A atualização 1511 do Windows 10 falha com a criptografia de disco inteiro do DiskCryptor

Isso parece ser um problema geral com o software Full Disk Encryption (com a presumível exceção do próprio BitLocker da MS). Do próprio coordenador do VeraCrypt:

Falha na atualização do Windows 10 versão 1511, build 10586

TrueCrypt teria tido o mesmo problema. É esta atualização específica do Windows que parece desabilitar os drivers de filtro usados ​​para criptografia instantânea e se o Windows fosse criptografado usando TrueCrypt, ele também teria falhado. Não há nada mágico no driver TrueCrypt que pudesse evitar isso.

A Microsoft está fazendo algo desagradável no instalador da atualização. O driver VeraCrypt está funcionando conforme esperado, mas este instalador o bloqueia claramente durante o processo de atualização do sistema. Ao fazer isso, a Microsoft está quebrando software FDE que não seja o Bitlocker e os parceiros da Microsoft.

Qual é a melhor maneira de relatar isso à Microsoft? Obviamente, no VeraCrypt, falta mão de obra para investigar mais profundamente esse bloqueio profundo do kernel pelo instalador da atualização.

A solução alternativa é descrita em um separadopostagem no fórum:

Você deve descriptografar a criptografia do sistema antes de executar qualquer atualização do sistema operacional.

Além disso, a atualização do Windows 10 de novembro requer a descriptografia do sistema operacional para aplicar a atualização do Windows 10 1511. Normalmente isso não é necessário.

OBSERVAÇÃO: desmonte e desconecte quaisquer volumes criptografados externos conectados ao seu PC antes de iniciar a atualização do sistema operacional. Já vi usuários reclamarem no passado que a atualização do sistema operacional Windows vê a unidade/partição criptografada como formato RAW e o Windows tenta ser muito útil formatando automaticamente a partição e atribuindo uma letra de unidade para torná-la utilizável pelo Windows.

---

ATUALIZAÇÃO: Apenas para fechar o ciclo, executei as etapas a seguir sem efeitos nocivos. Como sempre,faça backup primeiro!! Não precisei do meu backup, mas não posso garantir que você não precisará do seu;).

1. Descriptografe a unidade do sistema (provavelmente C :)
   • Eu tenho um disco rígido secundário (D:)
   • Esta unidade D: também foi criptografada
   • Eu não descriptografei minha unidade D:
2. Aplique a atualização do Windows
   • O bootloader DiskCryptor ainda me pedia uma senha a cada reinicialização
   • Acabei de pressionar [Enter] sem nenhuma senha e a máquina inicializou
3. Criptografe novamente a unidade do sistema

Nota rápida sobre a unidade D: criptografada (unidade secundária):

Tenha muito cuidado quando o Windows 10 inicializar e a unidade C: ainda não estiver criptografada. A unidade D: não é montada automaticamente na inicialização neste cenário. Se você clicar duas vezes na unidade D:, o Windows não a reconhecerá e se oferecerá para formatá-la para você. Para montar o drive, você precisa abrir o DiskCryptor, escolher o drive D:, clicar em [Montar] e digitar a senha.

O Windows nãoautomaticamenteformatar minha unidade secundária, mas teria sido muito fácil fazer isso acidentalmente. Proceda com cuidado!

Sei que este tópico é um pouco antigo, mas para o bem dos pesquisadores ... A presença do DiskCryptor impede atualizações do Windows (10) 1709 (pelo menos) sem que nenhum erro específico relacionado seja relatado - apenas tela azul no final e reinstale o antigo versão ... não importa se as unidades DiskCryptor estão realmente montadas ou não.

A solução simples é desinstalar o DiskCryptor, executar as atualizações e reinstalar - funcionou para mim depois de muitos dias pesquisando por que meus sistemas não estavam atualizando.

Mas depois que a atualização foi instalada, pelo menos com a atualização dos Criadores, o comportamento das unidades montadas mudou. Os volumes montados não são mais desmontados ao desligar o Windows. Na verdade, parece que o DiskCryptor evita o desligamento do Windows se alguma unidade DiskCryptor estiver montada, e a estação simplesmente entra em suspensão (o que, se você não estiver atento, pode não ser notado) - ao acordar, as unidades ainda estão todas montadas! Eu testei isso em dois laptops Lenovo com Win 10 home e 1 desktop com Win 10 Enterprise - sem diferenças. Espero que isso ajude alguém e espero que o Windows corrija isso rapidamente - a menos que a intenção seja forçar a mudança para o BitLocker :( aliás, esse novo comportamento não estava presente quando o testei com TrueCrypt. As unidades são desmontadas automaticamente ao serem desligadas.

Eu encontrei outro problema com o disco DiscCryptor e GPT.

