После криптования диска с windows veracrypt система начала виснуть
Я хочу двойную загрузку Windows 10 вместе с Arch Linux на 1 SSD. SSD - 465 ГБ, и я хочу использовать Veracrypt для шифрования жесткого диска и включения аутентификации перед загрузкой.
Я не пытался сделать это до сих пор, так как я не могу найти какую-либо информацию об этом на веб-сайте Veracrypt.
Должен ли я стереть диск, разбить его на два раздела и установить соответствующие операционные системы на их разделы? Что после этого? Я могу зашифровать систему, используя Veracrypt, например, когда захожу в свою ОС Windows, но будет ли это шифровать и раздел Linux?
Будут ли они использовать один и тот же пароль для предварительной загрузки, и смогу ли я выбрать, с какой операционной системы загружаться, из загрузчика Veracrypt?
Кроме того, если я зашифрую несистемный раздел, являющийся частью другого жесткого диска, на котором установлены операционные системы, смогу ли я без проблем получить доступ к зашифрованному разделу из обеих операционных систем?
Это работает идентично тому, как работает Truecrypt. Вы действительно должны просто попытаться сделать это, когда вы
Нет необходимости стереть. Операционные системы всегда находятся на своем собственном разделе. Veracrypt может шифровать только систему Windows и только при использовании BIOS против UEFI. Разработчик заявил, что планов поддержки * nix систем нет. Если вы хотите, чтобы ваша система Linux была зашифрована, посмотрите на dm-crypt и LUKS. Кроме того, вы, похоже, неправильно понимаете возможности системного шифрования Veracrypt. Он не поддерживает полное шифрование диска; только сам системный раздел Windows. Разделы восстановления и восстановления не зашифрованы.
Если у вас есть несколько разделов Windows (обычный или скрытый и обычный), в загрузчике должно отображаться только поле ввода пароля. Вы обязаны запомнить пароль и узнать, какую операционную систему он разблокирует. Каждый загрузочный раздел будет использовать свой собственный пароль. Не знаю, что произойдет, если вы решите поставить один и тот же пароль для разных систем.
Если у вас установлен Veracrypt на обоих компьютерах, вы сможете получить доступ к разделам, зашифрованным Veracrypt, на любом подключенном диске.
Привет @ Veranon, ты уверен, что Veracrypt не может сделать системное шифрование для Linux? (Я много искал, не нашел ни да, ни нет, просто ничего в этом отношении).
Может кто-нибудь подтвердить, если у меня (без Linux) раздел данных C (Windows) и D (NTFS, используется из Windows), D не защищен системным шифрованием ?!
Я сделал что-то подобное с truecrypt, и это должно быть возможно и с veracrypt.
- Установить windows
- дать ему весь диск
- после установки зашифруйте с помощью veracrypt, сообщив, что windows "является единственным" на диске.
- После этого перезагрузите компьютер с Windows, сожмите диск, сделайте дополнительный раздел
- перезагрузите снова и установите Linux рядом с Windows
- убедитесь, что загрузчик Windows сохранился, поэтому поместите загрузчик linux в новый раздел, а не в mbr!
- Единственное, что осталось, это запись в загрузчике Windows, указывающая на загрузчик Linux.
Это сработало в прошлый раз, когда я сделал это с truecrypt. Если Veracrypt является преемником, он тоже должен работать.
Но учтите, что обе системы могут и будут отображаться в загрузчике. Так что никакая «вероятная отрицательность» невозможна. Поэтому, в зависимости от вашей страны, это может быть не тем решением, которое вы ищете.
Пробовал, но не удалось, EasyBCD добавить запись в загрузчик Windows не видит раздел Linux. Это Win10 и Linux mint 18.3
Системный раздел VeraCrypt предназначен только для системного раздела Windows.
Это не означает, что другие разделы также могут быть зашифрованы, ищите избранное в VeraCrypt для автоматического монтирования раздела DATA с разделом, зашифрованным системой.
