Prácticas recomendadas de Dell Encryption Enterprise y Dell Encryption Personal: Actualización de funciones o migración de Windows 10

La actualización de Windows 10 se debe ejecutar desde un directorio sin cifrar. Porque USER o COMMON El cifrado NO se desbloquea durante el proceso de actualización de Windows 10 cuando la actualización se ejecuta desde un USER o COMMON directorio cifrado, la actualización falla aunque la actualización de Dell Encryption a Windows 10 se realice correctamente.

En función de este requisito, Dell sugiere que se agreguen las siguientes exclusiones a las políticas de Dell Encryption para las actualizaciones de las características de Windows. Estas se deben agregar a las exclusiones de disco fijo (para las claves SDE) y a las exclusiones de cifrado generales (común/usuario):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Las siguientes son necesarias para las actualizaciones forzadas de características a través de SCCM y otras aplicaciones de administración de otros fabricantes:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

No se requieren modificaciones cuando se ejecutan las actualizaciones de características de Windows con la versión 8.18.0 de Dell Encryption o versiones posteriores. Todas las actualizaciones de características que se apliquen con Windows Update ya no le solicitarán que elimine Dell Encryption.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Puede obtener esos medios aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

No se requieren modificaciones cuando se ejecutan las actualizaciones de características de Windows con la versión 8.18.0 de Dell Encryption o versiones posteriores. Todas las actualizaciones de características que se apliquen con los medios independientes ya no le solicitarán que elimine Dell Encryption.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Puede obtener esos medios aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

A fin de preparar una actualización de características de Windows para su implementación, la mayoría de los entornos tienen que aprovechar un install.wim . Debido a la naturaleza del modo en que Dell Encryption soporta la ruta de la actualización de las características de Windows, tendremos que aplicar los archivos de registro necesarios y los controladores en los medios de instalación.

Es necesario el kit de desarrollo de aplicaciones de Windows 10 (ADK) para lograr esto. Puede encontrar la versión más reciente aquí: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

También necesitará un archivo por lotes y claves de registro adecuadas, que no se pueden vincular externamente para que el cliente los descargue. Puede solicitarlos al soporte si llama a la línea de soporte al: 877.459.7304 ext. 4310039, para obtener soporte fuera de EE. UU., consulte la lista de números de contacto internacionales de ProSupport. Este archivo por lotes toma una ISO de actualización de características de Windows expandida (descargada anteriormente) e inserta los controladores y los archivos de registro en la install.wim y WinRE.wim dentro de la ISO de actualización.

Debemos extraer los controladores de un dispositivo que ejecute la versión de Dell Encryption instalada en los terminales a fin de encontrar los controladores adecuados para los medios de actualización y la velocidad de bits adecuada del sistema operativo (32 bits o 64 bits). En 8.10.1 a 8.17.2, los controladores para Dell Encryption se encuentran en "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\." En 8.18.0 y versiones posteriores, esta ubicación se cambió a: ”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”

Debemos extraer los controladores de un dispositivo que ejecute la versión de Dell Encryption instalada en los terminales a fin de encontrar los controladores adecuados para los medios de actualización y la velocidad de bits adecuada del sistema operativo (32 bits o 64 bits). Estos se encuentran en C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

Dell Encryption, a partir de la versión 8.18, comprobará automáticamente la versión del sistema operativo en proceso de instalación mediante una lista interna de versiones de sistemas operativos soportados. Si no se encuentra una coincidencia, la actualización de características se bloquea y se presenta una notificación al usuario que inició sesión:

Estos bloqueos se pueden sobrescribir para permitir la realización de pruebas con un sistema operativo no soportado. Una clave de registro permite esta capacidad:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

En este ejemplo, se permitiría instalar cualquier compilación de Windows 10 hasta la versión 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Esta función se basa en las versiones de las compilaciones de Windows 10 a fin de permitir una granularidad futura de asistencia para actualizaciones acumulativas y actualizaciones de características. El número de la compilación de la actualización de características que se está instalando se muestra en Windows Update:

En este ejemplo, el valor de “SupportedWindows10Upgrade” debe ser “10.0.17686.1003” o uno superior.

La actualización de Windows 10 se debe ejecutar desde un directorio sin cifrar. Porque USER o COMMON El cifrado no se desbloquea durante el proceso de actualización a Windows 10 cuando la actualización se ejecuta desde un USER o COMMON directorio cifrado, la actualización falla aunque la actualización de Dell Encryption a Windows 10 se realice correctamente.

