VeraCrypt - Windows inicia la reparación automática en UEFI / GPT

Navega tus respuestas
2

OK. Así que utilicé VeraCrypt para cifrar la partición del sistema y ahora Windows solo inicia su reparación automática. Después de la reparación en lo que creo que es el entorno de recuperación de Windows, puedo elegir arrancar el USB y AQUÍ puedo elegir arrancar el cargador VeraCrypt.

Utilicé BOOTICE (última versión) para modificar las entradas de inicio de UEFI para iniciar el cargador VeraCrypt en primer lugar seleccionando "Activo", "Iniciar esta entrada la próxima vez" y colocando a VeraCrypt en la primera posición de la lista usando el botón "arriba". Cuando reinicio la PC, UEFI arranca el cargador de VeraCrypt como debería, pero cuando apago la PC y la enciendo nuevamente, UEFI se inicia en el Administrador de arranque de Windows, que vuelve a cargar la reparación automática de Windows. Es probable que esta descripción sea un poco inexacta porque no sé exactamente cómo funciona el arranque UEFI [recomiéndame una buena lectura;)]. Obviamente, en mi UEFI (en BIOS) no puedo encontrar la opción de arranque de VeraCrypt, solo hay el Administrador de arranque de Windows y el shell EFI para elegir. ¿Cómo inserto el cargador VeraCrypt allí? Tengo el arranque seguro deshabilitado.

También intenté usar el cmdlet BCDEdit de Windows, pero no funciona (no ve el cargador VeraCrypt). Tampoco es Visual BCD Editor. Mi sistema es MSI H81-P33 & i5-4690K con la última BIOS. Solo BOOTICE funciona de alguna manera.

¿Quizás la solución alternativa sería simplemente modificar el Administrador de inicio de Windows para iniciar el cargador VeraCrypt en lugar del cargador de Windows? ¿Es una solución posible? ¿Cómo hago eso?

Captura de pantalla de las entradas de inicio sin modificar de BOOTICE:

    
pregunta daerragh 30.09.2016 - 12:42
fuente

3 respuestas

2

Bien, se me ocurrió una solución y funciona incluso después de apagar la computadora. En BOOTICE modifiqué el Administrador de arranque de Windows para cargar "\ EFI \ VERACRYPT \ DCSBOOT.EFI" (el cargador de VeraCrypt) en lugar del cargador de Windows original (\ EFI \ MICROSOFT \ BOOT \ BOOTMGFW.EFI) y lo guardé. Solo modifiqué el campo de texto "Archivo de medios:" en BOOTICE. Cuando volví a abrir BOOTICE para ver si el cambio se atascó, noté que ahora hay 2 entradas separadas del Administrador de arranque de Windows: el original (que presumo que Windows volvió a crear automáticamente después de que lo cambié) y el que cambié con la ruta del cargador VeraCrypt.

Mi UEFI (BIOS) ahora ve 2 entradas separadas del Administrador de arranque de Windows (que tienen el mismo nombre, no es necesario cambiar eso, supongo). Espero que no comprometa mi seguridad y el rendimiento de Windows de ninguna manera. Y espero que las futuras actualizaciones de Windows no afecten mi solución.

Me doy cuenta de que esta es una solución "sucia", por lo que sería bueno si alguien se compusiera de algo mejor.

    
respondido por el daerragh 30.09.2016 - 13:21
fuente
1

Mi descripción ya no funciona para Windows 1709. Hay mejores resultados con:

enlace

Tenga en cuenta que, como la futura actualización de Win10 puede omitir el parche, incluidos los parches de seguridad más importantes que alteran el firmware, no hay garantía de que la máquina siempre funcionará, como en la forma en que Truecrypt funciona con Win7. Si bien puede recuperar y volver al último buen sistema operativo, puede llevar mucho tiempo. Bitlocker funciona sin problemas o en Win10 Home, use Veracrypt en modo contenedor de archivos que sea confiable y transportable.

    
respondido por el C6760H10447N1743O2010S32 18.02.2018 - 17:34
fuente
0

En un "BIOS" UEFI InsydeH20 V5.0 que se ejecuta en Acer E5-575:

Instala las últimas actualizaciones de Win10

Arranque en UEFI, presione F2 en las máquinas Acer a 2x seg durante el arranque

Desactivaelarranqueseguro[Aonpics]configúralocomo'deshabilitado'