Также VeraCrypt может шифровать разделы Windows и Linux и монтировать их, но с некоторыми соображениями:
-Windows-версия не любит хорошо иметь разделы внутри файла контейнера -Windows-версия хочет FAT32 или NTFS в качестве формата для зашифрованного (внутри файла-контейнера или раздела) -Linux-версия может зашифровать раздел и с файловыми контейнерами вы также можете сделать fdisk внутри их и разделить на более чем один раздел и отформатировать каждый из них с любой файловой системой Linux -Linux версия не имеет предварительной загрузки и поэтому она не может зашифровать (быть не может загрузиться) системный раздел
Основные понятия: -Предзагрузка доступна только для системного раздела Windows. -Монтаж контейнера (файла или раздела) в Windows предполагает, что он будет содержать только одну файловую систему, отформатированную как FAT32 или NTFS. -Монтаж контейнера (файла или раздела) в Linux - это все равно, что иметь новое блочное устройство, где можно смонтировать разделы с помощью fdisk при монтировании. Да, в Linux вы можете иметь физический раздел типа, зашифрованный VeraCrupt, и, например, при его монтировании. на / mny / MyVeraCryptPartition / вы можете сделать fdisk для этого пути и создать разделы внутри него
Чтобы лучше прояснить этот момент: VeraCrypt в Linux монтирует контейнер, как если бы он был блочным устройством, большинство людей используют mkfs для точки монтирования, но некоторые из нас делают полный fdisk, чтобы разделить его и на разделы.
Я не тестировал с помощью командной строки в Windows, но я боюсь, что в Windows она очень ограничена.
Чтобы объяснить это подробнее: В Linux вы можете сделать mkfs для / dev / sdb /, но это не так часто, большинство пользователей также не думают, что это возможно, но Linux позволяет вам это делать. Это именно то, что делает большинство пользователей после монтирования зашифрованных контейнеров (файлов и разделов), создает файловую систему на всем блочном устройстве, но Linux также позволяет вам создавать разделы, если используется fdisk.
Мне нужна помощь с: Как защитить несколько окон, я имею в виду / dev / sda1 WindowsA, / dev / sda2 WindowsB / dev / sdaX Grub2 и т. Д., Используя VeraCrypt! Я ничего не нахожу о том, как это сделать.
Еще одна вещь, касающаяся «личных данных», если вы не используете 100% всех жестких дисков на ПК, вы не можете быть уверены, что личные данные не сохраняются где-либо в «обычном» виде . SoureCode не всегда доступен для всех приложений, поэтому где и что сохраняет некоторые приложения? Больше дампов памяти? ОБМЕН? ВСЕ должны быть зашифрованы, иначе вы позволите сохранить данные в виде простого текста.
Хуже всего то, что все больше и больше модернистских дисков (большинство в SSD) используют внутренний сектор трансляции, чтобы мужские секторы перезаписывались как можно меньше, поэтому после записи вы не сможете перезаписать ее, поскольку аппаратное обеспечение диска будет сохранять данные на другом часть менее используется и т. д.
Для 100% защищенной системы только одно решение: -Подключите Grub2 на USB, загрузитесь с него, затем подключите / dev / sda / (да, целое блочное устройство) как зашифрованный том на лету, затем подключите из него разделы внутри. позвольте USB-порту быть извлеченным и выполните загрузку с этих разделов, зашифрованных на лету . так что все байты диска зашифрованы. Шаг 2: Заполните все свободное место случайным файлом, затем удалите его, чтобы записать все остальные данные, чтобы не оставалось ни одной простой части (необходимо заполнить ее полностью, чтобы быть корнем и не использовать% для зарезервированных )
Да, я могу быть замечен как параноик! Но нет, это всего лишь основная идея: я не знаю, где все приложения сохраняют данные и какие данные они сохраняют, и в Windows невозможно быть уверенным в чем-либо, это всегда используется файл подкачки, независимо от того, есть ли free ram, некоторые приложения запускаются, если нет виртуальной памяти. Некоторые приложения сохраняют данные непосредственно на первом цилиндре, минуя файловые системы.
Пример: приложение для обработки текста, которое аварийно завершает работу и при повторном запуске отображает то, что вы написали, а вы никогда не сохраняли, где оно сохраняет эти данные? Некоторые из них экономят время при помощи временных папок, другие - в папке, где установлено приложение, и т. Д., Это зависит только от того, что автор написал.
