Wie Windows 10 Feature Upgrades mit VeraCrypt ohne entschlüsseln durchführen?

[Walka]

Hi,

ich möchte Windows 10 neu installieren und mit VeraCrypt komplett verschlüsseln (bis auf die übliche UEFI Partition eben). Jetzt finde ich aber keine Anleitung, wie das Upgraden von Windows 10 funktionieren soll, ohne das System wieder zu entschlüsseln und ob ich mir das zutrauen würde. Mein aktueller Wissensstand:

• Normale Updates waren und sind problemlos möglich.
• Früher waren Feature Upgrades, die Microsoft alle paar Monate ausrollt, nicht ohne vollständiges Entschlüsseln, dann upgraden, dann wieder verschlüsseln möglich.
• Mittlerweile soll dies auch ohne entschlüsseln möglich sein.

Daher die Frage: Kann mir jemand erklären, wie ein Feature Upgrade von Windows 10 funktioniert mit VeraCrypt ohne das System zu entschlüsseln (welche Schritte ich genau machen muss)?

Funktioniert das einigermaßen zuverlässig oder muss ich damit rechnen, alle 2-4 Mal danach mein System reparieren oder neu installieren zu dürfen?

Ich habe auf der offiziellen VeraCrypt Internetseite nichts dazu gefunden. Ich habe lediglich hier etwas gefunden. Das verstehe ich allerdings nicht wirklich. Auf der einen Seite klingt es so, als ob ich eine eine komplett neue Windows 10 Datei mit dem media creation tool herunterladen und dann verschiedene Schritte durchführen soll. Etwas weiter unten im Text klingt es dann so, als ob ich nur 1x

C:\ProgramData\VeraCrypt\SetupComplete.cmd

nach der Installation ausführen muss und dann Feature Upgrades immer ohne weiteren Aufwand über die normale Windows-Update-Funktion funktionieren.

Vielen lieben Dank!!

 

[gymfan]

Ich habe auf der offiziellen VeraCrypt Internetseite nichts dazu gefunden. Ich habe lediglich hier etwas gefunden. Das verstehe ich allerdings nicht wirklich.

Da ist doch das komplette Vorgehen beschrieben, das funktionieren soll:

• USB Stick mit dem MediaCreationTool erstellen
• Aus dem laufenden Windows heraus mit dem dort angegebenen Commanozeilen-Befehl die setup.exe des Feature-Upgrades starten.

Und vorher noch prüfen, ob VC über haupt die "SetupComplete.cmd" angelegt hat. Bei mir ohne Systemvershclüsselung existiert die Datei nicht.

Wenn Du allerdings mit der Kommandozeile auf Kriegsfuß stehst, würde ich es eher lassen.

Wobei mich auch meine Systemkonfiguration mit UEFI auf meinem Hauptrechner eher davon abhalten würde:
"Usual, setups using BIOS/UEFI+CSM do well while regular UEFI setups tends to cause trouble."

Etwas weiter unten im Text klingt es dann so, als ob ich nur 1x

C:\ProgramData\VeraCrypt\SetupComplete.cmd

nach der Installation ausführen muss und dann Feature Upgrades immer ohne weiteren Aufwand über die normale Windows-Update-Funktion funktionieren.

Klingt für mich nicht so.

"When it upgrades Windows 10 in the future, than it should install without any additional actions. Please note that this configuration file only apply for upgrades by Windows Update."
"Should" heißt auch bei MS "sollte". Ob das dann klappt oder ob MS diese Option mal wieder vergisst, weiss niemand. Außerdem funktioniert das nur, wenn Du danach konsequent jedes Upgrade aus dem "Windows Update" Dialog aus Win 10 heraus durchführst. Nicht, wenn Du es per Bootstick durchführst oder durchführen musst, weil das Upgrade aus Windows heraus nicht will.

muss ich damit rechnen, alle 2-4 Mal danach mein System reparieren oder neu installieren zu dürfen?

Warum ist sowas wichtig? Dass ein Upgrade auch ohne Fremdverschlüsselung daneben gehen kann, ist seit >5 Jahren bei Win 10 bekannt (naja eher seit fast 12 Jahren, Win 7 war nicht besser). Da kann man auch mal alle 1,5-2 Jahre ein Image seiner Systempartition anlegen.

