С лета прошлого года я изучаю попытки Microsoft незаметно обновлять образ WinRE в Windows 11. Материала уже набралось на статью блога, но я не спешил публиковать ее. Практического смысла немного, а теория неинтересна большинству.

Однако из-за проблемы с январскими обновлениями появился повод обсудить эту тему, хотя немного с другой стороны. Поэтому я отвечу на основные вопросы про раздел WinRE и ошибку обновления среды восстановления.

В августе 2024 года Microsoft заменила январские обновления, изменив логику их применимости к операционной системе так, чтобы ошибки не возникало.

[+] Сегодня в программе

Вкратце

Есть два осмысленных подхода к решению этой проблемы с обновлением:

• Скрыть обновление, если вы убедились в отсутствии шифрования BitLocker и не планируете его включать.
• Увеличить размер раздела со средой восстановления при наличии шифрования BitLocker, затем установить обновление.

Перфекционисты в любом случае выбирают второй вариант.

FAQ

Основная часть материала выполнена в форме вопросов и ответов.

Что случилось?

Майкрософт выпустила отдельные обновления для среды восстановления: KB5034441 для Windows 10 21H2+ (заменено на KB5042320) и KB5034440 (заменено на KB5042321) для Windows 11 21H2. Они устраняют проблему с обходом шифрования BitLocker с помощью Windows RE, находящейся на отдельном разделе.

Установка обновления для Windows 10 может завершаться ошибкой 0x80070643. Возможно, в Windows 11 тоже, но на 21H2 уже не осталось пользователей.

Почему возникает ошибка?

Требуется пересобрать образ winre.wim, который после обновления увеличивается в размере. Наиболее распространенная причина — на выделенном разделе не хватает места. В Server Core 2022 причина может быть другой, но статья в основном про клиентские ОС.

Почему на Windows 10 ошибка возникает не у всех?

Зависит от текущего размера раздела WinRE.

Точно ли Windows 11 22H2+ не подвержена уязвимости?

В CVE-2024-20666 утверждается, что не подвержена. Это объясняют тем, что в этих версиях обновление Windows RE выполняется автоматически в рамках установки накопительных обновлений (CU). Однако там умалчивают, что эта операция вполне может завершиться неудачей, о чем пользователю явно не сообщают (тема моей будущей статьи).

Поэтому, если Microsoft ставит все фишки на автоматическое обновление winre.wim, Windows 11 22H2+ вполне может быть уязвима. Если у вас работает шифрование BitLocker, я рекомендую увеличить раздел вручную, чтобы в принципе предотвратить проблему с обновлением Windows RE.

Надо ли беспокоиться, если не используется шифрование BitLocker?

Нет, но надо удостовериться, что шифрование не применяется. Windows может зашифровать диск без вашего ведома в любых изданиях. Выполните в PowerShell от имени администратора:

Get-BitLockerVolume -MountPoint "C:"

и см. столбец VolumeStatus.

Почему Windows RE размещают на отдельном разделе?

Это необходимо для восстановления при включенном шифровании BitLocker. Если среда на разделе с ОС, в нее невозможно загрузиться с зашифрованного раздела. В этом случае для входа в Windows RE понадобится установочный диск. Подробнее o разделе здесь.

Как поступить, если среда восстановления на зашифрованном разделе с ОС?

Можно просто скрыть обновление, поскольку такая конфигурация не подвержена конкретной уязвимости. Но в любом случае толку от такой среды восстановления нет. С тем же успехом ее можно отключить.

Без шифрования надо ли беспокоиться, если среда на разделе с ОС?

Только при наличии шаловливых рук. Отдельный раздел с правильными атрибутами от них лучше защищает.

Как определить, находится ли Windows RE на отдельном разделе?

Выполните reagentc /info и см. вторую строку информационного блока.

Windows Recovery Environment (Windows RE) and system reset configuration
Information:

    Windows RE status:         Enabled
    Windows RE location:       \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
    Boot Configuration Data (BCD) identifier: 10706e67-3ab4-11ed-b741-961730b6be9c
    Recovery image location:
    Recovery image index:      0
    Custom image location:
    Custom image index:        0

Нумерация разделов начинается с единицы, в отличие от дисков. В данном примере partition4 означает четвертый раздел диска 0.