В интернете уже есть множество статей на эту тему. Я провел короткое исследование, в ходе которого обнаружилось, что большинство из них задействуют стандартные настройки VeraCrypt, которые уже давно отработаны злоумышленниками и не могут считаться безопасными. Поскольку с развитием и появлением на рынке мощных пользовательских устройств растет и спрос на превосходящее его по характеристикам энтерпрайз-оборудование.
Сегодня я расскажу, как мы будем выстраивать линию обороны для защиты данных на устройстве с Windows.
Этот материал вдохновлен статьёй Олега Афонина "Как укрепить «Веру». Делаем шифрованные контейнеры VeraCrypt неприступными". Если вы хотите углубиться в тему ИБ, то можете задонатить и подписаться на него.
Важно
Есть небольшая вероятность, что ваш процессор (старенький или недорогой) не поддерживает технологию ускоренной расшифровки AES. В таком случае расшифровка диска при включении устройства вместо секунд будет занимать минуты (время от ввода пароля до начала загрузки ОС будет занимать больше).
Или проверить можно на сторонних сайтах, пример здесь.
Также можно проверить наличие данной технологии с помощью самой программы VeraCrypt. После установки зайдите в Сервис —> Тест скорости. Нас интересует показатель в правом нижнем углу.
Показатель "Да" будет означать наличие ускорения, показатель "Н/П" — ее отсутствие.
Установка
Скачивайте с официального сайта. Заходим на вкладку Downloads, выбираем версию (Installer for) для своей операционной системы, я выбрал Windows.
Далее открываем скачанный файл и начинаем установку. Тут все просто, подтверждаем все пункты пока не установим программу.
VeraCrypt в конце процедуры может пожаловаться на функцию быстрого запуска ОС. В этом случае, отключаем ее:
Эксплуатация
После перезагрузки открываем VeraCrypt и создаем новый том. В открывшемся мастере создания томов мы делаем следующее:
Выбираем "Зашифровать раздел или весь диск с системой"
Тип шифрования — обычный
Область шифрования — на выбор два варианта, "Зашифровать системный раздел Windows" или "Зашифровать весь диск". Если у вас доступен второй, то выбираем его.
Число операционных систем — "Одиночная загрузка", если у вас на машине только одна ОС.
Шифрование
И тут мы переходим к самому интересному, методам шифрования.
В качестве алгоритма мы выбираем проверенный временем AES, а вот с хэшированием уже посложнее.
В первую очередь злоумышленники отрабатывают самые распространенные сценарии, AES и SHA-512, которые стоят по умолчанию. По возможности отказываемся от стандартных настроек: усложняем задачу хакерам, чтобы им пришлось дольше угадывать какой комбинацией вы шифруетесь.
Лично я выберу Whirlpool.
Внимание, ни при каких условиях не выбирайте Streebog, данный алгоритм содержит дыру в безопасности (разработан Центром защиты информации и специальной связи ФСБ России с участием ОАО "ИнфоТеКС")
Далее идет выбор пароля. Подробнее о том из чего состоит хороший пароль вы можете найти в нашей статье. Важный совет: придумайте уникальный, который еще нигде не использовали. Корпорации хранят даже ваши старые логины-пароли на серверах. Один запрос "правоохранительных" органов и все ваши данные авторизации окажутся у них в руках.
Ставим галочку "Использовать PIM" и идем дальше.
PIM (Personal Iterations Multiplier)
Нас попросят ввести PIM, там же приводится описание данного термина. Чем больше — тем безопаснее, но вместе с тем медленнее. Подождать лишние секунды при загрузке несложно, а нам полезнее.
Если вам интересны конкретные цифры, то ниже будут представлены картинки с тестами:
Настройки PIM по умолчанию (485):
Чтобы у вас сложилось понимание почему мы должны его использовать, представим, что даже если злоумышленник знает пароль, ему придется перебирать все вариации PIM, то есть (1,2,3 . n) чтобы расшифровать диск. И если не знать точного числа, то можно застрять надолго, что играет нам на руку.
Но даже при высоком значении стоит выбирать номер очень аккуратно. То есть комбинации 1234 / 2012 / 1939 / год рождения ребенка / поступления / совершеннолетия сразу отбрасываем. Число никак не должно быть связано с вами, и при этом не быть слишком тривиальным.
