Windows 10 Update 1511 falla con el cifrado de disco completo DiskCryptor

10

Estoy ejecutando Windows 10 con el cifrado de disco completo DiskCryptor en la unidad del sistema. La última actualización de Windows 10 no se puede instalar. Cuando reinicio el sistema para instalar la actualización, obtengo la siguiente secuencia de eventos:

  • Ingreso mi contraseña de DiskCryptor que desbloquea el disco
  • Windows Update solicita la distribución del teclado
  • Windows Update luego falla poco después

Si avanzo el proceso lo suficiente, llego a un mensaje que indica que no puede continuar porque un archivo (o archivos) está bloqueado.

Mi colega también usa DiskCryptor en su unidad de sistema y ha tenido una experiencia idéntica.

Entonces:

  • ¿Es este un problema conocido con el cifrado de disco completo en general?
  • ¿Es este un problema con DiskCryptor específicamente?
  • Si es así, ¿es un error que MS solucionará o requerirá una solución?
mwolfe02
fuente
1
Tenga en cuenta que DiskCryptor no afirma ser compatible con Windows 10: diskcryptor.net/wiki/Main_Page
ChrisInEdmonton
1
Lo suficientemente justo. Y no me quejo ni espero apoyo, solo espero que haya una respuesta por ahí;).
mwolfe02
También sucede con Windows 10 y Truecrypt. Espero que este comentario pueda ayudar a las personas con este problema a encontrar la solución (@ mwolfe02 respuesta). Me perdí con el problema hasta que vi esta pregunta y, debido a que usé Diskcryptor en el pasado, decidí verificarlo y encontré la respuesta.
cablop

Respuestas:

9

Esto parece ser un problema con el software Full Disk Encryption en general (con la supuesta excepción del propio BitLocker de MS). Del propio coordinador de VeraCrypt:

Windows 10 versión 1511, falla la actualización de la compilación 10586

TrueCrypt habría tenido el mismo problema. Es esta actualización específica de Windows la que parece deshabilitar los controladores de filtro utilizados para el cifrado sobre la marcha y si Windows se cifró con TrueCrypt, también habría fallado. No hay nada mágico en el controlador TrueCrypt que hubiera evitado esto.

Microsoft está haciendo algo desagradable en el instalador de actualizaciones. El controlador VeraCrypt funciona como se esperaba, pero este instalador lo bloquea claramente durante el proceso de actualización del sistema. Al hacer esto, Microsoft está rompiendo el software FDE que no sea Bitlocker y los socios de Microsoft.

¿Cuál es la mejor manera de informar esto a Microsoft? Obviamente, en VeraCrypt, nos falta mano de obra para investigar más a fondo el bloqueo profundo del kernel por parte del instalador de actualizaciones.

La solución se describe en una publicación de foro separada :

Debe descifrar el cifrado del sistema antes de realizar cualquier actualización del sistema operativo.

Además, la actualización de noviembre de Windows 10 requiere descifrar el sistema operativo para aplicar la actualización de Windows 10 1511. Normalmente esto no es necesario.

NOTA : desmonte y desconecte todos los volúmenes cifrados externos conectados a su PC antes de comenzar la actualización del sistema operativo. He visto a usuarios quejarse en el pasado de que la actualización del sistema operativo Windows ve la unidad / partición cifrada como formato RAW y Windows intenta ser demasiado útil formateando rápidamente la partición y asignando una letra de unidad para que Windows pueda usarla.


ACTUALIZACIÓN: solo para cerrar el ciclo, realicé los siguientes pasos sin efectos nocivos. Como siempre, ¡ copia de seguridad primero! No necesitaba mi copia de seguridad, pero no puedo garantizar que no necesitará la suya;).

  1. Descifrar la unidad del sistema (muy probablemente C :)
    • Tengo un disco duro secundario (D :)
    • Esta unidad D: también fue encriptada
    • No descifré mi unidad D:
  2. Aplicar la actualización de Windows
    • El gestor de arranque DiskCryptor todavía me solicitó una contraseña en cada reinicio
    • Acabo de presionar [Enter] sin ninguna contraseña y la máquina arrancó
  3. Vuelva a cifrar la unidad del sistema

Nota rápida sobre la unidad D: encriptada (unidad secundaria):

Tenga mucho cuidado cuando Windows 10 se inicie y la unidad C: todavía no esté encriptada. La unidad D: no se monta automáticamente en el inicio en este escenario. Si hace doble clic en la unidad D:, Windows no la reconocerá y le ofrecerá formatearla. Para montar la unidad, debe abrir DiskCryptor, elegir la unidad D:, hacer clic en [Montar] e ingresar la contraseña.

Windows no formateó automáticamente mi unidad secundaria, pero habría sido muy fácil para mí hacerlo accidentalmente. ¡Proceda con cuidado!

mwolfe02
fuente
"Normalmente esto no es necesario". - En realidad normalmente lo es. Lo que se describe normalmente es lo que sucede, al menos es lo que sucede, desde Windows 8.1 y Windows 8.1 Update 1. Lo que creo que el autor de esa declaración significa es, actualizaciones que no cambian el núcleo, si ese es el caso entonces y solo entonces estaría de acuerdo con esa afirmación. Antes de darme cuenta de esta respuesta, iba a preguntar: "usted descifró la unidad antes de intentar la actualización", resultó que esta habría sido la solución.
Ramhound
Vale la pena señalarlo. Cualquier "actualización" a Windows que cambie el número de compilación mayor o menor probablemente requerirá que este procedimiento suceda, al menos hasta que, estas soluciones alternativas de FDE admitan GPT y, por lo tanto, UEFI. Tampoco diría que es un problema con FDE, pero las soluciones heredadas de FDE son el problema.
Ramhound
Esa NOTA en la última parte es particularmente preocupante para mí. Tengo un disco duro secundario que también está encriptado. Parece que debería desconectar físicamente el cable de la unidad antes de descifrar la unidad del sistema y aplicar la actualización. De lo contrario, corro el riesgo de que Windows formatee la unidad secundaria encriptada y pierda todos los datos que contiene. ¿Está bien?
mwolfe02
Permítanme presentar mi respuesta con, debe tener una copia de seguridad de los datos, pero no estoy de acuerdo con esa parte del comentario.
Ramhound
3
Esto es muy molesto para decir lo menos, pero me alegro que envió así que no perdí horas de mi tiempo tratando de ver si había roto algo
munrobasher
1

Me doy cuenta de que este hilo es un poco viejo, pero por el bien de los buscadores ... La presencia de DiskCryptor impide las actualizaciones de Windows (10) 1709 (al menos) sin que se informe ningún error relacionado específico: solo pantalla azul al final y reinstalar viejo versión ... no importa si las unidades DiskCryptor están realmente montadas o no.

La solución simple es desinstalar DiskCryptor, ejecutar las actualizaciones y reinstalar, funcionó para mí después de muchos días de investigar por qué mis sistemas no se actualizaban.

Pero después de instalar la actualización, al menos con la actualización de Creators, el comportamiento de las unidades montadas ha cambiado. Los volúmenes montados ya no se desmontan cuando se cierra Windows. De hecho, parece que DiskCryptor previene el apagado de Windows si se montan unidades de DiskCryptor, y la estación se queda en reposo (lo que si no está atento, puede que no se note): al despertar, ¡todas las unidades todavía están montadas! Probé esto en dos computadoras portátiles Lenovo con Win 10 home y 1 computadora de escritorio con Win 10 Enterprise, sin diferencias. Espero que esto ayude a alguien y espero que Windows corrija esto rápidamente, a menos que la intención sea forzar el movimiento a BitLocker :( por cierto, este nuevo comportamiento no estaba presente cuando lo probé con TrueCrypt. Las unidades se desmontan automáticamente al apagarse.

GenAdmin
fuente
-1

Encontré otro problema con DiscCryptor y el disco GPT.

Tengo múltiples Windows 32 Bits (todas las versiones de inicio de Vista a 10) en el mismo disco GPT (el único presente, es una computadora portátil solo con BIOS, sin U-EFI); sí y sí, es solo BIOS y el disco es GPT con más de 4 particiones primarias, todas las particiones son GPT, excepto un pequeño GrubBIOS RAW de 8MiB para Grub2 core.img ... y sí, sí, Windows 32 Bits; recuerde que Windows no arranca desde ningún disco que no sea MBR, no me gusta Hybrid GPT + MBR, prefiero archivos pequeños Grub2 + MemDisk + VHD (32MiB o menos).

Mi disco es 100% GPT, tiene una partición GPT NTFS para cada Windows para el sistema (donde está la carpeta WINDOWS, pero el código de arranque NT60 y BCD no están allí), también tiene una partición NTFS adicional para archivos Grub2 & MemDisk y VHD (de lo contrario, las ventanas de 32 Bits no podrán iniciarse desde un disco GPT, es decir, 32 bits en el disco BIOS + GPT); que los archivos VHD son de tamaño fijo (solo para permitir que memdisk los emule en ram) y que internamente tengan un disco MBR con solo una partición NTFS de 32MiB donde está el código de arranque NT60 y el BCD para ese Windows específico; Un VHD por Windows.

Esta es una muestra (todas las ventanas son versiones de 32 bits y Home, no Pro, no Enterprise, no Server, material 100% legal) en el disco GPT. Realizo pruebas en:

  • 1er sector = código de arranque Grub2 + protección GPT
  • GPT1 = 8MiB RAW GrubBIOS (donde Grub2 puso core.img en RAW)
  • GPT2 = 1GiB NTFS para archivos Grub2 + MemDisk + archivos VHD
  • GPT3 = NTFS para el sistema Windows Vista SP2 de 32 bits (carpeta de Windows, etc.)
  • GPT4 = NTFS para el sistema Windows 7 SP1 de 32 bits (carpeta de Windows, etc.)
  • GPT5 = NTFS para el sistema Windows 8 de 32 bits (carpeta de Windows, etc.)
  • GPT6 = NTFS para el sistema Windows 8.1 de 32 bits (carpeta de Windows, etc.)
  • GPT7 = NTFS para el sistema Windows 10 de 32 bits (carpeta de Windows, etc.)
  • GPT ... y así sucesivamente ...

Cada VHD está alrededor de un disco MBR virtual de 32MiB, así:

  • 1er sector = código de arranque Nt60 + tabla de particiones MBR
  • MBR.1 = NTFS primario 32MiB (donde está el material BCD)
  • MBR.2 = -empty-
  • MBR.3 = -empty-
  • MBR.4 = -empty-

Un archivo VHD por cada ventana (para aislar cargadores de arranque y BCD).

Si quiero poner todo eso en un MBR (está limitado a 3 primarios + 1 extendido) solo puedo poner 3 Windows (Grub2 puede estar en una lógica dentro del extendido), esos 3 primarios serán los que tienen cada uno Material BCD (aislando BCD de cada ventana) ... si permito todos los BCD de Windows en la misma partición, puedo poner tantas ventanas como quiera, pero todas compartirán el BCD, por lo que el menú de inicio será el que se presente por ventanas, no se aislarán, una falla en uno de ellos tocando tal BCD arruinará el arranque de todo el resto, etc., sin mencionar que también quiero cifrado.

Con esos archivos GPT + Grub2 + MemDisk + VHD que obtengo lo que quiero (excepto la encriptación), aisla al 100% cada Windows del resto de Windows.

Quiero un BIOS y no U-EFI por tres razones principales:

  1. Quiero que se cifre el 100% del HDD (excepto el primer sector, la tabla GPT y la segunda copia de la tabla GPT al final del disco) ... todavía estoy trabajando en cómo cifrar esa partición que uso para los archivos Grub2 + MemDisk + VHD ... había considerado crear una partición adicional para cada archivo VHD ... para que una se encripte como el sistema y luego Grub2 una con LUKs (usando el parámetro de módulos al hacer la instalación de grub2).
  2. Mi laptop no tiene U-EFI, es solo BIOS
  3. Mi HDD es más grande que 2TiB (MBR solo permite usar hasta 2TiB, el resto se pierde)

Volviendo al problema con DiskCryptor, si cifro la partición GPT de Windows arrancada (donde está la carpeta WINDOWS), coloco el código de arranque en el otro disco MBR virtual (que está dentro del archivo VHD), después de arrancar, solicita la contraseña pero siempre muestra el error de 'contraseña inválida'.

Pero si no cifro la partición GPT de Windows arrancada (donde está la carpeta WINDOWS), y solo encripto la partición donde está BCD (la que está dentro del disco MBR virtual que está dentro del archivo VHD), en el arranque solicita la contraseña y si es correcto, inicia Windows perfectamente (excepto que no monta automáticamente la partición de disco virtual del BCD, debo montarlo manualmente ... debo ver si lo consigo para montar automáticamente), pero Windows funciona muy bien.

Y si los cifro a ambos (con la misma contraseña), se carga Windows bootmbr pero dice que winload.exe no se puede encontrar en un fondo azul con pantalla gráfica de texto en blanco.

Cuando solo cifro la parte MBR, el no montaje automático puede ser causado porque el archivo VHD no está conectado lo suficientemente temprano ... tal vez el almacenamiento en caché de la contraseña y la ejecución de DisckCryptor en el inicio de sesión pueden resolver eso ya que la conexión VHD se realiza en un programa de tareas antes del inicio de sesión ... Debo probar eso si tengo tiempo.

Parece que tiene "Sistema reservado" o como quiera llamarlo (donde está el código de arranque NT60 y el material BCD) en un disco diferente no es compatible con DiskCryptor, o al menos no si Windows 32Bits está en la partición GPT (donde la carpeta WINDOWS es) ... ya que tener ese MBR virtual encriptado funciona bien, pero tener la partición GPT encriptada causa diferentes tipos de errores.

Volveré a probar muchas más opciones, como crear un ISO y arrancar con eso, etc.

Gracias, he multiplicado Windows, arranqué con otro, instalé DiskCryptor, reinicié e intenté montar el GPT, se monta bien, así que lo descifré y solucioné el gran problema de no poder arrancar ese, hasta que encuentre una solución que haré más pruebas en una máquina VirtualBOX, antes de volver a liderar con mi computadora portátil ... desearía que DiskCryptor me hubiera advertido antes de hacerlo ... pero al menos sé lo que estoy haciendo y sé arrancar desde el otras ventanas que puedo descifrar, también tengo Clone BackUp, etc.

¡Tal vez extraño algo! Tal vez no entiendo completamente cómo arrancar o dónde colocar el cargador de arranque DiskCryptor, cómo configurarlo, etc.

Tenga en cuenta que quiero más de 4 bits diferentes de Windows Home 32 en el mismo disco GPT, los quiero 100% aislados, incluidos los códigos de arranque, BCD y esas cosas ... que no tienen otra opción ... GPT en obligatorio. .. también los quiero encriptados con diferentes contraseñas, no solo el sistema (donde está la carpeta de Windows), también la partición de arranque (donde está BCD), el encriptado Grub2 es fácil para mí para que no lo complique, no lo uso cifrado hasta que encuentre una solución que funcione.

Pensé que proteger la partición de arranque (donde está BCD) sería mucho más difícil que el sistema (donde está la carpeta WINDOWS), pero encontré justo lo contrario.

Debo probar, probar y probar ... puede ser que encontré una manera.

Sí, en caso de que alguien esté pensando en ellos, probé TrueCrypt y VeraCrypt, ambos tienen mayores problemas, TrueCrypt no permite la inscripción del sistema GPT y VeraCrypt asume que el disco GPT es solo para U-EFI, por lo que falla al intentar hacer una copia de seguridad de U-EFI cosas, no importa si pongo una partición EFI, ya que la máquina no tiene vars EFI (solo BIOS, no U-EFI) falla.

El arranque (sin cifrado) va de esta manera, encendido, BIOS ejecutado, BIOS lee el disco en primer sector, encuentra un código de cargador de arranque Grub2, ejecútalo, lee RAW GrubBIOS (core.img) y ejecútalo, Grub2 hace sus cosas (lee grub .cfg) y mostrar el menú, elijo el sistema que quiero arrancar, Grub2 luego carga memdisk y coloca en el disco duro virtual la imagen VHD correspondiente y salta a ella, el código en el MBR se ejecuta (código NT60 ), luego bootmgr se carga y ejecuta, luego winload.exe, etc ... inicio normal de Windows ... luego se inicia mi tarea Programar en la cuenta SYSTEM, ese mismo VHD está conectado, ahora se puede acceder al BCD, iniciar sesión aparece el mensaje, elijo usuario, etc ... las ventanas normales continúan ... el escritorio aparece.

Todo el arranque se realiza desde el mismo HDD, está en estilo GPT, el truco es que antes de arrancar Windows monto (con Grub2 + memdisk + archivo VHD) un disco MBR virtual donde están el código de arranque nt60 y BCD, de esa manera Windows Realmente arranca de lo que sabe, un disco MBR, pero es virtual almacenado en un archivo, almacenado en una partición GPT, el otro buen truco es gracias a Grub2 que permite arrancar desde el disco GPT en una PC BIOS solamente.

Espero que alguien pueda reproducir mi procedimiento de arranque y probar DiskCryptor. También espero que algún día VeraCrypt no asuma GPT = U-EFI.

Para crear el VHD utilicé DiskPart desde Windows; también se puede crear, montar, acceder, etc. después de arrancar desde Windows Install Media e ir a una consola (Shif + F10 después de seleccionar el idioma) y usar DiskPart.

Gracias DiskCryptor, estoy un poco cerca de lo que quiero, pero todavía no estoy allí, solo un paso más ... ¡arranque Windows!

La siguiente parte será montar DiskCryptor desde un SystemRescueCD (una distribución Linux Live), pero esa será una historia realmente difícil que sea posible.

Laura
fuente
Esto realmente no responde a la pregunta del autor.
Ramhound
Esta no es una respuesta a la pregunta original. Si tiene una nueva pregunta, haga su propia pregunta (haciendo referencia a esta para el contexto si le ayuda).
DavidPostill