- Вопрос или проблема
- Возможный подход
- Цель
- Подготовка Windows
- РЕЗЕРВНОЕ КОПИРОВАНИЕ
- Подготовка USB-накопителя с Ubuntu
- Установка Ubuntu
- 1. Нешифрованная установка
- 2. Сделайте важные изменения и измените на зашифрованную установку
- Настройка дисков (Пропустите это, если вы не хотите шифрование)
- Chroot для настройки новой установки
- Порядок загрузки UEFI
- Готово
- Ответ или решение
- Шаг 1: Подготовка Windows
- Шаг 2: Резервное копирование данных
- Шаг 3: Подготовка USB-накопителя с Ubuntu
- Шаг 4: Установка Ubuntu
- Шаг 5: Переносный EFI и настройка GRUB
- Шаг 6: Настройка шифрования Ubuntu
- Шаг 7: Восстановление загрузчика GRUB
- Шаг 8: Установка порядка загрузки
- Заключение
Вопрос или проблема
Есть ли способ установить и запустить Ubuntu / Fedora наряду с Windows 11 без отключения шифрования Bitlocker?
Возможный подход
Другим решением для продолжения использования Bitlocker, исходя из этого:
- Отключите Bitlocker
- Установите Ubuntu
- Снова включите Bitlocker
- Используйте dislocker и смонтируйте зашифрованный диск, как упомянуто здесь.
Проблема с подходом
- У меня есть OEM-версия Windows Home, и Bitlocker, однажды отключенный, не может быть снова включен, как упоминается здесь и также из личного опыта.
- И если я не отключу Bitlocker, Ubuntu может не смочь продолжить.
Есть предложения?
PS: Публикую здесь, поскольку может быть кроссплатформенное решение для этого.
У меня была такая же проблема с моим рабочим ноутбуком, и я написал очень подробное руководство о том, как установить Ubuntu с полным шифрованием на тот же SSD, что и Windows 11, зашифрованный с помощью Bitlocker, без отключения Bitlocker или изменения установки Windows 11. Я изначально опубликовал это на askubuntu 🙂
Вот полное руководство снова, с некоторыми корректировками, чтобы ответить на этот вопрос более конкретно:
Я протестировал это с 22.04 и 24.04, так что это также работает с новым установщиком Ubuntu 24.04.
Руководство может выглядеть сложным, но это просто очень детализированное и используются только очень простые и понятные команды. (Я на это надеюсь ;)). Я точно следовал этому руководству сам и это сработало для меня с моим новым Windows 11, зашифрованным BitLocker, на моем ноутбуке. Если вам не нужно шифрование на Ubuntu (хотя я настоятельно рекомендую зашифровать и ваш Ubuntu), вы можете пропустить некоторые разделы, и я отмечу их как таковые.
Цель
Это руководство по двойной загрузке имеет две хорошие особенности, которые обычно не доступны в “нормальных” настройках двойной загрузки
- Мы совсем не изменяем установку Windows. В нормальных конфигурациях двойной загрузки загрузчик Grub устанавливается в тот же EFI-раздел, который используется загрузчиком Windows. Однако в этой конфигурации мы создаём наш собственный второй совершенно независимый EFI-раздел, куда мы устанавливаем Grub. Это приятная особенность систем UEFI, и это приводит к двум совершенно независимым загрузчикам. Никаких изменений в Windows вообще. Более того, нет необходимости отключать Bitlocker в любое время.
- Мы полностью зашифруем нашу установку Ubuntu (если вы этого хотите) с помощью настройки LVM/LUKS. Приятная часть здесь в том, что это обычно возможно только путем полной очистки установки Windows, из-за ограничения в установщиках Ubuntu (а также других Linux). Но здесь вы найдете руководство, чтобы вручную достичь этой конфигурации, не изменяя установку Windows.
Подготовка Windows
- Начните с того, что ваш ноутбук загружен в Windows
- Сохраните свой ключ восстановления BitLocker где-нибудь, например, на вашем телефоне в менеджере паролей или так. Спросите своего администратора, если вы не знаете его, или следуйте этому руководству от Microsoft
- Вам понадобится это позже снова, чтобы разблокировать Windows
- Обычно ключ хранится в TPM, но при изменении чего-либо в UEFI вам нужно будет ввести его снова
- В Windows откройте строку поиска и введите
disk management
- И уменьшите ваш зашифрованный раздел BitLocker насколько возможно/желаете
- Я освободил 700 ГБ из 1 ТБ
РЕЗЕРВНОЕ КОПИРОВАНИЕ
ТЕПЕРЬ СОЗДАЙТЕ РЕЗЕРВНОЕ КОПИРОВАНИЕ! Определенно создайте полное резервное копирование диска вашего ноутбука с помощью clonezilla.