Вы также можете посмотреть все разделы командой Get-Partition. Предназначенные для среды восстановления разделы, включая неактивные, имеют тип Recovery. Здесь нумерация разделов тоже начинается с единицы.

Get-Disk -Number 0 | Get-Partition


   DiskPath: \\?\scsi#...

PartitionNumber  DriveLetter Offset                                        Size Type
---------------  ----------- ------                                        ---- ----
1                           1048576                                     100 MB System
2                           105906176                                    16 MB Reserved
3                C           122683392                                237.87 GB Basic
4                           255535874048                                499 MB Recovery

Среда восстановления на разделе 4 — Recovery.

Почему у меня два раздела восстановления?

Вероятно, вы устанавливали Windows до версии 20H1. Тогда создался раздел слева. При обновлении до этой версии или установки поверх более новой версии появился раздел справа. Активная среда должна быть на нем.

См. также Как посмотреть дату установки Windows и историю ее обновлений до новой версии.

Почему теперь раздел WinRE справа?

Начиная с версии 20H1 раздел создается справа, чтобы было проще увеличить его, отжав место у раздела с ОС. Я подробно разбирал это в блоге.

Почему при установке обновлений не увеличивают раздел WinRE автоматически?

Это потенциально рискованная операция, которая не всегда возможна. Начиная с 20H1, это делают только при переустановке системы поверх или обновлении до новой версии с другой кодовой базой.

В Windows 11 при обновлении среды восстановления посредством накопительных обновлений я не смог найти в логах и журналах событий попыток увеличить раздел. Зато в setupact.log видно, как сразу сдаются, обнаружив нехватку места для обновленного образа.

Почему не всегда возможно автоматически увеличить раздел WinRE?

Для простоты он должен находиться непосредственно справа от раздела с ОС. От которого отжимают место и присоединяют к разделу WinRE. Все прочие сценарии значительно сложнее. Да и вообще для Microsoft логично ограничить свои операции только Windows и ее служебными разделами.

Как увеличить размер раздела WinRE вручную?

Следуйте инструкциям KB5028997. Они же в картинках здесь. В Windows 10 достаточно увеличить на 250 MB по статье. В Windows 11 я рекомендую установить общий размер раздела 1 GB, чтобы два раза не вставать.

В статье KB5028997 и всех ресурсах, которые ее перепечатали, была ошибка. Она касалась только разметки MBR. На шаге 5 следовало сначала создать раздел, потом отформатировать его в NTFS и только потом присваивать ему служебный идентификатор. Подробнее читайте в канале Telegram. Ошибку исправили вскорости после моей публикации (или вследствие нее :).

Как создать раздел WinRE, если его нет?

1. В оснастке управления дисками отожмите у раздела с Windows 750-1000 MB и создайте на неразмеченном пространстве раздел.
2. Создайте среду восстановления на этом разделе.
3. Присвойте служебные атрибуты новому разделу.

Есть ли скрипт для увеличения размера раздела WinRE?

Да, Microsoft с опозданием, но все-таки опубликовала его.

Как скрыть проблемное обновление?

См. здесь.

Как обновить образ WinRE вручную (например, на Server Core)?

См. Add an update package to Windows RE.

Как автоматизировать обновление образа WinRE на устройствах без WU/WSUS?

См. скрипты в KB5034957. Они обновляют winre.wim, но не увеличивают раздел.

Что еще почитать по теме?

• Материалы в блоке «Вас также может заинтересовать» под статьей↓
• Создание среды восстановления с нуля
• Все мои статьи с меткой Windows RE
• Документация Microsoft по среде восстановления

Бонус: диагностика ошибки обновления Windows RE

Спустя пару дней мы разбирали в чате одну из проблем обновления Windows RE. Результат я опубликовал в канале Telegram.

Если у вас остались вопросы, задавайте их в обсуждении. Для конкретного разбора вашей ситуации понадобится как минимум вывод команды reagentc /info и полноэкранный скриншот оснастки diskmgmt.msc.