Best practice per Dell Encryption Enterprise e Dell Encryption Personal: Aggiornamento o migrazione delle funzionalità di Windows 10

L'aggiornamento di Windows 10 deve essere eseguito da una directory non crittografata. Perché USER oppure COMMON la crittografia NON viene sbloccata durante il processo di aggiornamento a Windows 10, quando l'aggiornamento viene eseguito da un USER oppure COMMON crittografata, l'aggiornamento non riesce anche se l'aggiornamento a Windows 10 di Dell Encryption viene eseguito correttamente.

Sulla base a questo requisito, Dell consiglia di aggiungere le seguenti esclusioni alle policy di Dell Encryption per gli aggiornamenti delle funzionalità di Windows. Tali esclusioni devono essere aggiunte sia in Fixed Disk Exclusions (Esclusioni disco fisso) (per le chiavi SDE) e in General Encryption Exclusions (Esclusioni crittografia generale) (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Esclusioni necessarie per gli aggiornamenti delle funzionalità con push tramite SCCM e altre applicazioni di gestione di terze parti:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Non sono necessarie modifiche per gli aggiornamenti delle funzionalità di Windows quando si esegue Dell Encryption 8.18.0 o versione successiva. Per tutti gli aggiornamenti delle funzionalità tramite Windows Update non verrà più richiesto di rimuovere Dell Encryption.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. È possibile ottenere i file al seguente indirizzo: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Non sono necessarie modifiche per gli aggiornamenti delle funzionalità di Windows quando si esegue Dell Encryption 8.18.0 o versione successiva. Per tutti gli aggiornamenti delle funzionalità tramite supporto autonomo non verrà più richiesto di rimuovere Dell Encryption.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. È possibile ottenere i file al seguente indirizzo: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Per preparare un aggiornamento delle funzionalità di Windows per il deployment, la maggior parte degli ambienti deve sfruttare un install.wim file. Per il modo in cui Dell Encryption supporta il percorso di aggiornamento delle funzionalità di Windows, occorre aggiungere i driver e i file del Registro di sistema necessari nel supporto di installazione.

A tale scopo è necessario l'Application Development Kit (ADK) di Windows 10. La versione più recente è disponibile al seguente indirizzo: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

È inoltre necessario un file batch e chiavi del Registro di sistema appropriate, elementi che non possono essere scaricati dal cliente tramite un collegamento esterno. Per ottenerli, è possibile rivolgersi al supporto al numero 877.459.7304 int. 4310039, per il supporto al di fuori degli Stati Uniti, fare riferimento all'elenco dei numeri di contatto internazionali di ProSupport. Questo file batch accetta un file ISO di aggiornamento delle funzionalità di Windows espanso (scaricato in precedenza) e inserisce driver e file di registro in install.wim e WinRE.wim all'interno dell'ISO di aggiornamento.

È necessario estrarre i driver da un dispositivo che esegue la versione di Dell Encryption installata sugli endpoint per trovare i driver appropriati per il supporto di aggiornamento e la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Dalla versione 8.10.1 alla 8.17.2, i driver per Dell Encryption sono disponibili in "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\". Dalla versione 8.18.0 in poi, la posizione è stata spostata in: ".C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers".

È necessario estrarre i driver da un dispositivo che esegue la stessa versione di Dell Encryption installata sugli endpoint per trovare i driver appropriati per il supporto di aggiornamento e la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Questi si trovano in C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

A partire dalla versione 8.18, Dell Encryption verifica automaticamente la versione del sistema operativo che si intende installare a fronte di un elenco interno di versioni del sistema operativo supportate. Se non viene trovata una corrispondenza, l'aggiornamento delle funzionalità viene bloccato e viene inviata una notifica all'utente connesso:

Questi blocchi possono essere sovrascritti per consentire l'esecuzione di test con un sistema operativo non supportato. Questa possibilità viene consentita tramite una chiave del Registro di sistema:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

In questo esempio, viene consentita l'installazione di qualsiasi build di Windows 10 fino alla 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Questa funzionalità si basa sulle versioni di build di Windows 10 per consentire la granularità futura del supporto degli aggiornamenti cumulativi e degli aggiornamenti delle funzionalità. Il numero di build dell'aggiornamento delle funzionalità da installare è visualizzato all'interno di Windows Update:

In questo esempio, il valore di "SupportedWindows10Upgrade" deve essere "10.0.17686.1003" o superiore.

L'aggiornamento di Windows 10 deve essere eseguito da una directory non crittografata. Perché USER oppure COMMON la crittografia non viene sbloccata durante il processo di aggiornamento a Windows 10, quando l'aggiornamento viene eseguito da un USER oppure COMMON crittografata, l'aggiornamento non riesce anche se l'aggiornamento a Windows 10 di Dell Encryption viene eseguito correttamente.