- Все еще в Windows подготовьте другую флешку с clonezilla, следуйте их руководству, чтобы создать загрузочную флешку clonezilla
- Вам также нужен внешний диск, объем которого достаточен, чтобы вмещать уменьшенный раздел Windows, в моем случае это как минимум 300 ГБ
- Здесь хорошо, если вы уже уменьшили ваш диск, поскольку он зашифрован и должен быть скопирован целиком, так что меньше места нужно на внешнем диске, если он меньше
- Теперь перезагрузитесь (не отключайте, вы не сможете войти в UEFI)
- Нажмите соответствующую клавишу, чтобы войти в меню UEFI, а затем вручную загрузите live USB-накопитель с Clonezilla
- В clonezilla
- сохраните как устройство в образ
- локальное устройство
- используйте внешний диск как место назначения для хранения образа
- Режим для начинающих
- и сохраните полный диск
- и выберите ваш nvme0n1 в качестве источника
- просто продолжайте, и у вас будет полное резервное копирование диска в виде образа на вашем внешнем диске
- Теперь вы можете загрузиться обратно в Windows
Подготовка USB-накопителя с Ubuntu
- Скачайте Ubuntu и используйте свой USB-накопитель, чтобы создать загрузочный USB-накопитель с Ubuntu
- Некоторые инструменты создания образов имеют проблемы, если USB-накопитель не отформатирован с GPT заранее, так что лучше это сделать, чтобы стереть секцию MBR на USB-накопителе
- Создайте другой раздел в свободном пространстве USB-накопителя в конце как FAT32
- Это невозможно, если заголовок MBR все еще присутствует на USB-накопителе
- Вы можете использовать этот раздел для хранения вещей, которые вы хотите иметь на вашем новом Ubuntu после его установки. И нам также нужно это, чтобы временно хранить данные EFI-разделов.
- Извлеките USB-накопитель
- И снова перезагрузитесь, чтобы перейти в Ubuntu
Установка Ubuntu
- Общий план:
- Сначала мы проведем нешифрованную установку Ubuntu
- Это необходимо сначала, так как мы не можем напрямую создать зашифрованную установку, не стерев всю установку Windows
- Поэтому нам нужно будет вручную провести шифрование позже
- Затем мы изменим нешифрованную установку на полностью зашифрованную установку с LVM и LUKS
- Это приведет к немного более сложной процедуре установки, но это единственный доступный способ, так как установщик Ubuntu очень ограничен в его методе “что-то другое”, где вы можете указать свои требования к разделам
- Сначала мы проведем нешифрованную установку Ubuntu
1. Нешифрованная установка
- Выберите свой язык и раскладку клавиатуры
- В разделе обновлений я также включил стороннее программное обеспечение и ввел временный пароль для безопасной загрузки
- Теперь, прежде чем продолжить, щелкнув метод “что-то другое” на экране установки, мы хотим снова сделать резервную копию содержимого нашего EFI-раздела, который содержит загрузчик Windows
- Откройте терминал с помощью ctr+alt+t
- Станьте root
sudo -i
lsblk
для отображения всех устройств- Смонтируйте постоянный vfat раздел на нашем USB-накопителе
mkdir /mnt/persistent && mount /dev/sda4 /mnt/persistent
mkdir /mnt/persistent/efi-backup
- Смонтируйте раздел загрузчика Windows