Итак, PIM должен быть большим, анонимным и неординарным. Например 1709.
Нам предложат сгенерировать дополнительные ключи, нам они не требуются, нажимаем далее.
Затем последует предложение по созданию диска восстановления. Если вы храните важные данные в защищенном облаке, то можете пропустить данный этап. Если же все данные хранятся только на устройстве, то можно создать флешку восстановления ключей. Даже если злоумышленники найдут флешку — сделать с ней они ничего не смогут. Как и говорится в описании, годится она лишь для восстановления загрузочного раздела. Пароль придется вводить в любом случае.
Далее идет режим очистки. Описание данное самой программой я считаю достаточным, лишь отмечу, что я выбрал 3 прохода.
Пре-тест
Теперь, когда мы выполнили все необходимые настройки, нам остается лишь сделать пре-тест, в ходе которого компьютер перезагрузится, но вместо привычного значка Windows нас поприветствует холодный интерфейс шифровальщика, который попросит ввести пароль и PIM. Вводим.
Для особых случаев в ходе пре-теста (например если вы резко забыли пароль и PIM придуманные 5 минут назад) существует механизм обхода ввода пароля. Нажимаем на ESC и загружаемся в Windows. VeraCrypt уведомит нас что пре-тест провалился и предложит пройти его снова. Мы от предложения отказываемся.
Заходим в Система —> Окончательно расшифровать системный раздел/диск. Убеждаемся что ничего не зашифровано и повторяем весь процесс шифрования с начала.
В случае успешного входа нас встретит VeraCrypt с оповещением, что пре-тест выполнен успешно, и нам остается лишь зашифровать диск, что мы и делаем, нажав Encrypt, после чего ждем около 15 минут.
Вы сделали это. Вы - Молодец.
Дальше ответы на вопросы:
— За раз шифруется только 1 диск ?
— В данной статье мы шифровали только системный, в том случае если у вас имеются дополнительные, вы повторяете все те же действия указанные ранее. В таком случае для доступа к этому диску вам каждый раз придется заходить в VeraCrypt чтобы размонтировать диск и получить к нему доступ. Лучше просто не держать на втором диске важной информации, чтобы не тратить время на его шифрование.
— Разве увеличение длины пароля на два-три знака из расширенного набора символов не даст схожий или даже лучший результат чем PIM?
— Если подходить с чисто вычислительной точки зрения, то даст. Реальность же такова, что большая часть атак проводится с настройками по умолчанию. Программы, способные использовать атаки с нестандартным значением PIM, можно пересчитать по пальцам одной руки, а программ, которые способны автоматизировать атаки с кастомным рядом значений PIM, и того меньше.
Я решил поделиться своим небольшим опытом по криптованию дисков с мультизагрузкой – надеюсь, понравится и пригодится, и следующему желающему не придётся копаться так долго, как мне. Расписать постарался максимально подробно, если переборщил – извините.
Итак, постановка задачи: вы хотите держать все свои данные зашифрованными, но при этом у вас на одном жёстком диске расположился как Линукс, так и Виндовс. Это может понадобиться, например, если нужна программа, которая не представлена в Лине, или если есть какие-то корпоративные требования безопасности или… Да мало ли зачем благородному дону или донне нужны две ОС.
Смотреть в сторону богомерзких решений с закрытыми исходниками типа BitLocker мы, разумеется, не будем. Для Windows нам понадобится VeraCrypt, а для Линукса – встроенный в большинство дистрибутивов LUKS.
Проблема же заключается в том, что при шифровании Windows с помощью TrueCrypt или VeraCrypt они записывают себя на первое место в списке загрузчиков и после ввода пароля у нас уже нет возможности загрузить Linux. Решение именно этой проблемы представлено в заметке, которую вы читаете. (На русском языке я не нашёл аналога, а то, что на английском - без скриншотов и вообще недостаточно подробно)
Первым устанавливается Виндовс, чтобы установившийся вторым Линукс – я выбрал для демонстрации лаконичный Manjaro – поставил свой загрузчик GRUB 2. Разумеется, при разметке следует оставить место для линукса! Windows самостоятельно создаст раздел FAT32 размером в 100 Mb с флагами boot и esp.
Поставили? Отлично, теперь Линь. Для начала проверим, всё ли в порядке с таблицей разделов: в gparted вы должны увидеть нечто подобное.
