Windows 11 update reboot loop - Инсталляция, администрирование, поддержка

SD>Речь идет о полнодисковом шифровании bitlocker, когда все end-to-end encrypted. И ты даже загрузиться не можешь, если ключа нет. Это единственно правильный и безопасный метод работы. Я не знаю, как именно это настраивается в линуксе. В винде же можно просто установить одну Group Policy Setting, и все компьютеры в организации будут автоматически использовать полнодисковое шифрование. Линух, он вообще имеет такие групповые политики?

Вот прям автоматически? Но ведь процесс перехода раздела в зашифрованное состояние и обратно небыстрый.

Однако мой предыдущий коммент был про автообновления, а не про шифрование.
В такой ситуации неясно не только, как починить, но даже что за обновление это было.

Здравствуйте, SkyDance, Вы писали:

aik>>Ну, хотя бы так — винду переставили (с сохранением данных или без) или осталась старая?
SD>Старая. Говорит, что сначала они ввели bitlocker key, потом она залогинилась, вместо картинки был черный экран, затем они что-то сделали (hard restart как минимум), потом все заработало.

hard restart — это что ещё за зверь?

Кстати, вот интересно — F8 и менюшка виндового загрузчик выпилены в 11й винде совсем? Или это настолько качественный апдейт пришёл, что F8 отвалилась?

Здравствуйте, SkyDance, Вы писали:

vsb>>Ну ок. С линуксом, конечно, гораздо удобней, но, наверное, и лив сиди винды можно найти, хотя я и не представляю, где.

SD>Что именно "с линуксом удобнее"? В случае с виндой не надо никаких livecd, просто при загрузке вводишь ключ, и все. Что может быть еще удобнее?

Ну вот у топикстартера никакой загрузки нет. В случае с линуксом я беру флешку с ливсиди, гружусь с неё и вытаскиваю что мне надо. После чего могу переустановить или попытаться починить.

SD>А как именно воришка, стащивший твой ноутбук, получит доступ к файлам, кроме как вытащив SSD и поставив в другой компьютер? Если воришка просто включит твой компьютер, первым делом ему нужно будет ввести твой пароль.

Без понятия, как. Но если ключ шифрования в TPM, значит он может загрузиться из линукса и использовать тот же алгоритм, который использует винда, чтобы расшифровать этот диск.

SD>Теперь подумай, а каким ключом ядро "расшифровывает корень", и где этот ключ хранится

Ключ это пароль, который ядро запрашивает у пользователя сразу после начала загрузки.

SD>Реализация всех этих штук давным-давно уже стандартизована. Нет никакой разницы между ОС. Я не удивлюсь, если линуксовый загрузчик понимает ключ в формате как его ожидает bitlocker.

И как называется стандарт? Я сомневаюсь, что это стандарт и на 99% уверен, что линукс его не поддерживает, т.к. с шифрованием диска разбирался и ни про какие битлокеры там никто никогда ничего не писал. Линуксовая технология для шифрования диска называется luks.

READ)" в dmesg, а dmesg в линуксе доступен ну просто всегда. Подключил этот же девайс к винде на другом ноуте — диск и там отваливается.

Спрашивается — вот та херовина, которая ставит апдейт и потом молча перезагружается — почему её нельзя обойти и включить safe mode по f8 и увидеть блюскрин с "диску трындец"? Что вообще за манера прятать процесс загрузки? Ну ладно, окей, система сломана из-за диска, чего я ожидал вообще. Но софтина Dell с соседнего раздела загрузилась, разлочила диск, т.е. как бы работает, железо видит, тест диска может прогнать (ни черта не нашла), запускаю бэкап из неё — копирует 1 гиг и... молча виснет, нормально? Риторические вопросы. Зато можно ключ ввести руками, полезно, даааа.

Получается, USB коробка кривая RTL9210 и не способна выносить такие ошибки. Т.е. надо ноут с 2 слотами NVMe (в надежде что если прям в PCIe втыкать — то отваливаться не будет и можно будет, пропуская секторы, вытащить что то), или воткнуть этот NVMе в единственный слот и грузиться с USB чтоб dd его для последующего ковыряния. Чего будем грузить с флэша тоже понятно — не венду. Эх.

aik>hard restart — это что ещё за зверь?

Это Ctrl прижат при клике на "shutdown".

aik>Кстати, вот интересно — F8 и менюшка виндового загрузчик выпилены в 11й винде совсем? Или это настолько качественный апдейт пришёл, что F8 отвалилась?