 

[Walka]

Ich verstehe vor allem folgende 2 Punkte nicht so richtig:

1. Warum zuerst den Weg über das Media Creation Tool und dann C:\ProgramData\VeraCrypt\SetupComplete.cmd?
   
   Für mich klingt das eben genau anders herum:
   Führe C:\ProgramData\VeraCrypt\SetupComplete.cmd einmal aus (egal, ob nach Installation direkt oder vor dem ersten Feature Upgrade). Dann führe das Feature Upgrade regulär über Windows Update aus. Sollte das nicht funktionieren, nutze das Media Creation Tool und gehe den langen Weg.
   
   Verstehe ich das etwa falsch?
   
   
2. Ich bin mir eben nicht sicher, ob es wirklich nach einmaligen ausführen von C:\ProgramData\VeraCrypt\SetupComplete.cmd über den normalen Weg mit Windows Update funktionieren soll oder doch nicht. Das wird mir da irgendwie nicht so ganz klar.

"Should" heißt auch bei MS "sollte".

OK, du hast Recht. Sorry, das war eine schlechte Wortwahl mit dem "immer" von mir. Gemeint war, dass es dann "immer ohne weiteren Aufwand über das Windows Update (siehe 2.) funktionieren soll".

Wobei mich auch meine Systemkonfiguration mit UEFI auf meinem Hauptrechner eher davon abhalten würde:
"Usual, setups using BIOS/UEFI+CSM do well while regular UEFI setups tends to cause trouble."

Ich habe auch ein UEFI Setup. Der Abschnitt bezieht sich auf den 3rd party Updater da auf github. Aber es stellt sich natürlich die Frage, wie oft das Probleme macht. Ab einem gewissen Punkt wäre das Zusammenspiel für mich einfach nicht funktionsfähig genug.

Warum ist sowas wichtig? Dass ein Upgrade auch ohne Fremdverschlüsselung daneben gehen kann, ist seit >5 Jahren bei Win 10 bekannt (naja eher seit fast 12 Jahren, Win 7 war nicht besser). Da kann man auch mal alle 1,5-2 Jahre ein Image seiner Systempartition anlegen.

Je seltener ich das System reparieren muss, desto besser. Und reguläre Updateprobleme kombiniert mit häufigen Updateproblemen aufgrund der Verschlüsselung mit VeraCrypt würde eben nochmal deutlich Mehraufwand bedeuten. Ich sichere bisher nur meine Dokumente und Fotos usw., ein Image der Systempartition, um nach einem fehlgeschlagenen Upgrade zum alten Stand sofort zurückkehren zu können, habe ich noch nicht gemacht.


Es stellt sich also, neben obigen Fragen, durchaus noch die Frage, wie oft das denn so schief geht...

 

[el.com]

Woher kommt die Info, dass du für Feature-Upgrades das System entschlüsseln müsstest?
Ich mache das seit Jahren und habe schon etliche Feature-Upgrades installiert, ohne auch nur ein mal entschlüsseln zu müssen.

 

[Walka]

An mehreren Stellen. Zum einen geht das aus der oben verlinkten Windows 10 Patcher Readme hervor. Auch wird es hier und hier erwähnt. Teils klingt es so, als ob von einem Upgrade von Windows 7/8 auf 10 gesprochen wird, an anderen Stellen werden aber klar Upgrades bzgl. verschiedener Windows 10 Versionsstände genannt.

Das war aber früher wohl immer so, dass man entschlüsseln musste. Seit geraumer soll Zeit es ja auch ohne diesen Schritt gehen. Hast du evtl. erst mit VeraCrypt 1.23 angefangen? Oder evtl. deine Systempartition nicht verschlüsselt?

 

[el.com]

Ich hatte schon damals die OS-Disk mit TrueCrypt verschlüsselt, als das noch supported war. Nachdem das Projekt eingestampft wurde, bin ich zu VeraCrypt gewechselt (zu der Zeit gabs noch keinen UEFI-Support für die Systemverschlüsselung).
Wenn du ein Upgrade von Win 7/8 auf 10 machen willst, würde ich so oder so eine saubere Neuinstallation empfehlen, anstatt diese vermurkste Upgrade-Routine zu nutzen. Also du stampfst einfach die gesamte OS-Disk ein (Backup vorher nicht vergessen) und installierst Win 10 von Scratch neu. Danach machst du die OS-Verschlüsselung mit VeraCrypt. Die sukzessiven Feature-Upgrades innerhalb von Win 10 sollten eigentlich keine Probleme machen. Jedenfalls hatte ich noch nie Probleme, und entschlüsselt habe ich vorher nie.
Eigentlich sage ich deswegen, weil die Win 10 Feature-Upgrades sehr gerne schon mal fehleranfällig sind, wenn man sie kurz nach Release schon installiert. Da ist es auch keine Seltenheit, wenn das System dann plötzlich nicht mehr bootet. Das ist aber i.d.R. nicht auf die VeraCrypt-Verschlüsselung zurückzuführen, sondern einfach auf defekte Upgrades.

//Nachtrag:

Damit keine Verwirrung entsteht. Es gibt ja im Wesentlichen zwei Möglichkeiten ein Windows zu upgraden:

1. Im laufenden Betrieb direkt über Windows Update, oder
2. Über ein USB-Bootdevice, das man zuvor mit dem Media Creation Tool erstellt hat.

Im ersten Fall sollte keine (dauerhafte) Entschlüsselung notwendig sein, da das Upgrade ja aus dem gebooteten (und somit "entschlüsselten") Windows heraus erfolgt. Dabei werden alle zu aktualisierenden Dateien im laufenden Betrieb geupgraded und man muss anschließend nur noch rebooten.

Im zweiten Fall sähe es anders aus. In dem Moment wo du von einem USB-Device bootest, wird der VeraCrypt Bootloader nicht gestartet, d.h. der Windows-Installer sieht auf den Disks nur Datenmüll. Somit wäre ein Upgrade logischerweise nur machbar, wenn du vorher eine (permanente) Entschlüsselung durchführst, dann das Upgrade einspielst und danach wieder verschlüsselst.

 

[Walka]

Das klingt auf der einen Seite gut, dass das bei dir so problemlos klappt. Auf der anderen Seite bin ich jetzt trotzdem verwirrt.

Hast du deine Idee, warum es bei dir funktioniert, bei anderen jedoch nicht? (Das betrifft ja auch insb. den Windows Updater, also 1. in deinem Nachtrag).

Ein Upgrade von Windows 7/8 auf 10 kommt bei mir ja nicht vor, aber ich hätte in diesem Fall auch eine saubere Neuinstallation gemacht.

Ein vorheriges bzw. zeitweises Entschlüsseln (egal ob 1. oder 2.) vor einem Upgrade käme für mich nicht in Frage. Da müsste dann auch eine Neuinstallation her, falls es fehlschlägt. Daher ist mir dieser Punkt bei der Planung auch wichtig.

 

[el.com]

Man muss sich mal anschauen was bei der VeraCrypt OS-Verschlüsselung passiert. Das installierte Windows wird on-the-fly verschlüsselt und der VC Bootloader in den ersten Track des Bootdevice geschrieben. Wenn du den PC startest wird der Bootloader geladen, der an sich nichts anderes macht als die zur Ver-/Entschlüsselung nötigen Treiber zu laden. Gibst du das korrekte Passwort ein, wird daraufhin der Windows Bootloader geladen und der Rest ist Geschichte. Soll heißen: Aus OS-Sicht ist der Vorgang transparent. Alles was von Disk gelesen und auf Disk geschrieben wird, durchläuft den Treiber zur Decryption/Encryption.

Auf UEFI Systemen gibt es neben der eigentlichen Systempartition noch die EFI-Bootpartition (üblicherweise 100 MB groß). Deren Inhalt wird von Windows verwaltet und von VC nicht verschlüsselt. Genauer gesagt darf die auch gar nicht verschlüsselt sein, weil das BIOS sie sonst nicht mehr lesen könnte, was wiederum das Booten verhindern würde.

Ich kann mir vorstellen, dass Windows bei Feature-Upgrades auch manchmal in der EFI-Partition rumkaspert und es in dem Zuge dann zu Problemen mit dem VC Bootloader kommt. Ich will nicht ausschließen dass das bei manchen Leuten Probleme gemacht hat, kann aber aus eigener (langjähriger) Erfahrung mit VC sagen, dass ich noch nie den Fall hatte, dass dadurch der VC Bootloader beschädigt wurde. Ein fehlerhafter Windows-Boot nach Übergabe durch den VC Bootloader ist ein anderes Thema, aber für unzulänglich qualitätsgesicherte Windows-Updates kann VC nu wirklich nichts.

Kurz: Ich mach das seit vielen Jahren und es hat (bisher) immer reibungslos geklappt. Und sollte doch mal was schiefgehen, habe ich noch die VC Rescue Disk griffbereit. Darüber lassen sich sowohl Bootloader als auch Volume Header restoren. Zur Erstellung dieser Rescue Disk wirst du bei der erstmaligen Einrichtung der OS-Verschlüsselung aufgefordert und das solltest du ernst nehmen. Die Rescue Disk ist eben im Notfall deine Last Line of Defense falls mal wirklich das System nicht mehr hochkommt. Also verwahre sie sicher und halte sie aktuell (nach jeder Änderung des PBA-Passworts muss die neu erstellt werden!)

 

[Walka]

Das heißt, du hast auch nicht C:\ProgramData\VeraCrypt\SetupComplete.cmd einmalig ausgeführt?

Ich verstehe den technischen Hintergrund nicht sonderlich, deine Erklärung klingt in der Form jedoch nachvollziehbar. Evtl. ändert Micrsoft auch gerne etwas am eigenen Bootloader? Man sieht hier z.B. bei den neuesten Posts unten, dass Leute diesen Weg gewählt haben bei Feature Upgrades von Windows 10 (und nicht bei einem Upgrade von 7/8 auf 10). Wir wissen natürlich nicht, warum sie diesen Weg gewählt haben oder mussten.

Und sollte doch mal was schiefgehen, habe ich noch die VC Rescue Disk griffbereit.

Handelt es sich hierbei tatsächlich um eine CD oder um ein Image, das man auch auf einen USB-Stick kopieren kann? Ich würde dann dieses Image digital aufbewahren und bei Bedarf erst über einen 2. PC den Stick erstellen, dann müsste ich mir keinen weiteren USB-Stick kaufen.

Gibt es denn eine Windows Funktion, die mir vor einem Upgrade ermöglicht, ein System Backup zu machen und sollte das Upgrade schief gehen, evtl. mittels einer Art Windows Rescue CD/USB-Stick doch noch zu booten und den alten Stand wiederherzustellen?
(Meine eigenen Dateien kopiere ich auf eine externe Festplatte, aber da muss ich dann immer eine Neuinstallation machen.)

Dass Updates schief gehen und nicht VeraCrypt daran Schuld hat, wurde ja schon einmal erwähnt .

 

[el.com]

Das heißt, du hast auch nicht C:\ProgramData\VeraCrypt\SetupComplete.cmd einmalig ausgeführt?

Nein, hab ich nicht. Ehrlich gesagt wusste ich bisher nicht mal von der Existenz dieses Tools.

Handelt es sich hierbei tatsächlich um eine CD oder um ein Image, das man auch auf einen USB-Stick kopieren kann?

Wenn ich mich recht entsinne, wird beim legacy Boot Mode (non-EFI) eine ISO-Datei erstellt. Wenn dein Rechner im EFI Boot Mode läuft, wird eine ZIP-Datei erstellt. Auf welche Art von Datenträger (CD/DVD oder USB-Stick) du die schreibst, ist dir überlassen. Wichtig ist nur, dass du die Datei zumindest auf ein anderes Gerät (z.B. Zweitrechner) kopierst, wenn du dich entscheiden solltest die Rescue Disk nicht sofort zu erstellen. Ich rate dazu sie sofort zu erstellen. Kleine USB-Sticks kriegst du im Dreierpack in jedem beliebigen Geschäft für 5 - 10 € hinterher geworfen. Den Stick bewahrst du an einem sicheren Ort auf, dann hast du ihn gleich griffbereit wenn doch mal was schiefgehen sollte.

Gibt es denn eine Windows Funktion, die mir vor einem Upgrade ermöglicht, ein System Backup zu machen und sollte das Upgrade schief gehen, evtl. mittels einer Art Windows Rescue CD/USB-Stick doch noch zu booten und den alten Stand wiederherzustellen?

Das macht Windows sowieso vor jeder Update-Installation automatisch. Das nennt sich Volume Shadow Copy Service und ermöglicht bei fehlgeschlagenen Updates ein Rollback auf die alte Version. Oft macht Windows das sogar schon automatisch, wenn es selbst erkannt hat dass die Installation eines Updates fehlgeschlagen ist. Wiederherstellungspunkte lassen sich darüber hinaus auch jederzeit durch den Nutzer selbst erstellen.

(Meine eigenen Dateien kopiere ich auf eine externe Festplatte, aber da muss ich dann immer eine Neuinstallation machen.)

