Windows 10 Update 1511 falla con el cifrado de disco completo de DiskCryptor

Esto parece ser un problema con el software Full Disk Encryption en general (con la presumible excepción del propio BitLocker de MS). Del propio coordinador de VeraCrypt:

Windows 10 versión 1511, falla en la actualización de la compilación 10586

TrueCrypt habría tenido el mismo problema. Es esta actualización específica de Windows la que parece deshabilitar los controladores de filtro utilizados para el cifrado sobre la marcha y si Windows estuviera cifrado con TrueCrypt, también habría fallado. No hay nada mágico en el controlador TrueCrypt que hubiera evitado esto.

Microsoft está haciendo algo desagradable en el instalador de actualizaciones. El controlador VeraCrypt funciona como se esperaba, pero este instalador lo bloquea claramente durante el proceso de actualización del sistema. Al hacer esto, Microsoft está rompiendo el software FDE que no sea Bitlocker y los socios de Microsoft.

¿Cuál es la mejor manera de informar esto a Microsoft? Obviamente, en VeraCrypt, nos falta mano de obra para investigar más a fondo un bloqueo tan profundo del kernel por parte del instalador de actualizaciones.

La solución alternativa se describe en un documento separado.publicación en el foro:

Debe descifrar el cifrado del sistema antes de realizar cualquier actualización del sistema operativo.

Además, la actualización de noviembre de Windows 10 requiere descifrar el sistema operativo para poder aplicar la actualización 1511 de Windows 10. Normalmente esto no es necesario.

NOTA: Desmonte y desconecte todos los volúmenes cifrados externos conectados a su PC antes de comenzar la actualización del sistema operativo. He visto a usuarios quejarse en el pasado de que la actualización del sistema operativo Windows ve la unidad/partición cifrada como formato RAW y Windows intenta ser demasiado útil formateando automáticamente y rápidamente la partición y asignando una letra de unidad para que Windows pueda utilizarla.

---

ACTUALIZACIÓN: Sólo para cerrar el ciclo, realicé los siguientes pasos sin efectos nocivos. Como siempre,copia de seguridad primero!! No necesitaba mi copia de seguridad, pero no puedo garantizar que no necesites la tuya;).

1. Descifre la unidad del sistema (probablemente C:)
   • Tengo un disco duro secundario (D:)
   • Esta unidad D: también fue cifrada
   • No descifré mi unidad D:
2. Aplicar la actualización de Windows
   • El gestor de arranque DiskCryptor todavía me solicita una contraseña en cada reinicio
   • Simplemente presioné [Entrar] sin ninguna contraseña y la máquina arrancó
3. Vuelva a cifrar la unidad del sistema

Nota rápida sobre la unidad D: cifrada (unidad secundaria):

Tenga mucho cuidado cuando Windows 10 se inicie y la unidad C: aún no esté cifrada. La unidad D: no se monta automáticamente al inicio en este escenario. Si hace doble clic en la unidad D:, Windows no la reconocerá y le ofrecerá formatearla. Para montar la unidad, debe abrir DiskCryptor, elegir la unidad D:, hacer clic en [Montar] e ingresar la contraseña.

Windows no lo hizoautomáticamenteFormateo mi disco secundario, pero hubiera sido muy fácil para mí hacerlo accidentalmente. ¡Proceda con cuidado!

Me doy cuenta de que este hilo es un poco antiguo, pero por el bien de los buscadores... La presencia de DiskCryptor impide las actualizaciones de Windows (10) 1709 (al menos) sin que se informe ningún error relacionado específico: solo una pantalla azul al final y reinstale el antiguo. versión... no importa si las unidades DiskCryptor están realmente montadas o no.

La solución simple es desinstalar DiskCryptor, ejecutar las actualizaciones y reinstalar; funcionó para mí después de muchos días de investigar por qué mis sistemas no se actualizaban.

Pero después de instalar la actualización, al menos con la actualización Creators, el comportamiento de las unidades montadas ha cambiado. Los volúmenes montados ya no se desmontan al cerrar Windows. De hecho, parece que DiskCryptor evita que Windows se apague si hay unidades DiskCryptor montadas, y la estación simplemente entra en modo de suspensión (lo cual, si no está atento, puede que no se note): al despertar, ¡todas las unidades todavía están montadas! Probé esto en dos computadoras portátiles Lenovo con Win 10 Home y 1 computadora de escritorio con Win 10 Enterprise, sin diferencias. Espero que esto ayude a alguien y espero que Windows parchee esto rápidamente, a menos que la intención sea forzar el cambio a BitLocker :( por cierto, este nuevo comportamiento no estaba presente cuando lo probé con TrueCrypt. Las unidades se desmontan automáticamente al apagarlas.

Encontré otro problema con DiscCryptor y el disco GPT.