mkdir /mnt/efi && mount /dev/nvme0n1p1 /mnt/efi
- Сделайте резервную копию всех данных на нем и убедитесь, что вы правильно выполняете rsync, как показано здесь (с завершающими слэшами):
rsync -av /mnt/efi/ /mnt/persistent/efi-backup/
- Теперь мы удаляем содержимое на разделе efi (не бойтесь, мы скопируем его обратно позже)
rm -rf /mnt/efi/*
- Снова размонтируйте раздел efi
umount /mnt/efi
umount /mnt/persistent
- Теперь выберите что-то другое в качестве типа установки
- Теперь выберите свободное пространство на вашем nvme0n1 (или как бы ваш диск ни назывался) между зашифрованным разделом BitLocker p3 и разделом восстановления p4
- Создайте новый раздел через знак плюс
- Установите его на 512 МБ
- И используйте как: EFI-раздел системы
- Размер 2048 МБ
- И как Ext4
- И как точку монтирования /boot
- И третий раздел
- Если вы не хотите шифрование, просто используйте все оставшееся пространство
- Если вы хотите шифрование (рекомендуется), установите размер на 12000 МБ
- Мы удалим этот раздел позже, так что хотим сохранить его как можно меньше
- И как Ext4
- И точка монтирования как /
- И теперь выберите устройство для установки загрузчика как
- /dev/nvme0n1
- Обратите внимание: даже если вы выберете наш новый EFI-раздел /dev/nvme0n1p5, Ubuntu все равно установит загрузчик на /dev/nvme0n1p1. Это ограничение установщика Ubuntu, он всегда выбирает первый EFI на диске, не важно что. Из-за этого мы сделали резервную копию раздела загрузчика Windows, чтобы скопировать его обратно позже и поменять местами оба EFI 🙂
- /dev/nvme0n1
- Установить сейчас
- просто нажмите крестик в верхнем правом углу, чтобы закрыть окно
- Это снова загрузит живую флешку, и вы можете продолжить с настройками ниже
- Для этого снова откройте терминал от имени root
mount /dev/nvme0n1p1 /mnt/efi
mkdir /mnt/new-efi && mount /dev/nvme0n1p5 /mnt/new-efi
rsync -av /mnt/efi/ /mnt/new-efi/
- (с завершающими слэшами)
mount /dev/sda4 /mnt/persistent
rm -rf /mnt/efi/*
rsync -av /mnt/persistent/efi-backup/ /mnt/efi/
- (с завершающими слэшами)
umount /mnt/efi && umount /mnt/new-efi
2. Сделайте важные изменения и измените на зашифрованную установку
Настройка дисков (Пропустите это, если вы не хотите шифрование)
- Теперь мы создадим наш новый зашифрованный раздел, который мы будем использовать
- Это именно так, как будет, когда выбирается стандартный режим полнофункционального зашифрованного диска Ubuntu в установщике, но с приятным дополнением, что мы можем сохранить нашу установку Windows работающей
- Используйте
gparted
- Сначала мы переместим новый корневой раздел ubuntu (nvme0n1p7) вправо, так чтобы он выровнялся с зарезервированным разделом от Microsoft, который является самым правым
- Это полезно, поскольку позже мы хотим снова получить это пространство
- Создайте новый раздел в большом свободном пространстве до p7 и установите файловую систему как чистую
- Подтвердите и снова закройте
- Сначала мы переместим новый корневой раздел ubuntu (nvme0n1p7) вправо, так чтобы он выровнялся с зарезервированным разделом от Microsoft, который является самым правым
