我正在系統磁碟機上執行帶有 DiskCryptor 全磁碟加密的 Windows 10。最新的 Windows 10 更新無法安裝。當我重新啟動系統以安裝更新時,我收到以下事件序列:
- 我輸入 DiskCryptor 密碼來解鎖磁碟
- Windows 更新詢問鍵盤佈局
- Windows 更新不久後失敗
如果我將這個過程推進得足夠遠,我會收到一條訊息,表明它無法繼續,因為一個或多個檔案被鎖定。
我的同事也在他的系統磁碟機上使用 DiskCryptor,並且有相同的經驗。
所以:
- 這通常是整個磁碟加密的已知問題嗎?
- 這是 DiskCryptor 的具體問題嗎?
- 如果是這樣,這是 MS 將修復的錯誤還是需要解決方法?
答案1
這似乎是全碟加密軟體普遍存在的問題(微軟自己的 BitLocker 可能是個例外)。來自 VeraCrypt 協調員本人:
Windows 10 版本 1511、內部版本 10586 更新失敗
TrueCrypt 也會遇到同樣的問題。正是這個特定的 Windows 更新似乎禁用了用於動態加密的過濾器驅動程序,如果 Windows 使用 TrueCrypt 加密,它也會失敗。 TrueCrypt 驅動程式中沒有任何神奇之處可以阻止這種情況。
微軟在更新安裝程式中做了一些令人討厭的事情。 VeraCrypt 驅動程式按預期工作,但該安裝程式在更新系統的過程中明顯阻止了它。透過這樣做,微軟正在破壞 Bitlocker 和微軟合作夥伴以外的 FDE 軟體。
向 Microsoft 報告此問題的最佳方法是什麼?顯然,在 VeraCrypt 上,我們缺乏人力來進一步調查更新安裝程式的深度核心阻止。
解決方法在單獨的文章中進行了描述論壇貼文:
在執行任何作業系統升級之前,您必須解密系統加密。
此外,Windows 10 11 月更新需要解密作業系統才能套用 Windows 10 1511 更新。通常這是沒有必要的。
筆記:在開始作業系統升級之前,請解除安裝並中斷連接到 PC 的所有外部加密磁碟區。我過去曾看到用戶抱怨 Windows 作業系統升級將加密的磁碟機/分割區視為 RAW 格式,而 Windows 試圖透過自動快速格式化分割區並指派磁碟機號碼以使其可供 Windows 使用來提供太多幫助。
更新:為了關閉循環,我執行了以下步驟,沒有產生任何不良影響。一如既往,先備份! 我不需要我的備份,但我不能保證你也不需要你的備份;)。
- 解密系統磁碟機(最有可能是 C:)
- 我有一個輔助硬碟 (D:)
- 這個D:磁碟也加密了
- 我沒有解密我的 D: 磁碟機
- 應用程式 Windows 更新
- DiskCryptor 開機載入程式在每次重新啟動時仍然提示我輸入密碼
- 我只是按[Enter]鍵,沒有任何密碼,機器就啟動了
- 重新加密系統磁碟機
關於加密 D: 磁碟機(輔助磁碟機)的快速說明:
當 Windows 10 啟動且 C: 磁碟機仍未加密時,請務必小心。在這種情況下,D: 磁碟機在啟動時不會自動安裝。如果您雙擊 D: 驅動器,Windows 將無法識別它,並會為您提供格式化服務。若要掛載驅動器,您需要開啟DiskCryptor,選擇D:驅動器,按一下[掛載],然後輸入密碼。
Windows 沒有自動地格式化我的輔助驅動器,但我很容易不小心這樣做。謹慎行事!
答案2
我意識到這個線程有點舊,但為了搜尋者... DiskCryptor 的存在阻止了 Windows (10) 1709(至少)更新,而沒有報告任何特定的相關錯誤 - 最後只是藍色畫面並重新安裝舊版本版本...DiskCryptor 磁碟機是否實際安裝並不重要。
簡單的解決方案是卸載 DiskCryptor,運行更新並重新安裝 - 經過多天研究為什麼我的系統沒有更新後,這對我有用。
但安裝更新後,至少使用 Creators 更新後,已安裝磁碟機的行為發生了變化。關閉 Windows 時不再卸載已安裝的磁碟區。事實上,如果安裝了任何 DiskCryptor 驅動器,DiskCryptor 似乎會阻止 Windows 關閉,並且該工作站只是進入睡眠狀態(如果您不細心,可能不會注意到) - 當醒來時,所有驅動器仍然安裝!我在兩台運行 Win 10 家用版的聯想筆記型電腦和一台運行 Win 10 企業版的桌上型電腦上進行了測試 - 沒有差異。希望這對某人有幫助,我希望Windows 能夠快速修復- 除非目的是強制遷移到BitLocker :( 順便說一句,當我使用TrueCrypt 進行測試時,這種新行為並不存在。驅動器在關閉時會自動解除安裝.
