Windows 10 Update 1511 schlägt mit der DiskCryptor-Verschlüsselung der gesamten Festplatte fehl

10

Ich verwende Windows 10 mit DiskCryptor-Verschlüsselung für die gesamte Festplatte auf dem Systemlaufwerk. Das neueste Windows 10-Update kann nicht installiert werden. Wenn ich das System neu starte, um das Update zu installieren, wird die folgende Abfolge von Ereignissen angezeigt:

  • Ich gebe mein DiskCryptor-Passwort ein, das die Festplatte entsperrt
  • Windows Update fragt nach dem Tastaturlayout
  • Windows Update schlägt dann kurz darauf fehl

Wenn ich den Prozess weit genug durchschiebe, erhalte ich eine Meldung, die angibt, dass er nicht fortgesetzt werden kann, weil eine Datei (oder Dateien) gesperrt ist.

Mein Kollege verwendet DiskCryptor auch auf seinem Systemlaufwerk und hat eine identische Erfahrung gemacht.

So:

  • Ist dies ein bekanntes Problem bei der Verschlüsselung der gesamten Festplatte im Allgemeinen?
  • Ist dies speziell ein Problem mit DiskCryptor?
  • Wenn ja, handelt es sich um einen Fehler, den MS behebt, oder ist eine Problemumgehung erforderlich?
mwolfe02
quelle
1
Beachten Sie, dass DiskCryptor nicht behauptet, mit Windows 10 kompatibel zu sein: diskcryptor.net/wiki/Main_Page
ChrisInEdmonton
1
Meinetwegen. Und ich beschwere mich nicht und erwarte keine Unterstützung, ich hoffe nur, dass es da draußen eine Antwort gibt;).
mwolfe02
Dies ist auch bei Windows 10 und Truecrypt der Fall. Ich hoffe, dieser Kommentar kann Menschen mit diesem Problem helfen, die Lösung zu finden (@ mwolfe02 Antwort). Ich war mit dem Problem verloren, bis ich diese Frage sehe, und da ich in der Vergangenheit Diskcryptor verwendet habe, habe ich beschlossen, es zu überprüfen und die Antwort zu finden.
Cablop

Antworten:

9

Dies scheint im Allgemeinen ein Problem mit der Full Disk Encryption-Software zu sein (mit der vermuteten Ausnahme von MSs eigenem BitLocker). Vom VeraCrypt-Koordinator selbst:

Windows 10 Version 1511, Build 10586-Update schlägt fehl

TrueCrypt hätte das gleiche Problem gehabt. Es ist dieses spezielle Windows-Update, das Filtertreiber zu deaktivieren scheint, die für die direkte Verschlüsselung verwendet werden. Wenn Windows mit TrueCrypt verschlüsselt worden wäre, wäre es ebenfalls fehlgeschlagen. Es gibt nichts Magisches im TrueCrypt-Treiber, das dies verhindert hätte.

Microsoft macht im Update-Installationsprogramm etwas Böses. Der VeraCrypt-Treiber funktioniert wie erwartet, wird jedoch von diesem Installationsprogramm während der Aktualisierung des Systems deutlich blockiert. Auf diese Weise bricht Microsoft andere FDE-Software als die von Bitlocker und Microsoft-Partnern.

Wie kann ich dies am besten an Microsoft melden? Offensichtlich fehlt es uns bei VeraCrypt an Personal, um eine solche tiefgreifende Kernelblockierung durch das Update-Installationsprogramm weiter zu untersuchen.

Die Problemumgehung wird in einem separaten Forumsbeitrag beschrieben :

Sie müssen die Systemverschlüsselung entschlüsseln, bevor Sie Betriebssystem-Upgrades durchführen.

Für das Windows 10 November-Update muss das Betriebssystem entschlüsselt werden, damit das Windows 10 1511-Update angewendet werden kann. Normalerweise ist dies nicht erforderlich.

