VeraCrypt - Windows avvia la riparazione automatica su UEFI / GPT

Naviga le tue risposte
2

OK. Così ho usato VeraCrypt per crittografare la partizione di sistema e ora Windows avvia solo la riparazione automatica. Dopo la riparazione, in quello che penso sia Windows Recovery Environment, posso scegliere di avviare l'USB e QUI posso scegliere di avviare il loader VeraCrypt.

Ho usato BOOTICE (ultima versione) per modificare le voci di avvio UEFI per avviare il loader VeraCrypt in primo luogo scegliendo "Attivo", "Avvia questa voce la prossima volta" e posizionando VeraCrypt nella prima posizione dell'elenco usando il pulsante "Su". Quando riavvio il PC, UEFI avvia VeraCrypt Loader come dovrebbe, ma quando spengo e riaccendo il PC, UEFI si avvia in Boot Manager di Windows che carica di nuovo il Ripristino automatico di Windows. Questa descrizione è probabilmente alquanto imprecisa perché non so esattamente come funzioni l'avvio di UEFI [raccomandami una buona lettura;]]. Ovviamente nel mio UEFI (nel BIOS) non riesco a trovare l'opzione di avvio VeraCrypt, c'è solo il Boot Manager di Windows e la shell EFI tra cui scegliere. Come posso inserire il loader VeraCrypt lì? Ho un avvio sicuro disabilitato.

Ho anche provato ad usare il cmdlet di Windows BCDEdit, ma è un no go (non vede il loader di VeraCrypt). Né è Visual BCD Editor. Il mio sistema è MSI H81-P33 & i5-4690K con l'ultimo BIOS. Solo BOOTICE funziona in qualche modo.

Forse la soluzione alternativa sarebbe modificare semplicemente il Boot Manager di Windows per avviare il loader VeraCrypt invece del caricatore di Windows? È una possibile soluzione? Come faccio?

Schermata delle voci di avvio non modificate BOOTICE:

    
posta daerragh 30.09.2016 - 12:42
fonte

3 risposte

2

OK, ho trovato una soluzione e funziona anche dopo aver spento il computer. In BOOTICE ho modificato il Boot Manager di Windows per caricare "\ EFI \ VERACRYPT \ DCSBOOT.EFI" (il caricatore VeraCrypt) invece del caricatore di Windows originale (\ EFI \ MICROSOFT \ BOOT \ BOOTMGFW.EFI) e lo ho salvato. Ho modificato solo il campo di testo "File multimediale:" in BOOTICE. Quando ho riaperto BOOTICE per vedere se la modifica si è verificata, ho notato che ora ci sono 2 voci separate di Boot Manager: l'originale (che presumo che Windows sia stato ricreato automaticamente dopo averlo modificato) e quello che ho modificato con il percorso del caricatore VeraCrypt.

Il mio UEFI (BIOS) ora vede 2 voci separate di Boot Manager di Windows (che hanno lo stesso nome, non c'è bisogno di cambiarlo credo). Spero che non comprometta in alcun modo la mia sicurezza e le prestazioni di Windows. E spero che eventuali futuri aggiornamenti di Windows non possano rovinare la mia soluzione.

Mi rendo conto che questa è una soluzione "sporca", quindi sarebbe bello se qualcuno si inventasse sth meglio.

    
risposta data 30.09.2016 - 13:21
fonte
1

La mia descrizione non funziona più per Windows 1709. Ci sono risultati migliori con:

link

Nota, poiché il futuro aggiornamento di Win10 può bypassare la patch, incluse le principali patch di sicurezza che alterano il firmware, non c'è alcuna garanzia che la macchina funzioni sempre, come nel caso in cui TrueCrypt funziona con Win7. Mentre è possibile recuperare e ripristinare l'ultimo sistema operativo buono, può richiedere molto tempo. Bitlocker funziona senza problemi o in Win10 Home, usa Veracrypt in modalità contenitore di file che è affidabile e trasportabile.

    
risposta data 18.02.2018 - 17:34
fonte
0

Su un "BIOS" UEFI InsydeH20 V5.0 in esecuzione su Acer E5-575:

Installa tutti gli ultimi aggiornamenti di Win10

Avvia da UEFI, premi F2 su macchine Acer a 2x secondi durante l'avvio

Disattival'avviosicuro[Asulleimmagini]impostalocome"disattivato"

