могу разместить столько Windows, сколько захочу, но все они будут использовать BCD, так что будет отображаться меню загрузки окнами они не будут изолированы, отказ одного из них при касании такого BCD испортит загрузку всех остальных и т. д., не говоря уже о том, что я также хочу шифрование.

С этими файлами GPT + Grub2 + MemDisk + VHD, которые я получаю, я хочу (кроме шифрования), 100% изолировать каждую Windows от остальной части Windows.

Я хочу BIOS, а не U-EFI по трем основным причинам:

1. Я хочу, чтобы 100% жесткого диска (кроме первого сектора, таблицы GPT и второй копии таблицы GPT в конце диска) были зашифрованы ... все еще работаю над тем, как зашифровать тот раздел, который я использую для файлов Grub2 + MemDisk + VHD ... я рассмотрел создание одного дополнительного раздела для каждого файла VHD ... так, чтобы один был зашифрован как система, а затем Grub2 с LUK (используя параметр modules при выполнении grub2-install).
2. Мой ноутбук не имеет U-EFI, это только BIOS
3. Мой жесткий диск больше 2 ТБ (MBR позволяет использовать только до 2 ТБ, остальное теряется)

Возвращаясь к проблеме с DiskCryptor, если я шифрую загруженный раздел Windows GPT (где находится папка WINDOWS), поместите загрузочный код на другой виртуальный MBR-диск (который находится внутри файла VHD), после загрузки он запрашивает пароль, но он всегда показывает ошибку «неверный пароль».

Но если я не шифрую загруженный раздел Windows GPT (где находится папка WINDOWS), и я шифрую только тот раздел, где находится BCD (тот, что находится внутри виртуального диска MBR, который находится внутри файла VHD), при загрузке он запрашивает пароль и если он правильный, он отлично загружает окна (за исключением того, что он не выполняет автоматическое монтирование раздела виртуального диска BCD, я должен смонтировать его вручную ... должен посмотреть, получу ли я его автоматический), но Windows прекрасно работает.

И если я зашифрую их обоих (одним и тем же паролем), загрузится Windows bootmbr, но он сообщает, что winload.exe не может быть найден на голубом фоне с белым текстовым графическим экраном.

Когда я зашифровываю только часть MBR, автоматическое монтирование может быть вызвано тем, что VHD-файл подключен недостаточно рано ... возможно, кэширование пароля и запуск DisckCryptor при входе в систему может решить эту проблему, поскольку подключение VHD выполняется в расписании задач перед входом в систему ... Я должен проверить это, если у меня есть время.

Похоже, что «Зарезервировано системой» или как вы хотите его называть (где находится загрузочный код NT60 и BCD) на другом диске, не поддерживается DiskCryptor, или, по крайней мере, если Windows 32Bits находится в разделе GPT (где папка WINDOWS это) .... поскольку шифрование Virtual MBR работает хорошо, но шифрование раздела GPT приводит к разным видам ошибок!

Я попробую еще много вариантов, таких как создание ISO-образа, загрузка с ним и т. Д.

Спасибо, я перемножил Windows, я загрузился с другим, установил DiskCryptor, перезагрузил компьютер и попытался смонтировать GPT, он монтируется нормально, поэтому я расшифровал его и исправил большую проблему, связанную с невозможностью загрузки, пока я не найду решение, которое я буду делать больше тестов на компьютере VirtualBOX, прежде чем снова вести с моим ноутбуком ... я хотел бы, чтобы DiskCryptor предупредил меня, прежде чем делать это ... но, по крайней мере, я знаю, что я делаю, и я знаю, загрузка с другие окна я могу расшифровать, также у меня есть Clone BackUp и т. д.

Может я что-то пропустил! Может быть, я не до конца понимаю, как загружаться или куда ставить загрузчик DiskCryptor, как его настроить и т. Д.

Пожалуйста, имейте в виду, что я хочу, чтобы на одном и том же GPT-диске было более 4 разных Windows Home 32 бит, я хочу, чтобы они были на 100% изолированы, включая загрузочные коды, BCD и тому подобное ... которые не делают других вариантов ... GPT в обязательном порядке. .. Я также хочу, чтобы они были зашифрованы разными паролями, не только системой (где находится папка Windows), но и загрузочным разделом (где BCD), шифрование Grub2 легко для меня, чтобы не усложнять задачу, я использую его не зашифрован, пока я не найду рабочее решение.

Я думал, что защита загрузочного раздела (где находится BCD) будет гораздо более сложной, чем система (где находится папка WINDOWS), но я нашел только противоположность.

Я должен проверить, проверить и проверить ... может быть, я нашел способ.

Да, если кто-то думает о них, я пробовал TrueCrypt и VeraCrypt, у обоих большие проблемы, TrueCrypt не разрешает системную регистрацию GPT, а VeraCrypt предполагает, что GPT-диск предназначен только для U-EFI, поэтому при попытке сделать резервную копию U-EFI происходит сбой Вещи, не важно, если я поставлю раздел EFI, так как машина не имеет переменных EFI (только BIOS, нет U-EFI), происходит сбой

Загрузка (без шифрования) происходит следующим образом: питание включено, BIOS запускается, BIOS читает первый сектор диска, находит код загрузчика Grub2, запускает его, читает RAW GrubBIOS (core.img) и запускает его, Grub2 делает свое дело (читает grub) файл .cfg) и показать меню, я выбираю, какую систему я хочу загрузить, Grub2 затем загружает memdisk и вставляет на виртуальный жесткий диск соответствующий образ VHD и переходит на него, код на MBR которого запускается (код NT60 ), затем загрузится и запустится bootmgr, затем winload.exe и т. д. ... обычная загрузка Windows ... затем моя учетная запись запускается из учетной записи SYSTEM, тот же виртуальный жесткий диск подключен, теперь к BCD можно получить доступ, войти в систему появляется подсказка, я выбираю пользователя и т. д. ... нормальные окна продолжаются ... на рабочем столе.

Вся загрузка выполняется с одного и того же жесткого диска, он выполнен в стиле GPT, хитрость в том, что перед загрузкой Windows я монтирую (с помощью Grub2 + memdisk + VHD файл) виртуальный MBR-диск, на котором находятся загрузочный код nt60 и BCD, таким образом, Windows действительно загружается с того, что он знает, с MBR-диска, но это виртуальный диск, который хранится в файле, хранящемся в разделе GPT, другой хороший трюк благодаря Grub2, который позволяет загружаться с GPT-диска на компьютере с BIOS только.

Надеюсь, кто-нибудь сможет воспроизвести мою процедуру загрузки и протестировать DiskCryptor. Также надеюсь, что когда-нибудь VeraCrypt не примет GPT = U-EFI.

Для создания VHD я использовал DiskPart из Windows; его также можно создать, смонтировать, получить к нему доступ и т. д. после загрузки с установочного носителя Windows и перехода на консоль (Shif + F10 после выбора языка) и использования DiskPart.

Благодаря DiskCryptor я немного ближе к тому, что я хочу, но все еще не там, просто еще немного ... загрузи Windows!

Следующая часть будет монтировать DiskCryptor из SystemRescueCD (дистрибутив Linux Live), но это будет действительно сложная история, которую это возможно.