HINWEIS : Deaktivieren und trennen Sie alle externen verschlüsselten Volumes, die an Ihren PC angeschlossen sind, bevor Sie mit dem Betriebssystem-Upgrade beginnen. Ich habe in der Vergangenheit gesehen, dass sich Benutzer beschwert haben, dass das Windows-Betriebssystem-Upgrade das verschlüsselte Laufwerk / die verschlüsselte Partition als RAW-Format ansieht, und Windows versucht, zu hilfreich zu sein, indem die Partition automatisch schnell formatiert und ein Laufwerksbuchstabe zugewiesen wird, damit sie von Windows verwendet werden kann.


UPDATE: Um die Schleife zu schließen, habe ich die folgenden Schritte ohne negative Auswirkungen ausgeführt. Wie immer zuerst sichern !! Ich brauchte mein Backup nicht, aber ich kann nicht garantieren, dass Sie Ihr Backup nicht brauchen;).

  1. Entschlüsseln Sie das Systemlaufwerk (höchstwahrscheinlich C :)
    • Ich habe eine sekundäre Festplatte (D :)
    • Dieses D: -Laufwerk wurde ebenfalls verschlüsselt
    • Ich habe mein D: -Laufwerk nicht entschlüsselt
  2. Wenden Sie das Windows-Update an
    • Der DiskCryptor-Bootloader forderte mich bei jedem Neustart zur Eingabe eines Kennworts auf
    • Ich habe gerade [Enter] ohne Passwort gedrückt und der Computer wurde gestartet
  3. Verschlüsseln Sie das Systemlaufwerk erneut

Kurzer Hinweis zum verschlüsselten Laufwerk D: (sekundäres Laufwerk):

Seien Sie sehr vorsichtig, wenn Windows 10 gestartet wird und das Laufwerk C: noch unverschlüsselt ist. Das Laufwerk D: wird in diesem Szenario beim Start nicht automatisch gemountet. Wenn Sie auf das Laufwerk D: doppelklicken, erkennt Windows es nicht und bietet an, es für Sie zu formatieren. Um das Laufwerk bereitzustellen, müssen Sie DiskCryptor öffnen, das Laufwerk D: auswählen, auf [Bereitstellen] klicken und das Kennwort eingeben.

Windows hat mein sekundäres Laufwerk nicht automatisch formatiert, aber es wäre für mich sehr einfach gewesen, es versehentlich zu tun. Gehen Sie vorsichtig vor!

mwolfe02
quelle
"Normalerweise ist das nicht nötig." - Eigentlich ist es normalerweise so. Was normalerweise beschrieben wird, ist das, was passiert, zumindest ist es das, was seit Windows 8.1 und Windows 8.1 Update 1 passiert. Ich denke, der Autor dieser Anweisung bedeutet, dass Updates den Kernel nicht ändern, wenn dies der Fall ist dann und nur dann würde ich dieser Aussage zustimmen. Bevor ich diese Antwort bemerkte, wollte ich fragen: "Sie haben das Laufwerk entschlüsselt, bevor Sie das Upgrade versucht haben." Es stellte sich heraus, dass dies die Lösung gewesen wäre.
Ramhound
Es ist erwähnenswert. Jedes "Update" auf Windows, bei dem die Haupt- oder Neben-Build-Nummer mehr als wahrscheinlich geändert wird, erfordert dieses Verfahren, zumindest bis diese alternativen FDE-Lösungen GPT und damit UEFI unterstützen. Ich würde auch nicht sagen, dass es ein Problem mit FDE ist, aber ältere FDE-Lösungen, das ist das Problem.
Ramhound
Dieser HINWEIS im letzten Teil ist für mich besonders beunruhigend. Ich habe eine sekundäre Festplatte, die ebenfalls verschlüsselt ist. Es scheint, dass ich das Kabel des Laufwerks physisch abziehen sollte, bevor ich das Systemlaufwerk entschlüssele und das Update anwende. Andernfalls besteht das Risiko, dass Windows das sekundär verschlüsselte Laufwerk formatiert und alle Daten darauf verliert. Ist das richtig?
mwolfe02
Lassen Sie mich meine Antwort vorwegnehmen, Sie sollten eine Sicherungskopie der Daten haben, aber ich stimme diesem Teil des Kommentars nicht zu.
Ramhound
3
Das ist, gelinde gesagt, sehr ärgerlich, aber ich bin froh, dass Sie gepostet haben, damit ich nicht Stunden meiner Zeit damit verschwendete, zu sehen, ob ich etwas kaputt gemacht habe
Munrobasher
1