IMPORTANTE in UEFI: imposta Amministratore di sistema e password utente [1 su foto] e imposta Password sull'opzione di avvio. Non impostare la password del disco fisso poiché potrebbe interferire con gli aggiornamenti di Win10. L'amministratore e la password utente su UEFI interromperanno tutti i riavvii di Win10 all'interfaccia UEFI / BIOS in modo da poter interrompere l'avvio automatico per risolvere Veracrypt più rapidamente e interrompere le scritture dirette in UEFI da parte di malware

Esegui la crittografia della partizione del disco di Veracrypt 1.19

Se fallisce un passaggio, fallo di nuovo. Dovrebbe superare il secondo + tentativo. Se non si avvia tramite il disco di ripristino. Questo perché UEFI non riconosce il percorso o il file stesso "veracryptb", il bootloader, nel disco rigido come "trusted".

Se Veracrypt fallisce ancora: STOP, e procedi solo se conosci bene UEFI, Veracrypt e Win10 come scritto di seguito.

* Se Veracrypt fallisce ancora, ma avvii sul disco di ripristino, procedi con cautela come indicato sopra. * 

Complete Veracrypt full disk encryption

Once completed, and reboots, enter UEFI/BIOS

Turn ON secure boot [ A on pic], it allows edits to boot files list to mark 
them 'trusted' [2 on pic]

Edit secure boot file list

On the boot order screen, locate veracrypt and move it to the top of the
boot priority order.  Move Windows Boot Manager to near bottom [B on pic].

Turn Secure Boot off, the Veracrypt bootloader will remain at the
top and the list of bootloaders is now not editable

Reboot

Enjoy.

NB: L'avvio sicuro deve essere spento in modo permanente perché la firma di Veracrypt non risiede in una tabella di avvio sicura UEFI separata nel firmware. Puoi crearne uno e inserirlo, come descritto nel forum di Veracrypt o eseguirlo senza un avvio sicuro. Suggerisco di lasciare SECURE BOOT OFF in quanto lo script di generazione delle firme di Veracrypt ha risolto alcuni UEFI / BIOS. Un bootloader di malware non può essere eseguito in UEFI perché per essere avviato deve essere aggiunto all'elenco di attendibilità che può essere eseguito solo con SECURE BOOT ON per modificare l'elenco dei file attendibili di avvio; il malware non può farlo senza la password dell'amministratore UEFI per modificare le impostazioni UEFI da SECURE BOOT OFF. Fino ad ora, il malware rootkit non può essere eseguito al di sotto o al livello di preavvio UEFI, come sappiamo oggi, per hackerare la password dell'amministratore in UEFI, quindi rimane sicuro anche con SECURE BOOT OFF. Con SECURE BOOT ON, se la firma del malware si aggiunge all'elenco dei trust, non esiste ancora nella tabella SECURE BOOT del firmware, quindi non può essere eseguita. Tuttavia, Veracrypt ha uno script per aggiungere la propria firma alla tabella di attendibilità del firmware [con risultati misti], quindi è possibile che il malware faccia lo stesso con SECURE BOOT ON. Il malware può avviarsi se tenta di imitare i file attendibili nella tabella UEFI InsydeH20 con SECURE BOOT OFF se InsydeH20 non utilizza le firme per garantirne l'integrità. Il post precedente mostra che un altro utente ha rinominato veracryptb in Gestione avvio di Windows e avviato, mostrando che lo stratagemma può funzionare per il Boot Manager di Windows. Tuttavia non è facile imitare il bootloader veracryptb a causa delle chiavi generate durante la creazione della partizione sicura che è univoca per ciascun bootloader, un mago probabilmente non riuscirà ad avviarsi in veracrypt. Quanto sopra si applica solo all'implementazione INsydeH20 UEFI, per la tua UEFI, YMMV.

Non modificare lo stato del TPM a meno che tu non sia sicuro. Se le firme non possono essere generate al volo o vengono fornite solo in fabbrica, la cancellazione dello stato potrebbe bloccare il PC [3 nella foto].

    
risposta data 01.06.2017 - 13:06
fonte

Leggi altre domande sui tag

Utilizzare (o non utilizzare) OAuth per il servizio interno per la comunicazione di servizi in SOA In che modo google (siti web) determina la mia posizione?