Tenho vários Windows 32 Bits (todas as versões Home do Vista ao 10) no mesmo disco GPT (o único presente, é um laptop apenas com BIOS, sem U-EFI); sim e sim, é apenas BIOS e o disco é GPT com mais de 4 partições primárias, todas as partições são GPT, exceto um pequeno GrubBIOS RAW de 8 MiB para Grub2 core.img... e sim, sim, Windows 32 bits; lembre-se que o Windows não inicializa a partir de nenhum disco que não seja MBR, não gosto de Hybrid GPT+MBR, prefiro arquivos pequenos Grub2+MemDisk+VHD (32MiB ou menos).

Meu disco é 100% GPT, tem uma partição GPT NTFS para cada Windows do sistema (onde está a pasta WINDOWS, mas o código de inicialização NT60 e BCD não está lá), ele também tem uma partição NTFS extra para arquivos Grub2, MemDisk e VHD (caso contrário, as janelas de 32 bits não poderão ser inicializadas a partir de um disco GPT, também conhecido como 32 bits no disco BIOS + GPT); que os arquivos VHD têm tamanho fixo (apenas para permitir que o memdisk os emule na memória RAM) e possuem internamente um disco MBR com apenas uma partição NTFS de 32 MiB onde há o código de inicialização NT60 e o BCD para aquele Windows específico; um VHD por Windows.

Esta é uma amostra (todas as janelas são versões 32Bits e Home, sem Pro, sem Enterprise, sem Server, material 100% legal) no disco GPT em que faço testes:

• 1º setor = código de inicialização Grub2 + proteção GPT
• GPT1 = 8MiB RAW GrubBIOS (onde Grub2 coloca core.img em RAW)
• GPT2 = 1GiB NTFS para arquivos Grub2 + MemDisk + arquivos VHD
• GPT3 = NTFS para sistema Windows Vista SP2 de 32 bits (pasta Windows, etc.)
• GPT4 = NTFS para sistema Windows 7 SP1 de 32 bits (pasta Windows, etc.)
• GPT5 = NTFS para sistema Windows 8 de 32 bits (pasta Windows, etc.)
• GPT6 = NTFS para sistema Windows 8.1 de 32 bits (pasta Windows, etc.)
• GPT7 = NTFS para sistema Windows 10 de 32 bits (pasta Windows, etc.)
• GPT... e assim por diante...

Cada VHD contém um disco MBR virtual de 32 MiB, assim:

• 1º setor = código de inicialização Nt60 + tabela de partição MBR
• MBR.1 = NTFS primário 32MiB (onde está o material BCD)
• MBR.2 = -vazio-
• MBR.3 = -vazio-
• MBR.4 = -vazio-

Um arquivo VHD por cada janela (para isolar bootloaders e BCD).

Se eu quiser colocar tudo isso em um MBR (é limitado a 3 primários + 1 estendido) só posso colocar 3 Windows (o Grub2 pode estar em um Lógico dentro do estendido), esses 3 primários serão os que possuem cada Coisas BCD (isolando BCDs de cada janela)... se eu permitir todos os BCD do Windows na mesma partição posso colocar quantos Windows eu quiser, mas todos eles compartilharão o BCD, então o menu de boot será o apresentado pelo windows, eles não serão isolados, uma falha em um deles ao tocar em tal BCD vai estragar a inicialização de todos os demais, etc., sem falar que também quero criptografia.

Com esses arquivos GPT + Grub2 + MemDisk + VHD eu consigo o que quero (exceto criptografia), isolando 100% cada Windows do resto do Windows.

Quero um BIOS e não U-EFI por três motivos principais:

1. Quero que 100% do HDD (exceto o primeiro setor, a tabela GPT e a segunda cópia da tabela GPT no final do disco) seja criptografado... ainda estou trabalhando em como criptografar a partição que uso para arquivos Grub2 + MemDisk + VHD ... eu pensei em criar uma partição extra para cada arquivo VHD ... para que uma fosse criptografada como o sistema e depois a Grub2 com LUKs (usando o parâmetro de módulos ao fazer a instalação do grub2).
2. Meu laptop não tem U-EFI, é apenas BIOS
3. Meu HDD é maior que 2TiB (o MBR só permite o uso de até 2TiB, o resto é perdido)

Voltando ao problema com o DiskCryptor, se eu criptografar a partição GPT inicializada do Windows (onde está a pasta WINDOWS), coloque o código de inicialização no outro disco MBR virtual (que está dentro do arquivo VHD), após inicializar ele pede a senha, mas sempre mostra o erro de 'senha inválida'.

Mas se eu não criptografar a partição GPT inicializada do Windows (onde está a pasta WINDOWS) e criptografar apenas a partição onde está o BCD (aquele dentro do disco MBR virtual que está dentro do arquivo VHD), na inicialização ele pede a senha e se estiver correto, ele inicializa o Windows perfeitamente (exceto que não monta automaticamente a partição do disco virtual do BCD, devo montá-lo manualmente ... preciso ver se consigo montá-lo automaticamente), mas o Windows funciona muito bem.

E se eu criptografar os dois (com a mesma senha), o bootmbr do Windows será carregado, mas informará que winload.exe não pode ser encontrado em um fundo azul com tela gráfica de texto branco.

Quando eu criptografo apenas a parte MBR, a não montagem automática pode ser causada porque o arquivo VHD não está conectado com antecedência suficiente ... talvez armazenar a senha em cache e executar o DisckCryptor no logon possa resolver isso, já que a conexão VHD é feita em um agendamento de tarefas antes do logon ... devo testar isso se tiver tempo.

Parece que ter "Sistema reservado" ou como você quiser chamá-lo (onde está o código de inicialização NT60 e material BCD) em um disco diferente não é suportado pelo DiskCryptor, ou pelo menos não se o Windows 32Bits estiver na partição GPT (onde a pasta WINDOWS é)... já que ter aquele MBR virtual criptografado funciona bem, mas ter a partição GPT criptografada causa diferentes tipos de erros!

Vou tentar novamente muitas outras opções, como criar um ISO e inicializar com ele, etc.

Obrigado, multipliquei o Windows, inicializei com outro, instalei o DiskCryptor, reiniciei e tentei montar o GPT, ele monta OK, então eu descriptografo e resolvo o grande problema de não conseguir inicializar aquele, até eu encontrar uma solução, farei mais testes em uma máquina VirtualBOX, antes de começar com meu laptop novamente... gostaria que o DiskCryptor tivesse me avisado antes de fazer isso... mas pelo menos eu sei o que estou fazendo e sei inicializar do outras janelas eu posso descriptografar, também tenho Clone BackUp, etc.

Talvez eu sinta falta de alguma coisa! Talvez eu não entenda completamente como inicializar ou onde colocar o bootloader DiskCryptor, como configurá-lo, etc.

Por favor, tenha em mente que quero mais de 4 Windows Home 32 Bits diferentes no mesmo disco GPT, quero-os 100% isolados, incluindo códigos de inicialização, BCD e coisas assim... que não fazem outra opção... GPT é obrigatório. .. eu também quero que eles sejam criptografados com senhas diferentes, não apenas o sistema (onde está a pasta do Windows), também a partição de boot (onde está o BCD), a criptografia Grub2 é fácil para mim, para não tornar as coisas complexas, eu não uso criptografado até encontrar uma solução funcional.

Achei que proteger a partição de inicialização (onde está o BCD) seria muito mais complicado do que o próprio sistema (onde está a pasta WINDOWS), mas descobri exatamente o oposto.

Devo testar, testar e testar... talvez eu tenha encontrado um caminho.

Sim, caso alguém esteja pensando neles, eu tentei TrueCrypt e VeraCrypt, ambos têm problemas maiores, TrueCrypt não permite criptografia do sistema GPT e VeraCrypt assume que os discos GPT são apenas para U-EFI, então ele falha ao tentar fazer backup de U-EFI coisas, não importa se eu coloquei uma partição EFI, já que a máquina não tem vars EFI (somente BIOS, sem U-EFI), ela falha.

A inicialização (sem criptografia) é assim, liga, BIOS executa, BIOS lê o primeiro setor do disco, encontra um código do bootloader Grub2, executa-o, lê RAW GrubBIOS (core.img) e executa-o, Grub2 faz seu trabalho (leia grub .cfg) e mostro o menu, escolho qual sistema desejo inicializar, o Grub2 então carrega o memdisk e coloca no disco rígido virtual a imagem VHD correspondente e pulo para ela, o código no MBR disso é executado (código NT60 ), então bootmgr é carregado e executado, então winload.exe, etc... inicialização normal do Windows... então minha tarefa Agendada é iniciada na conta SYSTEM, esse mesmo VHD está conectado, agora o BCD pode ser acessado, faça logon o prompt aparece, eu escolho o usuário, etc... o Windows normal continua... a área de trabalho aparece.

Toda a inicialização é feita a partir do mesmo HDD, é no estilo GPT, o truque é que antes de inicializar o Windows eu monte (com Grub2 + memdisk + arquivo VHD) um disco MBR virtual onde estão o código de inicialização nt60 e BCD, dessa forma Windows está realmente inicializando a partir do que sabe, um disco MBR, mas é um disco virtual armazenado em um arquivo, armazenado em uma partição GPT, o outro bom truque é graças ao Grub2 que permite inicializar a partir do disco GPT em um PC somente BIOS.

Espero que alguém possa reproduzir meu procedimento de inicialização e testar o DiskCryptor. Também espero que algum dia o VeraCrypt não assuma GPT = U-EFI.

Para criar o VHD usei o DiskPart do Windows; ele também pode ser criado, montado, acessado, etc. após inicializar a partir da mídia de instalação do Windows e ir para um console (Shif + F10 após selecionar o idioma) e usar o DiskPart.

Obrigado DiskCryptor, estou um pouco perto do que quero, mas ainda não cheguei lá, só mais um passo... inicialize o Windows!

A próxima parte será montar o DiskCryptor a partir de um SystemRescueCD (uma distribuição Linux Live), mas essa será uma história muito difícil, se possível.