En función de este requisito, Dell sugiere que se agreguen las siguientes exclusiones a las políticas de Dell Encryption para las actualizaciones de las características de Windows. Estas se deben agregar a las exclusiones de disco fijo (para las claves SDE) y a las exclusiones de cifrado generales (común/usuario):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Las siguientes son necesarias para las actualizaciones forzadas de características a través de SCCM y otras aplicaciones de administración de otros fabricantes:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

A continuación, se muestran los pasos para extraer actualizaciones de funciones a través de Windows Update.

Es posible que encuentre un error que indica que es necesario desinstalar Dell Encryption antes de continuar.

Cierre esta pantalla, ejecute WSProbe -z (como administrador desde el símbolo del sistema) y, a continuación, vuelva a intentar la actualización.

La actualización indica que se están ejecutando más elementos de preparación en segundo plano.

El estado de las actualizaciones se puede comprobar en el nuevo menú Configuración de Windows 10.

Para acceder a los elementos de actualización a través del menú de ajustes realice lo siguiente:

1. Haga clic en el botón Inicio y, a continuación, en Configuración.
   
2. En Configuración, haga clic en Actualización y seguridad.
   
3. Cuando esté listo, la sección Actualización y seguridad muestra que se programó un reinicio. El reinicio comienza el proceso de actualización.
   
   
4. La actualización finaliza, durante el inicio de sesión, Windows indica que la computadora personal se actualizó y todos sus datos están en la misma ubicación.

Puede validar que la nueva versión de Windows se instaló correctamente comprobando la versión de Windows con el comando "winver", se ejecuta en un símbolo del sistema o en PowerShell.

Nota: Algunos dispositivos que ejecutan Dell Data Protection | Encryption versión 8.10.1 u 8.11.0 debe actualizar su archivo SetupConfig.ini dentro de C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Al archivo actual le falta un encabezado de [SetupConfig]. Te mostramos:

Agrega el encabezado para hacerlo:

Este archivo se aplica a todas las actualizaciones locales y automatiza el paso a la reflectdrivers a la actualización de características de Windows que viene a través de Windows Update. Los cambios se han realizado dentro del producto, y ya no es necesario cambiar manualmente a partir de 8.12.0.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Obtenga la descarga aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Antes de insertar el material, ejecute el siguiente comando: WSProbe -z como administrador desde el símbolo del sistema. Esto prepara los datos cifrados para el proceso de actualización (no se realiza ningún descifrado).

Cuando estos medios se insertan en una computadora que tenga en ejecución las versiones anteriores de Microsoft Windows, aparece una solicitud de actualización.

Cierre esta solicitud, ya que la actualización se debe ejecutar con un comando específico.

Abra un símbolo del sistema administrativo (o aproveche el símbolo del sistema que está abierto para el WSProbe -z funcionalidad).

Busque la letra de la unidad que contenga el medio de la actualización de características de Windows. En este ejemplo, D: es la unidad que contiene el medio de la actualización de características de Windows.

Ejecute el archivo setup.exe con el siguiente comando para insertar los controladores de Dell Encryption:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Mediante este comando, se inicia el proceso de actualización de características de Windows. Siga los pasos indicados. No se deben realizar otros pasos.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Obtenga la descarga aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

A fin de preparar una actualización de características de Windows para su implementación, la mayoría de los entornos tienen que aprovechar un install.wim . Debido a la naturaleza del modo en que Dell Encryption soporta la ruta de la actualización de las características de Windows, tendremos que aplicar los archivos de registro necesarios y los controladores en los medios de instalación.

Es necesario el kit de desarrollo de aplicaciones de Windows 10 (ADK) para lograr esto. Puede encontrar la versión más reciente aquí: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Necesita un archivo por lotes y claves de registro adecuadas, que no se pueden vincular externamente para que el cliente las descargue. Puede solicitarlos al soporte si llama a la línea de soporte al: 877.459.7304 ext. 4310039, para obtener soporte fuera de EE. UU., consulte la lista de números de contacto internacionales de ProSupport. Este archivo por lotes toma una ISO de actualización de características de Windows expandida (descargada anteriormente) e inserta los controladores y los archivos de registro en la install.wim y WinRE.wim dentro de la ISO de actualización.

Para encontrar los controladores adecuados para los medios de actualización, debemos extraer los controladores de un dispositivo que sea 8.10.1 o posterior para la velocidad de bits adecuada del sistema operativo (32 bits o 64 bits). Estos se encuentran en C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. En 8.18.0 y versiones posteriores, esta carpeta se cambió a "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers."