Не выпилены, но по умолчанию выключены. Можно включить или в msconfig, или через командную строку, `bcdedit /set {default} bootmenupolicy legacy`

Если предыдушая загрузка не дошла до логина, то boot menu должно само появляться, т.к. это recovery mode. Насколько я понимаю, экран "enter bitlocker key" тоже где-то в этом же рекавери-загрузчике показывается.

vsb>Ну вот у топикстартера никакой загрузки нет.

Есть. Читай внимательнее. У топикстартера все стартует, затем спрашивает ключ шифрования, потому что предыдущий, сохраненный в TPM, невалиден, потому что загрузочная последовательность изменилась. Самая частая причина такого изменения — обновление BIOS, это вообще злобная подстава. И, кажется, только Dell свои обновления BIOS доставляет той же утилитой, что и виндовые, и драйверные апдейты.

У других контор ситуация чуть лучше. Скажем, MSI, у них BIOS отдельно обновляется от всего остального. При обновлении BIOS совершенно точно слетает подпись загрузчика, поэтому нужен ключ шифрования (bitlocker key).

В случае с обновлениями BIOS беда в том, что установка старой версии не возвращает предыдущую подпись. Так что ключ шифрования вводить придется по-любому. Без ключа шифрования обновления чего угодно в загрузчике — так себе идея.

vsb> В случае с линуксом я беру флешку с ливсиди, гружусь с неё и вытаскиваю что мне надо. После чего могу переустановить или попытаться починить.

Ты можешь ровно то же сделать с виндой. В качестве live cd используй обычную загрузочную флешку (с установочными файлами). Точно так же загружаешься, монтируешь диск (требуется ключ шифрования), делаешь что тебе нужно с какими угодно файлами, потом, если хочешь, можешь продолжить установку (или repair).

Все это в винде было с очень-очень старых времен, с начала 2000х. Куда раньше, чем шифрование в линухе вообще появилось. Так что хорош уже демонстрировать воинствующее невежество (помнишь старое такое слово "ламер"? так вот, это оно самое)

vsb>Без понятия, как. Но если ключ шифрования в TPM, значит он может загрузиться из линукса и использовать тот же алгоритм, который использует винда, чтобы расшифровать этот диск.

Нет, он не может загрузиться "из линукса", т.к. при любом изменении в процессе загрузки этот ключ уже невозможно достать. Я еще раз настаиваю на том, чтобы перед продолжением этой дискуссии ты разобрался в том, как и что работает. И понял, что это не "линух впереди планеты всей".

SD>>Теперь подумай, а каким ключом ядро "расшифровывает корень", и где этот ключ хранится

vsb>Ключ это пароль, который ядро запрашивает у пользователя сразу после начала загрузки.

Ключ полнодискового шифрования? То есть ты хочешь, чтобы bitlocker key у тебя на каждую загрузку спрашивали? В винде тоже так можно, но это надо быть ну очень странным человеком, чтобы такое хотеть.

Ты точно не путаешь его с user password, который не имеет отношения к шифрованию?

vsb>И как называется стандарт?

Secure boot. Linux его поддерживает, скажем, Дебиан, и, очевидно, его производные.

luks — это knock-off того самого битлокера

И, разумеется, он тоже поддерживает хранение ключей шифрования в TPM. Гуглить по LUKS TPM 2.0 unlock. Само собой, все это цельнотянуто у винды, причем с благословения микрософта (которые теперь один из крупнейших контрибуторов в линукс).

Подводя итог: прежде чем пропагандировать красноглазые фантазии, я предлагаю разобраться в том, кто на ком сидел. Винду ругать было модно, да и сейчас есть за что — но не за юзер-френдлинесс, и не за отсутствие поддержки важных фич. И не за "падучесть".

aik>Спрашивается — вот та херовина, которая ставит апдейт и потом молча перезагружается — почему её нельзя обойти и включить safe mode по f8 и увидеть блюскрин с "диску трындец"?

Можно, конечно. У меня именно так и происходило, всегда, если процесс загрузки не дошел до login screen, следующий старт идет сразу в recovery mode. Хотя, не знаю, что было бы, если бы бэд блок был прямо в загрузочном коде. Такого опыта у меня нет. Но вот какой есть, что бэд блок сидел чуть дальше, чем загрузчик, и из командной строки (та что "по f8") я запустил chkdsk и он-то мне все и сказал

aik>Что вообще за манера прятать процесс загрузки?

Ага, это меня тоже раздражает, так что я выключаю все эти "full-screen boot image".

aik>Получается, USB коробка кривая RTL9210 и не способна выносить такие ошибки.