Sulla base a questo requisito, Dell consiglia di aggiungere le seguenti esclusioni alle policy di Dell Encryption per gli aggiornamenti delle funzionalità di Windows. Tali esclusioni devono essere aggiunte sia in Fixed Disk Exclusions (Esclusioni disco fisso) (per le chiavi SDE) e in General Encryption Exclusions (Esclusioni crittografia generale) (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Esclusioni necessarie per gli aggiornamenti delle funzionalità con push tramite SCCM e altre applicazioni di gestione di terze parti:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Di seguito sono illustrati i passaggi per eseguire il pull degli aggiornamenti delle funzionalità tramite Windows Update.

È possibile che venga visualizzato un errore in cui è indicato che Dell Encryption deve essere disinstallato prima di continuare.

Chiudi questa schermata ed esegui WSProbe -z (come amministratore dal prompt dei comandi) e quindi riprovare l'aggiornamento.

Durante l'aggiornamento, un messaggio informa che vengono eseguite in background alcune operazioni di preparazione.

È possibile verificare lo stato degli aggiornamenti nel menu delle impostazioni per Windows 10.

Per accedere agli elementi di aggiornamento tramite il menu Impostazioni:

1. Cliccare sul pulsante Start, quindi su Impostazioni.
   
2. In Impostazioni, fare clic su Aggiornamento e sicurezza.
   
3. Quando è tutto pronto, la sezione Aggiornamento e sicurezza indica che è stato pianificato un riavvio. Il riavvio avvia il processo di aggiornamento.
   
   
4. L'aggiornamento termina e, durante l'accesso, Windows indica che il personal computer è stato aggiornato e tutti i dati si trovano nella stessa posizione.

È possibile verificare che la nuova versione di Windows sia stata installata correttamente controllando la versione di Windows tramite il comando "winver", da eseguire in un prompt dei comandi o in PowerShell.

Nota: Alcuni dispositivi che eseguono Dell Data Protection | La versione di crittografia 8.10.1 o 8.11.0 deve aggiornare il file SetupConfig.ini entro C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Nel file corrente manca un'intestazione di [SetupConfig]. Mostriamo:

Aggiungi l'intestazione per renderla:

Questo file si applica a tutti gli aggiornamenti locali e automatizza il passaggio al reflectdrivers all'aggiornamento delle funzionalità di Windows disponibile tramite Windows Update. Le modifiche sono state apportate all'interno del prodotto e non è più necessaria alcuna modifica manuale a partire dalla versione 8.12.0.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. Il download è disponibile qui: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Prima di inserire il supporto, eseguire WSProbe -z come amministratore dal prompt dei comandi. In questo modo si prepareranno i dati crittografati per il processo di aggiornamento (non avviene alcuna operazione di decrittografia).

Quando si inserisce questo supporto in un sistema che esegue versioni precedenti di Microsoft Windows, viene visualizzato un prompt di aggiornamento.

È necessario chiudere questo prompt, poiché l'aggiornamento deve essere eseguito con un comando specifico.

Aprire un prompt dei comandi con privilegi amministrativi (o utilizzare il prompt dei comandi aperto per WSProbe -z funzionalità).

Passare alla lettera dell'unità che contiene il supporto di aggiornamento delle funzionalità di Windows. In questo esempio, l'unità che contiene il supporto di aggiornamento delle funzionalità di Windows è la D:.

Eseguire setup.exe con il comando seguente per integrare i driver di Dell Encryption:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Questo comando avvia il processo di aggiornamento delle funzionalità di Windows. Procedere attraverso i vari prompt. Non sono necessari altri passaggi.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. Il download è disponibile qui: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Per preparare un aggiornamento delle funzionalità di Windows per il deployment, la maggior parte degli ambienti deve sfruttare un install.wim file. Per il modo in cui Dell Encryption supporta il percorso di aggiornamento delle funzionalità di Windows, occorre aggiungere i driver e i file del Registro di sistema necessari nel supporto di installazione.

A tale scopo è necessario l'Application Development Kit (ADK) di Windows 10. La versione più recente è disponibile al seguente indirizzo: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

È necessario un file batch e chiavi del Registro di sistema appropriate, elementi che non possono essere scaricati dal cliente tramite un collegamento esterno. Per ottenerli, è possibile rivolgersi al supporto al numero 877.459.7304 int. 4310039, per il supporto al di fuori degli Stati Uniti, fare riferimento all'elenco dei numeri di contatto internazionali di ProSupport. Questo file batch accetta un file ISO di aggiornamento delle funzionalità di Windows espanso (scaricato in precedenza) e inserisce driver e file di registro in install.wim e WinRE.wim all'interno dell'ISO di aggiornamento.

Per trovare i driver appropriati per il proprio supporto di aggiornamento, è necessario eseguirne il pull da un dispositivo che esegue la versione 8.10.1 o successiva per la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Questi si trovano in C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. Da 8.18.0 in poi, questa cartella è stata modificata in "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers".