• Script por lotes (proporcionado por el soporte de Dell)
• ISO extraída del instalador de Windows Feature Update (proporcionada por Microsoft)
• Claves de registro (proporcionadas por el soporte de Dell con script)
• Controladores de Dell Encryption (extraídos de un dispositivo en la red o proporcionados por el equipo de soporte de Dell)

Para generar medios, siga estos pasos:

1. Abra el entorno de herramientas de implementación y creación de imágenes como administrador.
   
2. Ejecute el script por lotes. Al ingresar el archivo por lotes, se proporciona información sobre la sintaxis.
   

La sintaxis es la siguiente:

Uso: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Dónde:

Win10UpgradeDir -- Ruta a los archivos ISO de Windows 10 que se extraen en un directorio.
DDPEDriversDir -- Ruta opcional al DDP|El directorio de controladores electrónicos (el directorio Dell Data Protection | Los controladores de cifrado se obtienen de la instalación local si no se proporciona este parámetro).

Una vez que finaliza el proceso, termina con una actualización install.wim dentro del directorio ISO extraído que proporcionó a la herramienta.

Los archivos de instalación ya están listos para usar.

• Como administrador, abra un símbolo del sistema en la misma ubicación que el WSProbe.exe e ingrese el comando correspondiente:
  • Modo de actualización de Windows 10 para autenticarse con un archivo de paquete de claves para Dell Encryption Personal (anteriormente, Dell Data Protection | Personal Edition) primero debe usar el siguiente comando, que forma parte de la preparación de la actualización (el LSARecovery archivo que se respaldó durante el proceso de aprovisionamiento de Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Para comprobar el progreso del proceso de preparación, puede ejecutar. WSProbe –E

1. La computadora está lista para la actualización cuando se muestra el siguiente mensaje "Preparación completa. Ejecutar la actualización de Windows ahora."
2. Reinicie el equipo si se le solicita que lo haga.
3. Ejecute la actualización de Windows.
4. Reinicie el equipo.
5. Una vez finalizada la actualización, abra un símbolo del sistema e ingrese lo siguiente:
   • WSProbe -R
     Nota: El comando WSProbe -R reanuda la funcionalidad normal del cliente Encryption y se ejecuta después de que la computadora se actualiza correctamente. También se puede utilizar para volver al funcionamiento normal del cliente Encryption antes de que se realizara una actualización.
6. Reinicie el equipo si se le solicita que lo haga.

Para comprobar el progreso del proceso de preparación, puede ejecutar. WSProbe –E

1. Si no se muestra el siguiente mensaje: Preparación completa. Ejecute la actualización de Windows ahora.
   1. Siga las instrucciones que aparecen en la lista.
   2. Ejecutar WSProbe De nuevo y hasta que se muestre el símbolo del sistema para ejecutar la actualización de Windows:
      • WSProbe -E
   3. Ejecute la actualización de Windows.
   4. Reinicie el equipo si se le solicita que lo haga.
   5. Una vez finalizada la actualización, abra un símbolo del sistema e ingrese lo siguiente:
      • WSProbe -R

Este método se puede ejecutar en problemas con archivos que no se descifran. Para evitar esto, se debe crear automáticamente una clave del registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente: WSProbe –E

Para comprobar el avance del proceso de preparación, ejecute WSProbe –E

Como administrador, abra un símbolo del sistema en la misma ubicación que el WSProbe.exe e ingrese el comando correspondiente:

• Esto permite que el modo de actualización de Windows 10 importe y autentique con un archivo de paquete de claves preexistente (se puede descargar desde Dell Security Management Server [anteriormente, Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Esto se comunica con Dell Security Management Server o Dell Security Management Virtual Server (anteriormente Dell Data Protection | Virtual Edition), que transfiere el paquete de claves, que se utiliza para validar que el material de claves adecuado esté presente:
  • WSProbe -E -S "forensics_admin_name" "password"
• Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente:
  • WSProbe -E

1. La computadora está lista para la actualización cuando aparece el siguiente mensaje: Preparación completa. Ejecute la actualización de Windows ahora.
2. Reinicie el equipo si se le solicita que lo haga.
3. Ejecute la actualización de Windows.
4. Reinicie el equipo.
5. Una vez finalizada la actualización, abra un símbolo del sistema e ingrese lo siguiente:
   • WSProbe -R
6. Reinicie el equipo si se le solicita que lo haga.

Si la preparación se completó. El mensaje Ejecute la actualización de Windows ahora no aparece. Siga estos pasos:

1. Siga las instrucciones que aparecen en la lista.
2. Ejecutar WSProbe De nuevo y hasta que se muestre el símbolo del sistema para ejecutar la actualización de Windows:
   • WSProbe -E
3. Ejecute la actualización de Windows.
4. Reinicie el equipo si se le solicita que lo haga.
5. Una vez finalizada la actualización, abra un símbolo del sistema e ingrese lo siguiente:
   • WSProbe -R

Este método se puede ejecutar en problemas con archivos que no se descifran. Para evitar esto, se debe crear automáticamente una clave del registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0