Tengo varios Windows de 32 bits (todas las versiones Home desde Vista a 10) en el mismo disco GPT (el único presente, es una computadora portátil solo con BIOS, sin U-EFI); sí y sí, es solo BIOS y el disco es GPT con más de 4 particiones primarias, todas las particiones son GPT, excepto una pequeña GrubBIOS RAW de 8MiB para Grub2 core.img... y sí, sí, Windows 32 Bits; Recuerde que Windows no arranca desde ningún disco que no sea MBR, no me gusta el híbrido GPT+MBR, prefiero archivos pequeños Grub2+MemDisk+VHD (32MiB o menos).

Mi disco es 100% GPT, tiene una partición GPT NTFS para cada Windows del sistema (donde está la carpeta WINDOWS, pero el código de arranque NT60 y BCD no están allí), también tiene una partición NTFS adicional para archivos Grub2, MemDisk y VHD. (de lo contrario, las ventanas de 32 bits no podrán iniciarse desde un disco GPT, también conocido como 32 bits en BIOS + disco GPT); que los archivos VHD tienen un tamaño fijo (solo para permitir que memdisk los emule en la RAM) e internamente tienen un disco MBR con solo una partición NTFS de 32 MiB donde está el código de arranque NT60 y el BCD para ese Windows específico; un VHD por Windows.

Esta es una muestra (todas las ventanas son de 32 bits y versiones Home, ni Pro, ni Enterprise, ni Server, 100% legales) en el disco GPT en el que hago pruebas:

• 1er sector = código de arranque Grub2 + protección GPT
• GPT1 = 8MiB RAW GrubBIOS (donde Grub2 puso core.img en RAW)
• GPT2 = 1GiB NTFS para archivos Grub2 + MemDisk + archivos VHD
• GPT3 = NTFS para sistema Windows Vista SP2 de 32 bits (carpeta de Windows, etc.)
• GPT4 = NTFS para sistema Windows 7 SP1 de 32 bits (carpeta de Windows, etc.)
• GPT5 = NTFS para sistema Windows 8 de 32 bits (carpeta de Windows, etc.)
• GPT6 = NTFS para sistema Windows 8.1 de 32 bits (carpeta de Windows, etc.)
• GPT7 = NTFS para sistema Windows 10 de 32 bits (carpeta de Windows, etc.)
• GPT... y así sucesivamente...

Cada VHD tiene alrededor de 32MiB de disco MBR virtual, como este:

• 1er sector = código de arranque Nt60 + tabla de particiones MBR
• MBR.1 = NTFS primario 32MiB (donde está el material BCD)
• MBR.2 = -vacío-
• MBR.3 = -vacío-
• MBR.4 = -vacío-

Un archivo VHD por cada ventana (para aislar los cargadores de arranque y BCD).

Si quiero poner todo eso en un MBR (está limitado a 3 primarios + 1 Extendido) solo puedo poner 3 Windows (Grub2 puede estar en un Lógico dentro del extendido), esos 3 primarios serán los que tengan cada uno Cosas de BCD (aislar los BCD de cada ventana)... si permito todos los BCD de Windows en la misma partición, puedo poner tantos Windows como quiera, pero todos compartirán el BCD, por lo que el menú de inicio será el que se presente. por Windows, no estarán aislados, una falla en uno de ellos al tocar dicho BCD arruinará el arranque de todos los demás, etc., sin mencionar que también quiero cifrado.

Con esos archivos GPT + Grub2 + MemDisk + VHD obtengo lo que quiero (excepto el cifrado), aíslo al 100% cada Windows del resto de Windows.

Quiero una BIOS y no una U-EFI por tres razones principales:

1. Quiero que el 100% del disco duro (excepto el primer sector, la tabla GPT y la segunda copia de la tabla GPT al final del disco) esté cifrado... sigo trabajando en cómo cifrar esa partición que uso para los archivos Grub2 + MemDisk + VHD. ... había considerado crear una partición adicional para cada archivo VHD... para que una se cifre como el sistema y luego Grub2 con LUK (usando el parámetro módulos al realizar la instalación de grub2).
2. Mi laptop no tiene U-EFI, es solo BIOS
3. Mi HDD tiene más de 2TiB (MBR solo permite usar hasta 2TiB, el resto se pierde)

Volviendo al problema con DiskCryptor, si cifro la partición GPT de Windows arrancada (donde está la carpeta WINDOWS), coloco el código de arranque en el otro disco MBR virtual (que está dentro del archivo VHD), después de arrancar me pide una contraseña, pero Siempre muestra el error de "contraseña no válida".

Pero si no cifro la partición GPT de Windows arrancada (donde está la carpeta WINDOWS), y solo cifro la partición donde está BCD (la que está dentro del disco MBR virtual que está dentro del archivo VHD), al arrancar me pide la contraseña. y si es correcto, arranca Windows perfectamente (excepto que no monta automáticamente la partición del disco virtual del BCD, debo montarla manualmente... debo ver si logro que se monte automáticamente), pero Windows funciona muy bien.

Y si los cifro a ambos (con la misma contraseña), entonces Windows bootmbr se carga pero indica que winload.exe no se puede encontrar en un fondo azul con una pantalla gráfica de texto blanco.