Mir ist klar, dass dieser Thread ein wenig alt ist, aber der Suche zuliebe ... Das Vorhandensein von DiskCryptor verhindert, dass Windows (10) 1709 (mindestens) aktualisiert wird, ohne dass bestimmte verwandte Fehler gemeldet werden - nur ein blauer Bildschirm am Ende, und installieren Sie alt neu version ... spielt keine Rolle, ob DiskCryptor-Laufwerke tatsächlich gemountet sind oder nicht.

Eine einfache Lösung besteht darin, DiskCryptor zu deinstallieren, die Updates auszuführen und neu zu installieren. Dies hat für mich funktioniert, nachdem ich viele Tage lang untersucht hatte, warum meine Systeme nicht aktualisiert wurden.

Nach der Installation des Updates hat sich jedoch zumindest mit dem Creators-Update das Verhalten der bereitgestellten Laufwerke geändert. Bereitgestellte Volumes werden beim Herunterfahren von Windows nicht mehr bereitgestellt. Tatsächlich scheint DiskCryptor ein Herunterfahren von Windows zu verhindern, wenn DiskCryptor-Laufwerke gemountet sind und die Station nur in den Ruhezustand wechselt (was, wenn Sie nicht aufmerksam sind, möglicherweise nicht bemerkt wird) - beim Aufwachen sind alle Laufwerke noch gemountet! Ich habe dies auf zwei Lenovo Laptops mit Win 10 Home und einem Desktop mit Win 10 Enterprise getestet - kein Unterschied. Ich hoffe, dies hilft jemandem und ich hoffe, dass Windows dies schnell korrigiert - es sei denn, die Absicht ist, die Umstellung auf BitLocker zu erzwingen: (Übrigens war dieses neue Verhalten nicht vorhanden, als ich es mit TrueCrypt getestet habe. Laufwerke werden beim Herunterfahren automatisch demontiert.

GenAdmin
quelle
-1

Ich hatte ein anderes Problem mit DiscCryptor und GPT-Festplatte gefunden.

Ich habe mehrere Windows 32-Bits (alle Home-Versionen von Vista bis 10) auf derselben GPT-Festplatte (die einzige ist vorhanden, es handelt sich um einen Laptop nur mit BIOS, ohne U-EFI). Ja und Ja, es ist nur BIOS und die Festplatte ist GPT mit mehr als 4 primären Partitionen. Alle Partitionen sind GPT, mit Ausnahme eines kleinen 8-MB-RAW-GrubBIOS für Grub2 core.img. Und ja, ja, Windows 32-Bits. Denken Sie daran, Windows bootet nicht von einer Festplatte, die nicht MBR ist. Ich mag Hybrid GPT + MBR nicht. Ich bevorzuge kleine Grub2 + MemDisk + VHD-Dateien (32 MB oder weniger).

Meine Festplatte ist zu 100% GPT, hat eine GPT-NTFS-Partition für jedes Windows für das System (wo sich der WINDOWS-Ordner befindet, aber der NT60-Startcode und BCD nicht vorhanden sind), und es gibt auch eine zusätzliche NTFS-Partition für Grub2-, MemDisk- und VHD-Dateien (Andernfalls können 32-Bit-Fenster nicht von einer GPT-Festplatte gebootet werden, auch bekannt als 32-Bit-BIOS + GPT-Festplatte.) dass VHD-Dateien eine feste Größe haben (nur damit memdisk sie auf dem RAM emulieren kann) und intern eine MBR-Festplatte mit nur einer 32-MB-NTFS-Partition haben, auf der sich der NT60-Startcode und der BCD für dieses bestimmte Windows befinden; eine VHD pro Windows.