答案3
我發現了 DiscCryptor 和 GPT 磁碟的另一個問題。
我在同一個 GPT 磁碟上有多個 Windows 32 位元(從 Vista 到 10 的所有家庭版本)(唯一存在的一個,它是一台只有 BIOS 的筆記型電腦,沒有 U-EFI);是的,是的,它只是BIOS,磁碟是GPT,有4 個以上的主分割區,所有分割區都是GPT,除了一個用於Grub2 core.img 的小型8MiB RAW GrubBIOS...是的,是的, Windows 32 位元;請記住 Windows 不會從任何非 MBR 的磁碟啟動,我不喜歡混合 GPT+MBR,我更喜歡 Grub2+MemDisk+VHD 小檔案(32MiB 或更少)。
我的磁碟是100% GPT,為系統的每個Windows 都有一個GPT NTFS 分割區(其中WINDOWS 資料夾所在,但NT60 開機程式碼和BCD 不在那裡),它還有一個額外的NTFS 分割區用於Grub2 和MemDisk和VHD 檔案(否則 32 位元 Windows 將無法從 GPT 磁碟啟動,即 BIOS + GPT 磁碟上的 32 位元); VHD 檔案是固定大小的(只是為了讓 memdisk 在 ram 上模擬它們),並且內部有一個 MBR 磁碟,只有一個 32MiB NTFS 分割區,其中包含 NT60 啟動程式碼和特定 Windows 的 BCD;每個 Windows 一個 VHD。
這是我在 GPT 磁碟上進行測試的範例(所有 Windows 都是 32 位元和家用版本,沒有專業版,沒有企業版,沒有伺服器,100% 合法的東西):
- 第一個磁區 = Grub2 引導代碼 + GPT 保護
- GPT1 = 8MiB RAW GrubBIOS(其中 Grub2 將 core.img 放入 RAW)
- GPT2 = 1GiB NTFS(用於 Grub2 檔案 + MemDisk + VHD 檔案)
- GPT3 = NTFS for 32Bits Windows Vista SP2 系統(Windows 資料夾等)
- GPT4 = NTFS 適用於 32 位元 Windows 7 SP1 系統(Windows 資料夾等)
- GPT5 = NTFS 適用於 32 位元 Windows 8 系統(Windows 資料夾等)
- GPT6 = NTFS 適用於 32 位元 Windows 8.1 系統(Windows 資料夾等)
- GPT7 = NTFS 適用於 32 位元 Windows 10 系統(Windows 資料夾等)
- GPT...等等...
每個VHD大約是32MiB的虛擬MBR磁碟,如下所示:
- 第一區 = Nt60 開機碼 + MBR 分割區表
- MBR.1 = 主 NTFS 32MiB(BCD 內容所在)
- MBR.2 = -空-
- MBR.3 = -空-
- MBR.4 = -空-
每個視窗一個 VHD 檔案(用於隔離引導程式和 BCD)。
如果我想將所有這些都放在MBR 上(僅限3 個主要+ 1 個擴展),我只能放置3 個Windows(Grub2 可以位於擴展內的邏輯上),這3 個主要Windows 將具有每個Windows BCD 的東西(隔離每個視窗的 BCD)...如果我允許所有 Windows BCD 位於同一分割區上,我可以放置任意數量的 Windows,但它們都將共用 BCD,因此啟動選單將是顯示的選單通過Windows,它們不會被隔離,其中一個接觸這樣的BCD的失敗將破壞所有其餘的啟動,等等,更不用說我也想要加密。
有了 GPT + Grub2 + MemDisk + VHD 文件,我得到了我想要的(加密除外),100% 將每個 Windows 與 Windows 的其餘部分隔離。
我想要 BIOS 而不是 U-EFI,主要有以下三個原因:
- 我希望 100% 的 HDD(除了第一個扇區、GPT 表和磁碟末尾的 GPT 表的第二個副本)被加密...仍在研究如何加密我用於 Grub2 + MemDisk + VHD 文件的分區. ..我曾考慮為每個VHD 檔案建立一個額外的分割區...這樣一個分割區將按照系統的情況進行加密,然後Grub2 分割區與LUK 一起加密(在進行grub2 安裝時使用模組參數)。
- 我的筆記型電腦沒有 U-EFI,只有 BIOS
- 我的硬碟大於2TiB(MBR只允許使用最多2TiB,其餘的都會遺失)
回到 DiskCryptor 的問題,如果我加密啟動的 Windows GPT 分割區(WINDOWS 資料夾所在的位置),將啟動程式碼放在另一個虛擬 MBR 磁碟上(即 VHD 檔案內),啟動後會要求輸入密碼,但它總是顯示“密碼無效”錯誤。
但是如果我不加密啟動的 Windows GPT 分割區(WINDOWS 資料夾所在的位置),並且只加密 BCD 所在的分割區(VHD 檔案內的虛擬 MBR 磁碟內的分割區),則在啟動時它會要求輸入密碼如果正確的話,它會完美地啟動Windows(除了它不會自動掛載BCD的虛擬磁碟分割區,我必須手動掛載它......必須看看我是否能自動掛載),但Windows運行得很好。
如果我對它們兩者進行加密(使用相同的密碼),則 Windows bootmbr 會加載,但它會告訴 winload.exe 在帶有白色文字圖形螢幕的藍色背景中找不到。
當我只加密MBR部分時,可能會導致不自動掛載,因為VHD文件沒有足夠早地連接...也許緩存密碼並在登錄時運行DisckCryptor可以解決這個問題,因為VHD連接是在登錄前的任務計劃中完成的...如果我有時間的話我必須測試一下。
似乎 DiskCryptor 不支援在不同的磁碟上使用「系統保留」或任何您想要的名稱(其中 NT60 啟動代碼和 BCD 內容),或者至少如果 Windows 32 位元位於 GPT 分割區(其中 WINDOWS 資料夾)上則不支援是)....因為加密虛擬MBR 效果很好,但是加密GPT 分割區會導致不同類型的錯誤!