При установке выбираем Manual Partitioning, создаём зашифрованный раздел в свободном пространстве и монтируем стомегабайтный раздел в /boot/efi без форматирования. Ставим, перезагружаем, вводим пароль и с удовольствием видим меню выбора ОС с обеими системами.
Manjaro зашифрован, Windows пока нет. Исправим! Загружаемся в Windows, устанавливаем VeraCrypt (все параметры установки по умолчанию, все программы качать только с офсайтов, благо они пока поддерживаются) и шифруем систему (Система -> Зашифровать системный раздел/диск). Никакого выбора у вас особо не будет, так что придётся оставить “Зашифровать системный раздел Windows” и “Одиночная загрузка”. Параметры шифрования выбираете по вкусу. Я бы предпочёл Serpent(AES) – когда-то у программы были проблемы с реализацией AES, так что лучше перестраховаться. Остальное на ваше усмотрение.
Перезагружаетесь и обнаруживаете требование сразу ввести пароль для винды. Всё, теперь линукс недоступен.
Теперь начинается неочевидная часть. После того, как вы окончательно зашифруете диск (может занять значительное время), скачайте, установите и запустите EasyUEFI. Программа условно-бесплатная, но нам бесплатных функций хватит. Выбираете раздел Manage EFI Boot Option и записывайте путь загрузчика VeraCrypt - File Path на скриншоте. Он нам ещё понадобится.
Далее есть два варианта.
1.
Когда я ставил на собственный компьютер, там была видна опция Manjaro – в этом случае просто ставим её наверх зелёной стрелочкой и перезагружаемся в Linux.
Загрузчик Линукса не имеет ни малейшего представления о том, что Windows зашифрован, и при выборе в нём опции Windows он не будет пытаться запустить старый загрузчик - который, разумеется, ничего не найдёт на обработанном VeraCrypt разделе. Надо указать ему путь к новому загрузчику VeraCrypt. Вбиваем
Как известно, популярная программа VeraCrypt умеет не только создавать зашифрованные контейнеры, но и шифровать целые разделы и диски, в том числе системные. При шифровании системного тома в Windows добавляется специальный загрузчик, запускающий VeraCrypt при старте операционной системы. В отличие от других загрузчиков, например, устанавливаемых второй операционной системой Windows или Linux, загрузчик VeraCrypt не включен в загрузочное меню.
В котором пользователь мог бы выбирать между операционной системой и VeraCrypt, загрузка системы возможна только после ввода пароля и PIM раздела, если последний задан.
К сожалению, разработчики шифровальщика до сих пор не устранили баг, из-за которого Windows может заместить загрузчик VeraCrypt системным загрузчиком уже после шифрования системного раздела. При этом сам загрузчик шифровальщика не удаляется, а лишь смещается в порядке очереди. Когда такое происходит, первой пытается загрузиться система, но по понятным причинам не может этого сделать, так как для доступа к системным файлам сначала нужно ввести пароль шифрования. В результате Windows запускает процедуру автоматического восстановления, которая по той же самой причине завершается ошибкой.
Предотвратить самовольное изменение загрузочной информации операционной системой, конечно, можно, но для этого в настройках UEFI придется установить пароль — мера, приемлемая далеко не всеми пользователями. Но что делать с незагружающейся Windows? Если у вас имеется под рукой аварийный загрузочный образ VeraCrypt, а он должен быть, поскольку при шифровании системного раздела программа предлагает записать его на оптический диск или флешку, загрузитесь с этого аварийного диска и восстановите «потерявшийся» загрузчик программы. Это даст вам возможность запустить Windows, далее действуем следующим образом.
Скачайте из интернета бесплатную утилиту Bootice, запустите, переключитесь на вкладку UEFI и нажмите кнопку «Edit boot entries».
Откроется окошко редактора загрузочных записей, среди которых вам нужно будет выделить запись VeraCrypt BootLoader (DcsBoot) и нажатием кнопки «Up» поднять ее выше.
Также убедитесь, что чекбокс «Active» отмечен флажком, а в поле «Media file» указан путь к загрузчику VeraCrypt .
Завершите работу Bootice нажатием «Close» и перезагрузите компьютер в штатном режиме.