Dies ist ein Beispiel (alle Fenster sind 32-Bit- und Home-Versionen, kein Pro, kein Enterprise, kein Server, 100% legale Inhalte) auf der GPT-Festplatte, auf der ich Tests durchführe:

  • 1. Sektor = Grub2-Bootcode + GPT-Schutz
  • GPT1 = 8 MB RAW GrubBIOS (wobei Grub2 core.img in RAW einfügt)
  • GPT2 = 1 GB NTFS für Grub2-Dateien + MemDisk + VHD-Dateien
  • GPT3 = NTFS für 32-Bit-Windows Vista SP2-System (Windows-Ordner usw.)
  • GPT4 = NTFS für 32-Bit-Windows 7 SP1-System (Windows-Ordner usw.)
  • GPT5 = NTFS für 32-Bit-Windows 8-System (Windows-Ordner usw.)
  • GPT6 = NTFS für 32-Bit-Windows 8.1-System (Windows-Ordner usw.)
  • GPT7 = NTFS für 32-Bit-Windows 10-System (Windows-Ordner usw.)
  • GPT ... und so weiter ...

Jede virtuelle Festplatte befindet sich auf einer virtuellen 32-MB-MBR-Festplatte wie folgt:

  • 1. Sektor = Nt60-Bootcode + MBR-Partitionstabelle
  • MBR.1 = Primäres NTFS 32MiB (wo sich BCD-Zeug befindet)
  • MBR.2 = -leer-
  • MBR.3 = -leer-
  • MBR.4 = -leer-

Eine VHD-Datei pro Fenster (um Bootloader und BCD zu isolieren).

Wenn ich all das auf einen MBR setzen möchte (es ist auf 3 primäre + 1 erweiterte beschränkt), kann ich nur 3 Windows (Grub2 kann sich auf einem logischen innerhalb des erweiterten befinden), dass 3 primäre diejenigen sind, die jeweils haben BCD-Zeug (Isolieren von BCDs jedes Fensters) ... Wenn ich alle Windows-BCDs auf derselben Partition zulasse, kann ich so viele Windows-Dateien wie ich möchte, aber alle teilen sich die BCD, sodass das Startmenü das angezeigte ist Durch Fenster werden sie nicht isoliert, ein Fehler bei einem von ihnen, der ein solches BCD berührt, ruiniert den Boot aller anderen usw., ganz zu schweigen davon, dass ich auch Verschlüsselung möchte.

Mit diesen GPT + Grub2 + MemDisk + VHD-Dateien, die ich bekomme (außer Encyption), isoliere ich jedes Windows zu 100% vom Rest von Windows.

Ich möchte aus drei Hauptgründen ein BIOS und kein U-EFI:

  1. Ich möchte, dass 100% der Festplatte (mit Ausnahme des ersten Sektors, der GPT-Tabelle und der zweiten Kopie der GPT-Tabelle am Ende der Festplatte) verschlüsselt wird. Ich arbeite weiterhin daran, wie die Partition verschlüsselt wird, die ich für Grub2 + MemDisk + VHD-Dateien verwende ... Ich hatte überlegt, eine zusätzliche Partition für jede VHD-Datei zu erstellen, damit eine so verschlüsselt wird, wie das System ist, und dann eine mit LUKs (unter Verwendung des Moduls-Parameters bei der Grub2-Installation).
  2. Mein Laptop hat kein U-EFI, es ist nur BIOS
  3. Meine Festplatte ist größer als 2 TB (MBR erlaubt nur die Verwendung von bis zu 2 TB, der Rest geht verloren)

Zurück zum Problem mit DiskCryptor: Wenn ich die gestartete Windows GPT-Partition verschlüssele (wo sich der WINDOWS-Ordner befindet), geben Sie den Startcode auf die andere virtuelle MBR-Festplatte (die sich in der VHD-Datei befindet). Nach dem Booten werden Sie nach dem Kennwort gefragt, aber danach zeigt immer den Fehler 'ungültiges Passwort' an.