У меня на такие "коробки" аллергия. Они все кривые.

aik>Т.е. надо ноут с 2 слотами NVMe

Лучше десктоп. У моего аж 3 таких слота, и если надо больше, можно PCIe адаптер купить.

Хотя ноуты почти все с двумя NVMe слотами нынче идут. У меня был lenovo legion, сейчас msi studio, и там, и там есть два слота.

Я бы грузился в винду, хотя бы посмотреть, спросит ли оно про bitlocker key, — если спросит, есть шансы что-то спасти с дохлого диска. Делов на 5 минут.

Здравствуйте, SkyDance, Вы писали:

SD>Я еще раз настаиваю на том, чтобы перед продолжением этой дискуссии ты разобрался в том, как и что работает. И понял, что это не "линух впереди планеты всей".

Когда я начал разбираться, почему Kaspersky Live USB не видит мой виндовый раздел на ноуте с нулевым шифрованием Битлокера, мне потребовалось несколько часов. И всё это мне очень не понравилось. Какого-то хрена grub подписывают в MS.

Из всего я сделал вывод, что если раньше бэкапы были нужны, то сейчас они особо нужны, потому что шифрование есть у всех, а люди с ним обращаться не умеют.

С>Из всего я сделал вывод, что если раньше бэкапы были нужны, то сейчас они особо нужны, потому что шифрование есть у всех, а люди с ним обращаться не умеют.

Аминь!

С>Когда я начал разбираться, почему Kaspersky Live USB не видит мой виндовый раздел на ноуте с нулевым шифрованием Битлокера, мне потребовалось несколько часов. И всё это мне очень не понравилось. Какого-то хрена grub подписывают в MS.

Так и в чём дело было?

Здравствуйте, SkyDance, Вы писали:

SD>Можно, конечно. У меня именно так и происходило, всегда, если процесс загрузки не дошел до login screen, следующий старт идет сразу в recovery mode. Хотя, не знаю, что было бы, если бы бэд блок был прямо в загрузочном коде. Такого опыта у меня нет. Но вот какой есть, что бэд блок сидел чуть дальше, чем загрузчик, и из командной строки (та что "по f8") я запустил chkdsk и он-то мне все и сказал

Бэд не "прямо в загрузочном коде", потому что этот продукт грузится, находит устройства, апдейт и начинает это всё ставить, а потом, не ругаясь, перезагружается как будто так и задумано. А F8 просто игнорирует, поэтому и вопрос. И я походу только сейчас догнал что это фича 11 винды с UEFI BIOS https://www.digitalcitizen.life/windows-11-safe-mode/ — я видел эти экраны, там закопан и safe mode.

SD>Лучше десктоп. У моего аж 3 таких слота, и если надо больше, можно PCIe адаптер купить.
SD>Хотя ноуты почти все с двумя NVMe слотами нынче идут. У меня был lenovo legion, сейчас msi studio, и там, и там есть два слота.

Прям вот nvme? Это какие то игровые ноуты что ли? В обычный мелкий PCIe слот эти nmve надо молотком забивать, а в прочих ноутах есть лишь SATA дополнительно.

SD>Я бы грузился в винду, хотя бы посмотреть, спросит ли оно про bitlocker key, — если спросит, есть шансы что-то спасти с дохлого диска. Делов на 5 минут.

И винда, и линукс спрашивают и принимают этот ключ, показывают файлы, но дальше первого гигабайта не копируют — процесс встаёт колом, а потом диск отваливается (upd: это по USB подключение). Загрузил линукс с usb, запустил "dd iflag=direct conv=noerror,sync if=/dev/nvme0n1 ...", этот уверенно копирует по сетке, потом буду расковыривать.

aik>Прям вот nvme? Это какие то игровые ноуты что ли?

Lenovo Legion игровой, а MSI Stealth Studio позиционируется как "для креативщиков" (это рабочий ноут). Я еще и другие ноуты видел, но так чтоб без второго NVMe — это в основном "ультрабуки" где вообще все на материнке распаяно.

aik>И винда, и линукс спрашивают и принимают этот ключ, показывают файлы, но дальше первого гигабайта не копируют — процесс встаёт колом, а потом диск отваливается (upd: это по USB подключение). Загрузил линукс с usb

Можно было бы ровно так же загрузить винду с USB, и скопировать файлы (на другую флешку). Расшифрованные.