Cuando solo cifro la parte MBR, el montaje no automático puede deberse a que el archivo VHD no está conectado lo suficientemente temprano... tal vez almacenar en caché la contraseña y ejecutar DisckCryptor al iniciar sesión pueda resolverlo, ya que la conexión VHD se realiza en un programa de tareas antes de iniciar sesión... Debo probarlo si tengo tiempo.

Parece que DiskCryptor no admite tener "Sistema reservado" o como quiera llamarlo (donde está el código de arranque NT60 y el material BCD) en un disco diferente, o al menos no si Windows 32Bits está en la partición GPT (donde se encuentra la carpeta WINDOWS). es).... ya que tener ese MBR virtual cifrado funciona bien, ¡pero tener la partición GPT cifrada causa diferentes tipos de errores!

Volveré a probar muchas más opciones, como crear una ISO y arrancar con ella, etc.

Gracias, he multiplicado Windows, inicié con otro, instalé DiskCryptor, reinicié e intenté montar el GPT, se monta bien, así que lo descifro y soluciono el gran problema de no poder iniciar ese, hasta que encontré una solución. Haré más pruebas en una máquina VirtualBOX, antes de volver a usar mi computadora portátil... desearía que DiskCryptor me hubiera avisado antes de hacerlo... pero al menos sé lo que estoy haciendo y sé cómo arrancar desde el otras ventanas puedo descifrarlas, también tengo Clone BackUp, etc.

¡Quizás me pierda algo! Tal vez no entiendo completamente cómo arrancar o dónde colocar el gestor de arranque DiskCryptor, cómo configurarlo, etc.

Tenga en cuenta que quiero más de 4 Windows Home de 32 bits diferentes en el mismo disco GPT, los quiero 100% aislados, incluidos códigos de arranque, BCD y cosas así... que no ofrecen otra opción... GPT es obligatorio. .. También los quiero cifrados con diferentes contraseñas, no solo el sistema (donde está la carpeta de Windows), también la partición de inicio (donde está BCD), el cifrado Grub2 es fácil para mí, así que para no complicar las cosas, no lo uso. cifrado hasta que encuentre una solución que funcione.

Pensé que proteger la partición de arranque (donde está BCD) sería mucho más difícil que el sistema (donde está la carpeta WINDOWS), pero encontré justo lo contrario.

Debo probar, probar y probar... tal vez haya encontrado una manera.

Sí, en caso de que alguien esté pensando en ellos, probé TrueCrypt y VeraCrypt, ambos tienen mayores problemas, TrueCrypt no permite el cifrado del sistema GPT y VeraCrypt asume que los discos GPT son solo para U-EFI, por lo que falla al intentar hacer una copia de seguridad de U-EFI. cosas, no importa si pongo una partición EFI, dado que la máquina no tiene vars EFI (solo BIOS, no U-EFI), falla.

El arranque (sin cifrado) se realiza de esta manera: enciende, ejecuta el BIOS, el BIOS lee el primer sector del disco, busca un código del cargador de arranque Grub2, ejecútalo, lee RAW GrubBIOS (core.img) y ejecútalo, Grub2 hace sus cosas (lee grub .cfg) y muestro el menú, elijo qué sistema quiero arrancar, Grub2 luego carga el memdisk y coloco en el disco duro virtual la imagen VHD correspondiente y salto a ella, se ejecuta el código en el MBR (código NT60). ), luego se carga y ejecuta bootmgr, luego winload.exe, etc... arranque normal de Windows... luego se inicia mi tarea Programar en la cuenta SISTEMA, ese mismo VHD está conectado, ahora se puede acceder al BCD, inicie sesión Aparece un mensaje, elijo usuario, etc. Las ventanas normales continúan... aparece el escritorio.

Todo el arranque se realiza desde el mismo HDD, es en estilo GPT, el truco es que antes de arrancar Windows monto (con Grub2 + memdisk + archivo VHD) un disco MBR virtual donde están el código de arranque nt60 y BCD, de esa manera Windows realmente está arrancando desde lo que sabe, un disco MBR, pero es uno virtual almacenado en un archivo, almacenado en una partición GPT, el otro buen truco es gracias a Grub2 que permite arrancar desde un disco GPT en una PC solo con BIOS.

Espero que alguien pueda reproducir mi procedimiento de arranque y probar DiskCryptor. También espero que algún día VeraCrypt no asuma GPT = U-EFI.

Para crear el VHD utilicé DiskPart desde Windows; también se puede crear, montar, acceder, etc. después de iniciar desde Windows Install Media e ir a una consola (Shif+F10 después de seleccionar el idioma) y usar DiskPart.

Gracias DiskCryptor, estoy un poco cerca de lo que quiero, pero todavía no he llegado, solo un pequeño paso más... ¡arranque Windows!

La siguiente parte será montar DiskCryptor desde SystemRescueCD (una distribución de Linux Live), pero será una historia realmente difícil de lograr.