Если настройки будут применены успешно, вы увидите загрузчик VeraCrypt.
А вообще, старайтесь избегать шифрования системного тома программой VeraCrypt на компьютерах с UEFI . Не все платформы UEFI поддерживают такое шифрование, а те, которые поддерживают, не всегда делают это корректно. Если вы хотите использовать VeraCrypt, используйте его в режиме файлового контейнера, для шифрования же раздела с операционной системой есть Bitlocker.
Если сильный [off] - извиняюсь.
Шифровал системный раздел, а как оказалось весть
Когда делал посекторку выдало около 20 ошибок, лог сохранил, но не знаю как его сюды кинуть, том не открывается т.к. ОСь не видит его, так как неизвестная файловая системы, и да если его ось увидит я его расшифрую, в винде раздел не открывается т.к. не та файловая система
Zagadnik
Для случая со второй картинки существует фишка, в виде скрытого тома.
Изображаешь что тебя измучали и выдаёшь пароль. Мучители довольны, открывают том и видят на нём содержимое - только оно не то, что реально критично.
Добавлено через 2 минуты
igarilla
Если бы ты шифровал весь диск, то не было бы видно и системного раздела и его данных.
И открывать том надо после его монтирования в веракрипте. И если ты не делал это раньше, то ранее включил автомонтирование или реально не твой диск (какое звание?).
Не понял, в чём проблема с прикреплением лога? Запакуй и прикрепи как предыдущий (лог сканирования) - в расширенном режиме редактирования.
Прошу прощения друзья, но после того как у меня всё нае. лось я недолго думая и не посмотрев что весь диск накрылся просто переустановил на системный раздел ОСь, вот поэтому то её и видно
В том то и дело, не могу я смонтировать в веракрипте этот том, ОСь его не видит, ругается на файловую систему
Тот лог прикреплён выше.
Шифрованные? Если ты до сих пор не понял - я не про контейнеры, я - про шифрование (которое изрядно усложняет извлечение данных).
Это, уж извини, вообще ни в какие рамки не лезет: вот ну что такого у тебя могло быть в системном разделе, что его стОило шифровать.
Есть предложение - сейчас не паниковать, не принимать опрометчивые решения. Вместо этого вспомнить всё, потому как наличие щифрование было предполагаемо по результатам сканирования, а вот определить что винда установлена по новой мысль не возникала. в том числе потому как ставить винду на болезный диск ещё то харакири.
В принципе, если речь идёт только о перестановке винды на существующий раздел, то никаких подвохов с этой стороны не должно быть. Но он может быть в другом - налииче проблемных секторов на участке шифрованного раздела.
В том то и дело, не могу я смонтировать в веракрипте этот том, ОСь его не видит, ругается на файловую систему
Вот на этом этапе, прошу сосредоточится, отбросить свои предположения и осмыслить написанное далее.
Если нет проблем заголовка с заголовком тома, то веракрипт монтирует раздел.
То есть, ты должен выбрать "устройство" и попробовать его подключить в верактрипте. Если это не получается или на этом этапе веракрипт (а не винда) не видит устройство, то копаем в одном направлении.
А если всё примонтировалось, но уже винда не видит том, или определяет его как RAW и т.п. - это уже совсем другое.
И
То, что винда не видит файлы или пишет что том RAW и т.п. - это совершенно другое и шаги уже будут другие.
И, в идеале, показать все эти действия на скриншотах - если на них есть что то конфиденциальное (имя тома, файл и т.п. - затри).
Да, но я его приводил как пример. Потому что не пойму какие могут быть проблемы с прикреплением небольшого лога копирования. Потому как он покажет в каких секторах проблемы.
PS. И ещё раз - я не могу тебя заставить верить мне и делать что я советую, но рекомендую не делать то, что тебе предложил калекарь с кибера. Там сейчас недоступны картинки без регистрации, но по номеру сектора понятно что он хочет удалить запись о разделе. А вот это как раз нельзя делать. Точнее говоря, нет смыла, потому как именно после этого ты и не сможешь выбрать устройство в веракрипте. Но страшнее было бы если бы запись была удалена без видения номеров секторов начала и конца - потому как именно они критичны для решения проблемы.
Читайте также: