Замеченные проблемы и ограничения
Замеченные проблемы
- В Windows возможна ситуация, когда смонтированному тому будут назначены две буквы диска вместо одной. Это вызвано
проблемой с кэшем диспетчера монтирования Windows, и её можно решить, вводя в командной строке с повышенными правами
(от имени администратора) команду "mountvol.exe /r" перед монтированием любого тома.
Если проблема не исчезнет после перезагрузки, для её решения можно использовать следующую процедуру:
- С помощью редактора реестра откройте в реестре ключ "HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices".
Прокрутите содержимое окна вниз, пока не обнаружите записи, начинающиеся с "\DosDevices\" или
"\Global??\", которые указывают буквы дисков, используемые системой. Перед монтированием любого тома дважды
щёлкните по каждой из них и удалите те, которые содержат имя "VeraCrypt" и "TrueCrypt".
Кроме того, есть и другие записи, имя которых начинается с "#{" и "\??\Volume{": дважды щёлкните
по каждой из них и удалите те, значение данных которых содержит имя "VeraCrypt" и "TrueCrypt".
- На некоторых компьютерах с Windows программа VeraCrypt может периодически зависать при монтировании и
размонтировании тома. Подобные зависания могут влиять на другие запущенные приложения во время операций монтирования
или демонтирования VeraCrypt.
Эта проблема вызвана конфликтом между диалоговым окном ожидания VeraCrypt, отображаемым во время
монтирования/демонтирования, и другим ПО, установленным в ПК (например Outpost Firewall Pro).
В таких ситуациях проблему можно решить, отключив окно ожидания VeraCrypt в настройках программы: выберите меню
"Настройки -> Параметры" и включите опцию "Не показывать окно ожидания во время операций".
Ограничения
- [Данное ограничение не относится к пользователям Windows Vista и более новых версий Windows.]
В Windows XP/2003 VeraCrypt не поддерживает шифрование всего системного диска, если тот содержит расширенные
(логические) разделы. Весь системный диск можно зашифровать при условии, что он содержит только первичные разделы.
На любом системном диске, который частично или полностью зашифрован, создавать расширенные (логические) разделы
нельзя (можно только первичные).
Примечание: если требуется зашифровать весь диск, содержащий расширенные разделы, можно зашифровать
системный раздел и в дополнение создать тома VeraCrypt на основе раздела внутри любых несистемных разделов на
этом диске. Либо, как альтернативный вариант, обновить систему до Windows Vista или более новой версии Windows.
- В настоящее время VeraCrypt не поддерживает шифрование системного диска, преобразованного в динамический диск.
- Чтобы обойти проблему в Windows XP, загрузчик VeraCrypt всегда автоматически настраивается под версию
операционной системы, в которой он установлен. При изменении версии системы (например, загрузчик VeraCrypt
устанавливается во время работы Windows Vista, но позже используется для загрузки Windows XP) вы можете столкнуться
с различными известными и неизвестными проблемами (например, на некоторых ноутбуках с Windows XP может не отображаться
экран входа в систему). Обратите внимание, что это влияет на мультизагрузочные конфигурации, диски восстановления
VeraCrypt и обманные/скрытые операционные системы (поэтому если, к примеру, скрытая система – Windows XP, то
обманной системой тоже должна быть Windows XP).
- Возможность монтировать раздел, находящийся в области действия ключа шифрования системы без предзагрузочной
аутентификации, что делается командой Смонтировать без предзагрузочной аутентификации в меню Система,
(например, раздел, расположенный на зашифрованном системном диске с другой, не работающей в данный момент операционной
системой), ограничена первичными разделами (расширенные/логические разделы таким способом монтировать нельзя).
- Из-за проблемы с Windows 2000, Диспетчер монтирования Windows в Windows 2000 не поддерживается VeraCrypt.
Поэтому некоторые встроенные средства Windows 2000, такие как дефрагментация дисков, не работают с томами VeraCrypt.
Кроме того, невозможно использовать службы Диспетчера монтирования в Windows 2000, например, назначить точку
монтирования тому VeraCrypt (т. е. прикрепить том VeraCrypt к папке).
- VeraCrypt не поддерживает предзагрузочную аутентификацию для операционных систем, установленных в файлах VHD,
за исключением случаев загрузки с использованием соответствующего ПО виртуализации, такого как Microsoft Virtual PC.
- Служба теневого копирования томов Windows в настоящее время поддерживается только для разделов в пределах
области действия ключа шифрования системы (например системный раздел, зашифрованный VeraCrypt, или несистемный
раздел, расположенный на системном диске, зашифрованном VeraCrypt, смонтированный во время работы зашифрованной
операционной системы). Примечание: для других типов томов служба теневого копирования томов не поддерживается,
поскольку отсутствует документация по необходимому API.
- Параметры загрузки Windows нельзя изменить из скрытой операционной системы, если система загружается не с
раздела, на котором она установлена. Это связано с тем, что в целях безопасности загрузочный раздел монтируется
как доступный только для чтения при работающей скрытой системе. Чтобы изменить параметры загрузки, запустите
обманную операционную систему.
- Размер зашифрованных разделов нельзя изменять, за исключением разделов на полностью зашифрованном системном
диске, размер которых изменяется во время работы зашифрованной ОС.
- Если системный раздел/диск зашифрован, система не может быть обновлена до более новой
версии (например, с Windows XP до Windows Vista) или восстановлена в предзагрузочной среде (с помощью
установочного CD/DVD Windows или предзагрузочного компонента Windows). В таких случаях сначала необходимо
расшифровать системный раздел/диск. Примечание: работающую в данный момент операционную систему можно
без проблем обновлять (устанавливать патчи безопасности, пакеты обновлений и т. д.), даже если
системный раздел/диск зашифрован.
- Шифрование системы поддерживается только на дисках, подключённых локально через интерфейс ATA/SCSI (обратите
внимание, что термин ATA также относится к SATA и eSATA).
- При использовании шифрования системы (это относится и к скрытым операционным системам) VeraCrypt не поддерживает
изменение многозагрузочных конфигураций (например, изменение количества операционных систем и их расположения).
В частности, конфигурация должна оставаться такой же, какой она была при запуске мастера создания томов VeraCrypt
для подготовки процесса шифрования системного раздела/диска (или создания скрытой операционной системы).
Примечание. Единственное исключение – многозагрузочная конфигурация, в которой работающая операционная система
с шифрованием VeraCrypt всегда находится на диске №0, и это единственная операционная система на диске
(или на диске есть одна обманная система, зашифрованная VeraCrypt, и одна скрытая ОС, зашифрованная VeraCrypt,
и никакой другой ОС), и диск подключается или отключается до включения компьютера (например, с помощью выключателя
питания на корпусе внешнего диска eSATA). На других дисках, подключённых к компьютеру, могут быть установлены
любые дополнительные операционные системы (зашифрованные или незашифрованные) (когда диск №0 отключён, диск №1
становится диском №0, и т. д.)
- Если у ноутбука низкий заряд батареи, Windows может не отправлять соответствующие сообщения запущенным
приложениям, когда компьютер переходит в режим энергосбережения. Поэтому в таких случаях VeraCrypt может не
выполнить автоматическое размонтирование томов.
- Сохранение любой временной метки любого файла (например, контейнера или ключевого файла) не гарантируется
надёжно и безопасно (например, из-за журналов файловой системы, временных меток атрибутов файла или того, что
операционная система не может выполнить это по различным документированным и недокументированным причинам).
Примечание. При записи на скрытый том на основе файла, временная метка контейнера может измениться.
Это можно правдоподобно объяснить изменением пароля (внешнего) тома. Также обратите внимание, что VeraCrypt
никогда не сохраняет временные метки избранных томов системы (независимо от настроек).
- Специальное программное обеспечение (например, низкоуровневый редактор дисков), которое записывает данные
на диск в обход драйверов в стеке драйверов класса DiskDrive (GUID класса – 4D36E967-E325-11CE-BFC1-08002BE10318),
может записывать незашифрованные данные на несистемный диск, на котором размещается смонтированный том VeraCrypt
(Partition0), а также на зашифрованные разделы/диски, которые находятся в пределах области действия
ключа активного шифрования системы (VeraCrypt не шифрует такие данные, записанные этим способом).
Точно так же программное обеспечение, которое записывает данные на диск в обход драйверов в стеке драйверов
класса Storage Volume (GUID класса – 71A27CDD-812A-11D0-BEC7-08002BE2092F), может записывать
незашифрованные данные в тома VeraCrypt на основе раздела (даже если они смонтированы).
- Из соображений безопасности, когда работает скрытая операционная система, VeraCrypt обеспечивает, что
все локальные незашифрованные файловые системы и нескрытые тома VeraCrypt доступны только для чтения.
Однако это не относится к файловым системам на CD/DVD-подобных носителях, а также к пользовательским,
нетипичным или нестандартным устройствам/носителям (например, к любым устройствам/носителям, класс которых
отличается от Windows-класса устройств Storage Volume или не отвечающие требованиям этого класса
(GUID класса – 71A27CDD-812A-11D0-BEC7-08002BE2092F)).
- Тома VeraCrypt на основе устройств, расположенные на дискетах, не поддерживаются. Но вы по-прежнему
можете создавать на гибких дисках тома VeraCrypt на основе файлов-контейнеров.
- Редакции Windows Server не позволяют использовать смонтированные тома VeraCrypt в качестве пути для
резервного копирования сервера. Это можно решить, активировав общий доступ к тому VeraCrypt через интерфейс
Проводника (конечно, вы должны установить правильные права, чтобы избежать несанкционированного доступа),
а затем выбрать опцию Удалённая общая папка (она, разумеется, не удалённая, но Windows нужен сетевой путь).
Там можно указать путь к общему диску (например \\ServerName\sharename) – и резервное копирование будет
настроено правильно.
- Из-за недостатков дизайна Microsoft в обработке разрежённых файлов NTFS вы можете столкнуться с системными
ошибками при записи данных в большие динамические тома (более нескольких сотен гигабайт). Чтобы этого избежать,
рекомендуем, чтобы размер файла-контейнера динамического тома для максимальной совместимости составлял 300 ГБ.
Более подробную информацию об этом ограничении см. здесь:
http://www.flexhex.com/docs/articles/sparse-files.phtml#msdn
- В Windows 8 и Windows 10 для ускорения загрузки системы появилась функция Гибридная загрузка и завершение
работы и Быстрый запуск. Эта функция включена по умолчанию и имеет побочные эффекты при использовании
томов VeraCrypt. Рекомендуется отключить эту функцию (например,
здесь объясняется, как отключить её в Windows 8, а здесь
даны эквивалентные инструкции для Windows 10).
Некоторые примеры проблем:
- после выключения и перезагрузки смонтированный том продолжит монтироваться без ввода пароля: это связано
с тем, что новое завершение работы Windows 8 – не настоящее, а замаскированный режим гибернации/сна.
- если используется шифрование системы и есть системные избранные тома, настроенные на монтирование во время
загрузки, то после завершения работы и перезапуска эти системные избранные тома не будут смонтированы.
- Диск исправления/восстановления Windows невозможно создать, если том VeraCrypt смонтирован как несъёмный
диск (что происходит по умолчанию). Чтобы решить эту проблему, либо размонтируйте все тома, либо смонтируйте
тома на съёмных носителях.
- Дополнительные ограничения перечислены в разделе
Модель безопасности.