- Теперь мы продолжаем с настройкой нового зашифрованного раздела
- Мы будем
cryptsetup luksFormat /dev/nvme0n1p8
cryptsetup open /dev/nvme0n1p8 nvme0n1p8_crypt
pvcreate /dev/mapper/nvme0n1p8_crypt
vgcreate vgubuntu /dev/mapper/nvme0n1p8_crypt
vgs -a # Проверьте доступный размер и решите, каким должен быть ваш раздел
lvcreate --name swap_1 -L 32G vgubuntu
lvcreate --name root -L 650g vgubuntu
# Вы также можете создать раздел для home и т.д...
# Отформатировать эти
mkfs.ext4 /dev/vgubuntu/root
mkswap /dev/vgubuntu/swap_1
- Мы продолжаем с переносом свежей установки Ubuntu на наш новый раздел
mkdir /mnt/root-orig
mkdir /mnt/root-new
mount /dev/nvme0n1p7 /mnt/root-orig/
mount /dev/vgubuntu/root /mnt/root-new/
rsync -avhPAXHx --numeric-ids /mnt/root-orig/ /mnt/root-new/
- Теперь давайте освободим место на нашем предыдущем нешифрованном разделе
umount /mnt/root-orig /mnt/root-new/
vgchange -an vgubuntu
- Теперь снова откройте
gparted
и удалите раздел p7, который содержит нешифрованный- И измените размер p8, чтобы занять свободное пространство p7
- И давайте применим эти изменения к нижележащим системам luks и lvm
cryptsetup resize nvme0n1p8_crypt
pvresize /dev/mapper/nvme0n1p8_crypt
vgchange -ay vgubuntu
Chroot для настройки новой установки
- Мы продолжим с chroot, чтобы войти в нашу новую установку, чтобы настроить изменения, которые мы сделали
- Если вы пропустили последнюю главу, пожалуйста, продолжайте здесь снова, это также необходимо для нешифрованной установки
mount /dev/vgubuntu/root /mnt/root-new/
mount /dev/nvme0n1p6 /mnt/root-new/boot/
mount /dev/nvme0n1p5 /mnt/root-new/boot/efi/
mount --bind /dev /mnt/root-new/dev
mount --bind /proc /mnt/root-new/proc/
mount --bind /sys /mnt/root-new/sys/
mount --bind /run /mnt/root-new/run
chroot /mnt/root-new/ /bin/bash
- Мы зарегистрируем наш luks-раздел и убедимся, что он может расшифровываться при загрузке (пропустите это для нешифрованной установки)
apt update
apt install lvm2 cryptsetup
blkid /dev/nvme0n1p8
# Скопируйте UUID
nano /etc/crypttab
- А теперь вставьте новую запись с вашим скопированным UUID
nvme0n1p8_crypt UUID=UUID none luks,discard
- Мы также должны настроить fstab. Это также важно для нешифрованных, но вам нужно изменить только /boot/efi в этом случае.
- вставьте ваш / монтирование
- Настройте раздел /boot/efi, так как мы изменили это тоже
- И монтирование swap
blkid /dev/nvme0n1p5 # Получите UUID EFI
nano /etc/fstab
- Пример:
# /etc/fstab: статическая информация о файловой системе.
#
# Используйте 'blkid', чтобы напечатать уникальный идентификатор для
# устройства; это может быть использовано с UUID= в качестве более надежного способа именования устройств
# которые работают даже если диски добавляются и удаляются. См. fstab(5).
#
# <файловая система> <точка монтирования> <тип> <опции> <дамп> <передача>
# / была на /dev/... во время установки
/dev/mapper/vgubuntu-root / ext4 ошибки=перемонтировать-ro 0 1
# /boot была на /dev/nvme0n1p6 во время установки
UUID=fd1eecf5-18b0-42fb-a3d4-5239c1465fc1 /boot ext4 по умолчанию 0 2
# /boot/efi была на /dev/nvme0n1p5 во время установки
UUID=EF18-AD8F /boot/efi vfat umask=0077 0 1
/dev/mapper/vgubuntu-swap_1 none swap sw 0 0
- Теперь примените обновление
update-initramfs -u -k all
- И давайте также обновим grub
- Мы также сделаем его обнаруживающим Windows
nano /etc/default/grub
- И добавим
GRUB_DISABLE_OS_PROBER=false
- Теперь обновите
update-grub
- И давайте выйдем из chroot
exit
umount /mnt/root-new/dev/
umount /mnt/root-new/proc/
umount /mnt/root-new/sys
umount /mnt/root-new/run
umount /mnt/root-new/boot/efi
umount /mnt/root-new/boot
umount /mnt/root-new
Порядок загрузки UEFI
- В качестве последнего шага мы проверим порядок загрузки и создадим новую запись для нашего нового EFI-раздела
# Проверьте все записи
efibootmgr -v
# Найдите старую запись Ubuntu, которая была создана для неправильного EFI-раздела и удалите ее
efibootmgr -b 0001 -B
# Создайте новую для правильного раздела, здесь nvme0n1p5
efibootmgr --create --disk /dev/nvme0n1 --part 5 --label "Ubuntu" --loader /EFI/ubuntu/shimx64.efi
# Проверьте, все ли в порядке
efibootmgr -v
Готово
- Теперь вы можете перезагрузиться
- Вам может понадобиться ввести пароль безопасной загрузки, если вы устанавливали проприетарные драйверы через установку Ubuntu
- При загрузке Windows в первый раз вам может понадобиться снова ввести ключ восстановления, так как мы изменили некоторые записи UEFI
- После этого ключ будет снова сохранен в TPM, и вы сможете использовать его как обычно
Ответ или решение
Установка Linux без отключения шифрования BitLocker: Полное руководство
Если вы хотите установить Ubuntu или Fedora рядом с Windows 11, без необходимости отключения шифрования BitLocker, это вполне возможно, однако процесс требует внимательности и определённых подготовительных шагов. Это руководство подробно охватывает необходимые действия, чтобы обеспечить успешную установку и обеспечить возможность их совместного использования.