Здравствуйте, m2user, Вы писали:

С>>Когда я начал разбираться, почему Kaspersky Live USB не видит мой виндовый раздел на ноуте с нулевым шифрованием Битлокера, мне потребовалось несколько часов. И всё это мне очень не понравилось. Какого-то хрена grub подписывают в MS.

M>Так и в чём дело было?

Дело в том, что Касперский забил на LiveUSD/LiveCD. И только. Обычная Live USB Ubuntu может подключать такие разделы.

Сейчас, как я понял, на почти всех компьютерах с Win10+ дисковые разделы находятся внутри разделов BitLocker, только пока ты не включишь шифрование, ключ хранится то ли открыто, то ли это везде один и тот же ключ. Вглубь технических деталей я не лез, это в универе мне было интересно, чем MBR от boot sector отличается, сейчас это вызывает не то, чтобы отвращение, но скорее безразличие.

aik>И винда, и линукс спрашивают и принимают этот ключ, показывают файлы, но дальше первого гигабайта не копируют — процесс встаёт колом, а потом диск отваливается (upd: это по USB подключение). Загрузил линукс с usb, запустил "dd iflag=direct conv=noerror,sync if=/dev/nvme0n1 ...", этот уверенно копирует по сетке, потом буду расковыривать.

/dev/nvme0n1 это уже без шифрования или ты шифрованный копируешь?

Здравствуйте, m2user, Вы писали:

M>/dev/nvme0n1 это уже без шифрования или ты шифрованный копируешь?

Шифрованный. Потом примонтирую в винду в виртуалке или линуксовыми тулзами расковыряю. Ну и, для статистики, потом загружу винду с usb, сравню

Здравствуйте, SkyDance, Вы писали:

SD>Можно было бы ровно так же загрузить винду с USB, и скопировать файлы (на другую флешку). Расшифрованные.

Но как, Холмс? Скачал installation media, закатал на usb, загрузился — или инсталляция, или рекавери. Я, конечно, за рекавери, начинается принудительная диагностика, и винда уходит на перезагрузку.

Пошёл в гугл, сделал usb с windows11 to go, загрузился, кое-как запустил диск (на каждом шаге заботливо поставлена ловушка). Запустил check disk, говорит — ништяк, прочекал. Запустил копирование — скопировало свой гигабайт, выругалось на пару недоступных файлов и — процесс копирования остановился. Что запустить то, чтоб оно с матами, но закончило процесс за сутки, скопировав что можно? В винду кладут dd или что нить восстанавливающее? Или что то ставить дополнительно надо?

aik>Но как, Холмс? Скачал installation media, закатал на usb, загрузился — или инсталляция, или рекавери.

Shift + F10, вроде бы, но наверняка не помню. Загуглил по-быстрому, вроде так. Я что-то такое и делал (когда еще надо было без TPM ставить винду11).

aik>Пошёл в гугл, сделал usb с windows11 to go

О, уже и такое есть? Я не знал.

aik> Запустил копирование — скопировало свой гигабайт, выругалось на пару недоступных файлов и — процесс копирования остановился. Что запустить то, чтоб оно с матами, но закончило процесс за сутки, скопировав что можно? В винду кладут dd или что нить восстанавливающее?

До таких глубин я не доходил. Думаю, что-то подобное есть, но где брать, не знаю.

Здравствуйте, SkyDance, Вы писали:

aik>>Но как, Холмс? Скачал installation media, закатал на usb, загрузился — или инсталляция, или рекавери.
SD>Shift + F10, вроде бы, но наверняка не помню. Загуглил по-быстрому, вроде так. Я что-то такое и делал (когда еще надо было без TPM ставить винду11).

Тот шелл показывал только рамдиск, а не реальный диск. Это даже с полной виндой, загруженной с usb, так было — диск был "offline" (потому что "policy"), пока я его руками не заонлайнил в computer manager, а как это же самое в консоли делать вот фиг его знает.

aik>>Пошёл в гугл, сделал usb с windows11 to go
SD>О, уже и такое есть? Я не знал.

Скорее, такого уже нет — в 8 и 10 винде поддерживалось, в 11 уже как бы и нет, но руфусу не мешает — и ладно

	От:	m2user
	Дата:	19.06.24 04:49
	Оценка:

	От:	aik
	Дата:	19.06.24 05:03
	Оценка:

	От:	vsb
	Дата:	19.06.24 10:13
	Оценка:

	От:	aik
	Дата:	20.06.24 03:08
	Оценка:

	От:	SkyDance
	Дата:	20.06.24 16:26
	Оценка:

	От:	Слава
	Дата:	21.06.24 10:12
	Оценка:	1 (1)