Aber wenn ich die gestartete Windows GPT-Partition (wo sich der WINDOWS-Ordner befindet) nicht verschlüssele und nur die Partition verschlüssle, auf der sich BCD befindet (die sich auf der virtuellen MBR-Festplatte befindet, die sich in der VHD-Datei befindet), fragt sie beim Booten nach dem Kennwort und wenn es richtig ist, bootet es Windows perfekt (außer dass es die Partition der virtuellen Festplatte des BCD nicht automatisch bereitstellt, ich muss es manuell bereitstellen ... muss sehen, ob ich es automatisch bereitstellen kann), aber Windows funktioniert großartig.

Und wenn ich beide verschlüssele (mit dem gleichen Passwort), dann lädt Windows bootmbr, aber es sagt, dass winload.exe nicht in einem blauen Hintergrund mit weißem Text grafischen Bildschirm gefunden werden kann.

Wenn ich nur den MBR-Teil verschlüssele, kann dies daran liegen, dass die VHD-Datei nicht früh genug verbunden ist. Möglicherweise kann das Zwischenspeichern des Kennworts und das Ausführen von DisckCryptor bei der Anmeldung das Problem lösen, da die VHD-Verbindung in einem Task-Zeitplan vor der Anmeldung ausgeführt wird. Ich muss das testen, wenn ich Zeit habe.

Es scheint, als ob "System reserviert" oder wie auch immer Sie es aufrufen möchten (wo sich NT60-Bootcode und BCD-Zeug befinden) auf einer anderen Festplatte von DiskCryptor nicht unterstützt wird, oder zumindest nicht, wenn sich Windows 32Bits auf einer GPT-Partition befindet (wo sich der Ordner WINDOWS befindet) ist) .... da die Verschlüsselung des virtuellen MBR gut funktioniert, die Verschlüsselung der GPT-Partition jedoch andere Fehler verursacht!

Ich werde noch viel mehr Optionen ausprobieren, wie das Erstellen einer ISO und das Booten damit usw.

Dank ich habe Windows multipliziert, ich habe mit einem anderen gebootet, DiskCryptor installiert, neu gestartet und versucht, das GPT zu mounten, es wird in Ordnung gemountet, also entschlüssele ich es und behebe das große Problem, dass ich nicht in der Lage war, dieses zu booten, bis ich es finde Eine Lösung, die ich mehr auf einem VirtualBOX-Computer testen werde, bevor ich wieder mit meinem Laptop führe ... Ich wünschte, DiskCryptor hätte mich davor gewarnt ... aber zumindest weiß ich, was ich tue und ich weiß, wie ich von dort aus boote andere Windows kann ich entschlüsseln, auch ich habe Clone BackUp, etc.

Vielleicht vermisse ich etwas! Vielleicht verstehe ich nicht ganz, wie man bootet oder wo man den DiskCryptor-Bootloader platziert, wie man ihn konfiguriert usw.

Bitte denken Sie daran, dass ich mehr als 4 verschiedene Windows Home 32-Bits auf derselben GPT-Festplatte haben möchte. Ich möchte, dass sie zu 100% isoliert sind, einschließlich Boot-Codes, BCD und dergleichen. Dies macht keine andere Option. GPT ist obligatorisch. Ich möchte auch, dass sie mit verschiedenen Passwörtern verschlüsselt werden, nicht nur mit dem System (wo sich der Windows-Ordner befindet), sondern auch mit der Boot-Partition (wo sich BCD befindet). Die Verschlüsselung Grub2 ist für mich einfach, um die Sache nicht komplex zu machen. Ich benutze sie nicht verschlüsselt, bis ich eine funktionierende Lösung finde.

Ich dachte, der Schutz der Boot-Partition (wo sich BCD befindet) wäre viel schwieriger als das System selbst (wo sich der WINDOWS-Ordner befindet), aber ich fand nur das Gegenteil.

Ich muss testen, testen und testen ... vielleicht habe ich einen Weg gefunden.

Ja, falls jemand über sie nachdenkt, habe ich TrueCrypt und VeraCrypt ausprobiert. Beide haben größere Probleme. TrueCrypt erlaubt keine GPT-Systembeschreibung und VeraCrypt geht davon aus, dass die GPT-Festplatte nur für U-EFI bestimmt ist. Daher schlägt dies fehl, wenn versucht wird, U-EFI zu sichern Zeug, egal ob ich eine EFI-Partition platziere, da der Computer keine EFI-Variablen hat (nur BIOS, kein U-EFI), schlägt dies fehl.

Der Start (ohne Verschlüsselung) erfolgt auf diese Weise: Einschalten, BIOS ausführen, BIOS den ersten Sektor der Festplatte lesen, einen Grub2-Bootloader-Code suchen, ausführen, RAW GrubBIOS (core.img) lesen und ausführen, Grub2 erledigt seine Aufgaben (grub lesen) .cfg-Datei) und zeige das Menü, ich wähle, welches System ich booten möchte, Grub2 lädt dann memdisk und lege das entsprechende VHD-Image auf die virtuelle Festplatte und springe darauf, der Code auf dem MBR davon wird ausgeführt (NT60-Code ), dann wird bootmgr geladen und ausgeführt, dann winload.exe, etc ... normaler Windows-Start ... dann wird meine Schedule-Task auf dem SYSTEM-Konto gestartet, dieselbe VHD ist verbunden, jetzt kann auf die BCD zugegriffen werden, Anmeldung Eingabeaufforderung erscheint, ich wähle Benutzer, etc ... normale Fenster fahren fort ... Desktop erscheint.

Der gesamte Start erfolgt von derselben Festplatte im GPT-Stil. Der Trick besteht darin, dass ich vor dem Start von Windows (mit Grub2 + memdisk + VHD-Datei) eine virtuelle MBR-Festplatte mounte, auf der sich der nt60-Startcode und die BCD befinden, also Windows bootet wirklich von dem, was es weiß, einer MBR-Festplatte, aber es ist eine virtuelle, die in einer Datei gespeichert ist, die in einer GPT-Partition gespeichert ist. Der andere gute Trick ist Grub2, das das Booten von der GPT-Festplatte auf einem Nur-BIOS-PC ermöglicht.

Hoffe, jemand kann meine Startprozedur reproduzieren und DiskCryptor testen. Hoffe auch, dass VeraCrypt eines Tages GPT = U-EFI nicht annehmen wird.

Um die VHD zu erstellen, habe ich DiskPart unter Windows verwendet. Es kann auch nach dem Booten von Windows Install Media und dem Aufrufen einer Konsole (Shif + F10 nach Auswahl der Sprache) und mit DiskPart erstellt, bereitgestellt, aufgerufen usw. werden.

Dank DiskCryptor bin ich ein bisschen in der Nähe von dem, was ich will, aber immer noch nicht da, nur ein kleiner Schritt mehr ... Windows starten!

Der nächste Teil wird das Mounten von DiskCryptor von einer SystemRescueCD (einer Linux Live-Distribution) sein, aber das wird eine wirklich schwierige Geschichte, die möglich ist.

Laura
quelle
Dies beantwortet die Frage des Autors nicht wirklich.
Ramhound
Dies ist keine Antwort auf die ursprüngliche Frage. Wenn Sie eine neue Frage haben, stellen Sie bitte Ihre eigene Frage (beziehen Sie sich auf diese Frage, wenn dies hilfreich ist).
DavidPostill