Шаг 1: Подготовка Windows
-
Запишите ключ восстановления BitLocker
Сохраните ключ восстановления BitLocker в безопасное место, например, в менеджере паролей на телефоне. Вам может понадобиться этот ключ, если система распознает изменения в UEFI после установки. -
Уменьшение размера раздела Windows
- Откройте "Управление дисками" (disk management) в Windows.
- Уменьшите раздел, защищенный BitLocker, максимально возможным образом, чтобы освободить место для установки Linux (убедитесь, что у вас есть достаточно свободного пространства).
Шаг 2: Резервное копирование данных
Обязательно создавайте резервные копии всех данных:
- Используйте Clonezilla или другую утилиту для создания образа всего диска на внешнем носителе перед выполнением любых операций.
Шаг 3: Подготовка USB-накопителя с Ubuntu
- Загрузите ISO-образ Ubuntu с официального сайта.
- Используйте инструменты, такие как Rufus или Balena Etcher, для создания загрузочного USB-накопителя, форматируя его в GPT.
Шаг 4: Установка Ubuntu
-
Загрузитесь с USB-накопителя и выберите "Попробовать Ubuntu".
-
В процессе установки:
- Выберите "Что-то еще" (Something else) для ручной настройки разделов.
- Создайте новый EFI-раздел, выделив 512 MB на диске.
- Создайте раздел для корневой файловой системы (например, 20 GB) и раздел подкачки (по желанию).
- Убедитесь, что загрузчик GRUB устанавливается в новый EFI-раздел, чтобы Windows осталась нетронутой.
Шаг 5: Переносный EFI и настройка GRUB
После установки Ubuntu, вам нужно выполнить следующие шаги:
-
Сохраните содержимое вашего EFI-раздела:
- Создайте временную папку на USB-накопителе и скопируйте все содержимое вашего EFI-раздела Windows туда.
-
Очистите содержимое EFI-раздела Ubuntu:
- Удалите все файлы в EFI-разделе, который использовался для загрузки Windows.
-
Скопируйте обратно файлы из временной папки:
- Затем перенесите файлы обратно из временной папки на ваш EFI-раздел.
Шаг 6: Настройка шифрования Ubuntu
Для обеспечения полного шифрования Ubuntu:
-
Установите необходимые пакеты:
- Установите LVM и cryptsetup:
apt install lvm2 cryptsetup
.
- Установите LVM и cryptsetup:
-
Настройте LUKS:
- Создайте новый зашифрованный раздел и сконфигурируйте его с помощью
cryptsetup
.
- Создайте новый зашифрованный раздел и сконфигурируйте его с помощью
-
Проведите миграцию:
- С помощью rsync перенесите данные из не зашифрованного раздела в зашифрованный.
Шаг 7: Восстановление загрузчика GRUB
-
Настройка
fstab
иcrypttab
:- Проверьте и обновите
fstab
, чтобы он указывал на правильно настроенные разделы. - Настройте
crypttab
для автоматической расшифровки при загрузке.
- Проверьте и обновите
-
Обновите GRUB:
- Убедитесь, что GRUB видит вашу установку Windows, добавив
GRUB_DISABLE_OS_PROBER=false
в файл/etc/default/grub
, а затем выполнитеupdate-grub
.
- Убедитесь, что GRUB видит вашу установку Windows, добавив
Шаг 8: Установка порядка загрузки
-
Проверьте порядок загрузки в UEFI:
- Используйте
efibootmgr
, чтобы убедиться, что загрузчик Ubuntu установлен на правильный EFI-раздел.
- Используйте
-
Перезагрузите систему:
- При старте Windows может понадобиться ввести ключ восстановления BitLocker.
Заключение
Теперь вы успешно установили Ubuntu или Fedora рядом с Windows 11, при этом не отключая шифрование BitLocker. Эта инструкция предоставляет надежный путь для организации многозадачной среды, при этом поддерживая высокий уровень безопасности ваших данных. Помните, что создание резервных копий перед внесением любых изменений является критически важным шагом для предотвращения потери данных.