Sehr gut, damit bist du den meisten Nutzern hier schon mal einen entscheidenden Schritt voraus 👍
Backups sollte man ohnehin regelmäßig machen, ob verschlüsselt oder nicht. Ich persönlich halte es so: Das Wichtigste ist, dass ich eine Sicherung meiner Nutzdaten (Dokumente, Fotos, Filme, Musik, etc.) habe. Wenn es mir doch mal die Systemplatte zerschießen sollte, ist das zwar etwas lästig, aber mehr auch nicht. OS und Programme neu installieren und konfigurieren bedeutet zwar immer etwas Arbeit, aber eine Katastrophe ist das nicht.

 

[Walka]

Das macht Windows sowieso vor jeder Update-Installation automatisch. Das nennt sich Volume Shadow Copy Service und ermöglicht bei fehlgeschlagenen Updates ein Rollback auf die alte Version.

OK, danke! Hoffentlich klappt das dann meistens, dann ist zumindest das System nicht ganz zerschossen (inkl. VeraCrypt).

Ich werde dann wohl einmal VeraCrypt ausprobieren und hoffen, dass das so reibungslos klappt wie bei dir. Sollte dies nicht klappen, probiere ich zuerst den Befehl C:\ProgramData\VeraCrypt\SetupComplete.cmd aus. Sollte dies immer noch nicht funktionieren, den langen Weg über das Media Creation Tool.

Sehr gut, damit bist du den meisten Nutzern hier schon mal einen entscheidenden Schritt voraus 👍

Japp, aus Fehlern lernt man manchmal . Gut, wenn diese eher früher und nicht mit dem größten Schaden passieren.


Zum Abschluss noch vielen Dank! Sollte etwas nicht funktionieren, kann ich mich hier ja immer noch einmal wieder melden.

 

[el.com]

Sollte etwas nicht funktionieren, kann ich mich hier ja immer noch einmal wieder melden.

Mach das.
Noch eine ergänzende Bemerkung: Über die Rescue Disk kannst du auch eine permanente Entschlüsselung des Systems vornehmen. Also wenn wirklich mal ein so schwerer Fehler auftreten sollte, dass das OS sich gar nicht mehr booten lässt, kannst du die Verschlüsselung darüber rückgängig machen, um anschließend mit den üblichen Windows-Bordmitteln oder Boot Images weiteres Troubleshooting zu betreiben.
Alternativ könntest du ein Live-Linux (z.B. Ubuntu) von USB booten und darin VeraCrypt installieren. Dann kannst du auch die Systempartition einbinden, um z.B. noch wichtige Daten da raus zu sichern (zu finden in VC unter System > Mount without Pre-Boot Authentication).

 

[Walka]

OK, vielen Dank! Werde ich dann machen!

Eine ergänzende Frage noch, die sich neu gestellt hat: Ich hab hier noch einen alten Laptop (ca. 2013) mit 2 Core CPU mit 1,80 GHz (Intel Celeron 1037U) und 4 GB RAM. Da soll auch Windows 10 drauf, zuvor war Windows 8. Läuft das noch gut genug mit VeraCrypt Verschlüsselung oder kann man das vergessen und es wird einfach zu langsam? Der Besitzer ist etwas geduldiger als die heutige Jugend , aber es sollte schon noch vernünftig funktionieren.

 

[el.com]

Das wird funktionieren, nur halt nicht ganz so performant wie auf modernen CPUs. Der Intel Celeron 1037U hat kein AES-NI, d.h. ihm fehlt die Hardwareunterstützung für AES Ver-/Entschlüsselung. Funktionieren wird das aber trotzdem. Am besten du testest die Performance vorher: VC Hauptfenster > Tools > Benchmark.

Anbei ein Beispiel einer CPU mit AES-NI (Intel Core i5 6600K). Wie man unten rechts sieht ist Hardwarebeschleunigung aktiv, weil die CPU über einen entsprechenden Befehlssatz verfügt. Daher ist der AES-Algorithmus auch der mit Abstand schnellste in der Liste. Ohne Hardwaresupport wäre das deutlich langsamer; aber immer noch mehr, als eine HDD im I/O liefern kann. Und letztlich gehts genau darum: Wenn die CPU schneller ver-/entschlüsselt, als die Festplatte lesen oder schreiben kann, sollten keine deutlichen Performanceunterschiede spürbar sein.