我會重新嘗試更多的選項,例如建立 ISO 並用它啟動等等。
謝謝,我有多個Windows,我用另一個啟動,安裝DiskCryptor,重新啟動並嘗試安裝GPT,它安裝正常,所以我解密它,並修復無法啟動該系統的大問題,直到我找到一個解決方案,我將在VirtualBOX 機器上進行更多測試,然後再次使用我的筆記型電腦...我希望DiskCryptor 在執行此操作之前會警告我...但至少我知道我在做什麼,並且我知道從我可以解密其他窗口,我也有克隆備份等。
也許我錯過了什麼!也許我不完全理解如何啟動或在哪裡放置 DiskCryptor 引導程序,如何配置它等等。
請記住,我希望在同一個GPT 磁碟上有4 個以上不同的Windows Home 32 位,我希望它們100% 隔離,包括啟動代碼、BCD 等東西...沒有其他選擇...GPT 是強制性的。變得複雜我不使用它加密直到我找到可行的解決方案。
我認為保護啟動分割區(BCD 所在的位置)比系統(WINDOWS 資料夾所在的位置)本身要困難得多,但我發現恰恰相反。
我必須測試、測試、測試……也許我找到了辦法。
是的,如果有人在考慮它們,我已經嘗試過TrueCrypt和VeraCrypt,兩者都有更大的問題,TrueCrypt不允許GPT系統加密,而VeraCrypt假設GPT磁碟僅用於U-EFI,因此在嘗試備份U -EFI時失敗東西,無論我是否放置 EFI 分割區,因為機器沒有 EFI 變數(僅限 BIOS,沒有 U-EFI),它都會失敗。
引導(不加密)是這樣的,開機,BIOS運行,BIOS讀取磁碟第一個磁區,找到Grub2引導程式碼,運行它,讀取RAW GrubBIOS(core.img)並運行它,Grub2做它的事情(讀取grub .cfg檔案)並顯示選單,我選擇要啟動的系統,Grub2然後加載memdisk並將相應的VHD映像放入虛擬硬碟並跳到它,運行MBR上的程式碼(NT60程式碼),然後bootmgr 被加載並運行,然後winload.exe 等...正常Windows 啟動...然後我的計劃任務在SYSTEM 帳戶上啟動,連接了相同的VHD,現在可以訪問BCD,登入出現提示,我選擇使用者等...正常視窗繼續...桌面出現。
所有啟動都是從同一個 HDD 完成的,採用 GPT 風格,訣竅是在啟動 Windows 之前,我安裝(使用 Grub2 + memdisk + VHD 文件)一個虛擬 MBR 磁碟,其中包含 nt60 啟動代碼和 BCD,這樣 Windows實際上是從它所知道的MBR 磁碟啟動,但它是儲存在檔案中的虛擬磁碟,儲存在GPT 分割區中,另一個好技巧是Grub2,它允許在僅BIOS 的PC 上從GPT 磁碟啟動。
希望有人可以重現我的啟動過程並測試 DiskCryptor。也希望有一天 VeraCrypt 不會採用 GPT = U-EFI。
為了創建 VHD,我使用了 Windows 中的 DiskPart;從 Windows 安裝媒體啟動並進入控制台(選擇語言後按 Shif+F10)並使用 DiskPart 後,也可以建立、安裝、存取等。
謝謝 DiskCryptor,我已經接近我想要的了,但仍然沒有達到,只需多一步......啟動 Windows!
下一部分將從 SystemRescueCD(Linux Live 發行版)安裝 DiskCryptor,但這將會是一個非常困難的故事。