• Script di tipo batch (fornito dal supporto Dell)
• Immagine ISO estratta del programma di installazione dell'aggiornamento di Windows (fornita da Microsoft)
• Chiavi del Registro di sistema (fornite dal supporto Dell mediante script)
• Driver Dell Encryption (pull eseguito da un dispositivo presente in rete o forniti dal supporto Dell)

Per generare il supporto:

1. Aprire Ambiente degli strumenti di distribuzione e creazione immagini come amministratore.
   
2. Eseguire lo script di tipo batch. L'inserimento del file batch fornisce informazioni sulla sintassi.
   

La sintassi è:

Uso: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Dove:

Win10UpgradeDir -- Percorso dei file ISO di Windows 10 estratti in una directory.
DDPEDriversDir -- Percorso opzionale per DDP|E drivers directory (la directory Dell Data Protection | Se questo parametro non viene fornito, i driver di crittografia vengono ottenuti dall'installazione locale.

Al termine del processo, si ottiene un install.wim all'interno della directory ISO estratta fornita allo strumento.

I file di installazione sono ora pronti per l'utilizzo.

• In qualità di amministratore, aprire un prompt dei comandi nella stessa posizione del WSProbe.exe e inserire il comando applicabile:
  • Modalità di aggiornamento di Windows 10 per l'autenticazione con un file bundle di chiavi per Dell Encryption Personal (formalmente Dell Data Protection | Personal Edition) è innanzitutto necessario utilizzare il comando riportato di seguito, che fa parte della preparazione dell'aggiornamento ( LSARecovery file di cui è stato eseguito il backup durante il processo di provisioning di Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire WSProbe –E

1. Il computer è pronto per l'aggiornamento quando viene visualizzato il messaggio seguente "Preparation complete. Run Windows Upgrade now".
2. Riavviare il computer, se richiesto.
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer.
5. Al termine dell'aggiornamento, aprire un prompt dei comandi e immettere:
   • WSProbe -R
     Nota: Il comando WSProbe -R Il comando riprende le normali funzionalità del client di crittografia e viene eseguito dopo che il computer è stato aggiornato correttamente. Può anche essere utilizzato per eseguire il rollback alla normale funzionalità del client Encryption prima di eseguire un aggiornamento.
6. Riavviare il computer, se richiesto.

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire WSProbe –E

1. Se non viene visualizzato il messaggio Preparazione completata. Esegui subito Windows Upgrade.
   1. Seguire le istruzioni riportate.
   2. Eseguire WSProbe fino a quando non viene visualizzato il prompt per eseguire l'aggiornamento di Windows:
      • WSProbe -E
   3. Eseguire l'aggiornamento di Windows.
   4. Riavviare il computer, se richiesto.
   5. Al termine dell'aggiornamento, aprire un prompt dei comandi e immettere:
      • WSProbe -R

Con questo metodo potrebbero verificarsi problemi con file che non vengono decrittografati. Per evitare che ciò succeda, creare automaticamente una chiave del Registro di sistema:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire: WSProbe –E

Per verificare l'avanzamento del processo di preparazione, eseguire WSProbe –E

In qualità di amministratore, aprire un prompt dei comandi nella stessa posizione del WSProbe.exe e inserire il comando applicabile:

• Ciò consente la modalità di aggiornamento di Windows 10 per importare e autenticare un file con un pacchetto di chiavi preesistente (può essere scaricato da Dell Security Management Server [formalmente Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Questo contatta Dell Security Management Server o Dell Security Management Virtual Server (formalmente Dell Data Protection | Virtual Edition), che trasferisce il bundle di chiavi, utilizzato per verificare che sia presente il materiale giusto:
  • WSProbe -E -S "forensics_admin_name" "password"
• Per verificare l'avanzamento del processo di preparazione, è possibile eseguire:
  • WSProbe -E

1. Il computer è pronto per l'aggiornamento quando viene visualizzato il messaggio seguente: Preparazione completata. Esegui subito Windows Upgrade.
2. Riavviare il computer, se richiesto.
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer.
5. Al termine dell'aggiornamento, aprire un prompt dei comandi e immettere:
   • WSProbe -R
6. Riavviare il computer, se richiesto.

Se la preparazione viene completata. Il messaggio Esegui Windows Upgrade ora non viene visualizzato. Attenersi alla seguente procedura:

1. Seguire le istruzioni riportate.
2. Eseguire WSProbe fino a quando non viene visualizzato il prompt per eseguire l'aggiornamento di Windows:
   • WSProbe -E
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer, se richiesto.
5. Al termine dell'aggiornamento, aprire un prompt dei comandi e immettere:
   • WSProbe -R

Con questo metodo potrebbero verificarsi problemi con file che non vengono decrittografati. Per evitare che ciò succeda, creare automaticamente una chiave del Registro di sistema:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0