IMPORTANTEenUEFI:configureeladministradordelsistemaylascontraseñasdeusuario[1enlasfotografías],yestablezcalacontraseñaenlaopcióndearranque.NoestablezcalacontraseñadeldiscoduroyaquepuedeinterferirconlasactualizacionesdeWin10.LacontraseñadeladministradorydelusuarioenUEFIdetendrátodoslosreiniciosdeWin10enlainterfazUEFI/BIOSparaquepuedainterrumpirlosarranquesautomáticosparasolucionarproblemasdeVeracryptmásrápidamenteydetenerlasescriturasdirectasaUEFIpormalware

EjecuteVeracrypt1.19cifradodeparticióndedisco

Sifallaunapasada,hazlodenuevo.Debepasarelsegundo+intento.Sinoseiniciaatravésdeldiscoderescate.EstosedebeaqueUEFInoreconocelaubicaciónoelpropioarchivo"veracryptb", el cargador de arranque, en el disco duro como "confiable".

Si Veracrypt falla aún: PARE, y proceda solo si conoce UEFI, Veracrypt y Win10 como se indica a continuación.

* Si Veracrypt falla aún, pero los arranques en el disco de rescate proceden con precaución como se indicó anteriormente. * 

Complete Veracrypt full disk encryption

Once completed, and reboots, enter UEFI/BIOS

Turn ON secure boot [ A on pic], it allows edits to boot files list to mark 
them 'trusted' [2 on pic]

Edit secure boot file list

On the boot order screen, locate veracrypt and move it to the top of the
boot priority order.  Move Windows Boot Manager to near bottom [B on pic].

Turn Secure Boot off, the Veracrypt bootloader will remain at the
top and the list of bootloaders is now not editable

Reboot

Disfruta.

NB: el arranque seguro debe estar desactivado permanentemente porque la firma de Veracrypt no reside en una tabla de arranque seguro UEFI separada en el firmware. Puede generar uno e ingresarlo, como se describe en el foro de Veracrypt o ejecutar sin arranque seguro. Sugiero dejar SECURE BOOT OFF ya que el script de generación de firmas de Veracrypt ha bloqueado algunos UEFI / BIOS. Un cargador de arranque de malware no puede ejecutarse en el UEFI porque para arrancar, debe agregarse a la lista de confianza, lo que solo se puede hacer con SECURE BOOT ON para editar la lista de confianza del archivo de arranque; el malware no puede hacer eso sin la contraseña de administrador de UEFI para cambiar la configuración de UEFI desde SECURE BOOT OFF. Hasta ahora, el malware de rootkit no se puede ejecutar por debajo o al nivel de preboot UEFI, como sabemos hoy, para piratear la contraseña de administrador en UEFI, por lo que permanece seguro incluso con SECURE BOOT OFF. Con SECURE BOOT ON, si la firma de malware se agrega a la lista de confianza, todavía no existe en la tabla SECURE BOOT en el firmware, por lo que no se puede ejecutar. Sin embargo, Veracrypt tiene un script para agregar su firma a la tabla de confianza del firmware [con resultados mixtos], por lo que es posible que el malware haga lo mismo con SECURE BOOT ON. El malware puede iniciarse si intenta imitar los archivos de confianza en la tabla UEFI InsydeH20 con SECURE BOOT OFF si InsydeH20 no usa firmas para asegurar su integridad. La publicación anterior muestra que otro usuario cambió el nombre de veracryptb a Windows Boot Manager y arrancó, y muestra que mimic ploy puede funcionar para Windows Boot Manager. Sin embargo, no es fácil imitar el gestor de arranque veracryptb debido a las claves generadas durante la creación de la partición segura que es única para cada cargador de arranque, un imitador probablemente no podrá iniciarse en veracrypt. Lo anterior se aplica solo a la implementación de UEFI de INsydeH20, para su UEFI, YMMV.

No edite el estado TPM a menos que esté seguro. Si las firmas no se pueden generar sobre la marcha o solo se suministran en fábrica, el borrado del estado puede bloquear el PC [3 en la foto].

    
respondido por el C6760H10447N1743O2010S32 01.06.2017 - 13:06
fuente

Lea otras preguntas en las etiquetas

¿Cómo determina google (sitios web) mi ubicación? ¿Cuál es la motivación para excluir / usr / local / bin del PATH de root?