Dell Encryption Enterprise 和 Dell Encryption Personal 最佳实践：Windows 10 功能更新或迁移

Windows 10升级必须从未加密的目录运行。因为 USER 或 COMMON 在 Windows 10 升级过程中，当从 USER 或 COMMON encrypted 目录中，即使正确执行了 Dell Encryption Windows 10 升级，升级也会失败。

基于此要求，戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项（适用于 SDE 密钥）和常规加密排除项（通用/用户）中：

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

通过 SCCM 和其它第三方管理应用程序推送的功能更新需要：

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

如果运行Dell Encryption版本8.18.0或更高版本，运行Windows功能更新不需要任何修改。通过Windows Update的所有功能更新都不会再提示删除Dell Encryption。

Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质：https://support.microsoft.com/en-us/help/12387/windows-10-update-history

如果运行Dell Encryption版本8.18.0或更高版本，运行Windows功能更新不需要任何修改。通过Standalone Media的所有功能更新都不会再提示删除Dell Encryption。

Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质：https://support.microsoft.com/en-us/help/12387/windows-10-update-history

若要准备部署 Windows 功能更新，大多数环境必须利用 install.wim 文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质，我们必须将驱动程序和必要的注册表文件注入安装介质。

要完成此操作，需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本：https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

您还需要批处理文件和相应的注册表项，它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西：877.459.7304，分机号：4310039，对于美国境外的支持，请参考ProSupport 的国际联系号码 列表。此批处理文件采用扩展的 Windows 功能更新 ISO（在上面下载），并将驱动程序和注册表文件注入到 install.wim 和 WinRE.wim 升级 ISO 中的文件。

我们必须从运行已安装在您的端点上的 Dell Encryption 版本的设备中提取驱动程序，以便为您的升级介质和相应的操作系统位速率（32 位或 64 位）查找相应的驱动程序。在 8.10.1 至 8.17.2 中，Dell Encryption 的驱动程序位于”C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\”。在 8.18.0 及更高版本中，此位置已移至：”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”

我们必须从运行已安装在您的端点上的 Dell Encryption 版本的设备获取驱动程序，以便为您的升级介质和相应的操作系统位速率（32 位或 64 位）查找相应的驱动程序。这些位于 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

从 8.18 及更高版本开始，Dell Encryption 将根据支持的操作系统版本的内部列表，自动检查正在安装的操作系统版本。如果未找到匹配项，则功能更新将被阻止，并向登录用户显示通知：

这些阻止可以被覆盖，以允许使用不受支持的操作系统进行测试。注册表项支持此功能：

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

此示例将允许安装最高为 10.0.17300.1 的任何 Windows 10 内部版本。

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

此功能依赖于Windows 10版本，以支持累积更新和功能更新支持的未来粒度。Windows Update 中会显示正在安装的功能更新的内部版本号：

在此示例中，“SupportedWindows10Upgrade”的值必须是“10.0.17686.1003”或更大。

Windows 10升级必须从未加密的目录运行。因为 USER 或 COMMON 在 Windows 10 升级过程中，当从 USER 或 COMMON encrypted 目录中，即使正确执行了 Dell Encryption Windows 10 升级，升级也会失败。

基于此要求，戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项（适用于 SDE 密钥）和常规加密排除项（通用/用户）中：

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

通过 SCCM 和其它第三方管理应用程序推送的功能更新需要：

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

通过 Windows Update 提取功能更新的步骤如下所示。

您可能会遇到一个故障，指示需要先卸载Dell Encryption才能继续。

关闭此屏幕，运行 WSProbe -z （以管理员身份使用命令提示符），然后再次尝试更新。

更新提示声称更多的准备项目已在后台运行。

可在Windows 10的新Settings（设置）菜单中检查更新状态。

要使用“设置”菜单访问更新项目，请执行以下操作：

1. 单击 “开始”按钮，然后单击 “设置”。
   
2. 在“Settings”中，单击 “Update & Security”。
   
3. 准备就绪后，“更新和安全”部分显示已计划重新启动。重新启动将开始更新过程。
   
   
4. 升级结束，在登录期间，Windows 指示个人计算机已更新，并且您的所有数据都位于同一位置。

您可以通过命令检查 Windows 版本，以验证新版本的 Windows 已正确安装”winver“，在命令提示符下或在 PowerShell 中运行。

提醒：运行 Dell Data Protection |加密版本 8.10.1 或 8.11.0 SetupConfig.ini必须在 C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS。当前文件缺少标题 [SetupConfig]。我们展示：

添加标题使其

：此文件适用于所有本地更新，并自动传递给 reflectdrivers 命令，以通过 Windows Update 更新 Windows 功能更新。已在产品内部进行更改，从8.12.0开始不再需要手动更改。

Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载：https://support.microsoft.com/en-us/help/12387/windows-10-update-history

插入介质之前，请运行 WSProbe -z 以管理员身份从命令提示符访问。这将为升级过程准备加密数据（不进行解密）。

将此介质插入运行较早版本的 Microsoft Windows 的计算机时，将出现升级提示。

关闭此提示，因为必须使用特定命令运行升级。

打开管理命令提示符（或利用为 WSProbe -z 功能）。

转至包含 Windows 功能更新介质的驱动器盘符。在此示例中，D:是Windows功能更新介质的驱动器。

使用此命令运行setup.exe以注入Dell Encryption驱动程序：

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

此命令会启动 Windows 功能更新过程。按照提示进行操作，无需执行其他步骤。

Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载：https://support.microsoft.com/en-us/help/12387/windows-10-update-history

若要准备部署 Windows 功能更新，大多数环境必须利用 install.wim 文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质，我们必须将驱动程序和必要的注册表文件注入安装介质。

要完成此操作，需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本：https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

您需要批处理文件和相应的注册表项，它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西：877.459.7304，分机号：4310039，对于美国境外的支持，请参考ProSupport 的国际联系号码 列表。此批处理文件采用扩展的 Windows 功能更新 ISO（在上面下载），并将驱动程序和注册表文件注入到 install.wim 和 WinRE.wim 升级 ISO 中的文件。

要为您的升级介质查找相应的驱动程序，我们必须从运行 8.10.1 或更高版本的设备中获取适用于相应操作系统位速率（32 位或 64 位）的驱动程序。这些位于 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\。在 8.18.0 及更高版本中，此文件夹已更改为”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”。

• 批处理脚本（由戴尔支持提供）
• Windows功能更新安装程序（由Microsoft提供）解压缩的ISO
• 注册表项（与脚本一起由戴尔支持提供）
• Dell Encryption驱动程序（取自网络上的设备，或由戴尔支持提供）

要生成介质：

1. 以管理员身份打开部署和映像工具环境。
   
2. 运行批处理脚本。输入批处理文件会提供有关语法的信息。
   

语法是：

用法： Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

其中：

Win10UpgradeDir -- 解压到目录的 Windows 10 ISO 文件的路径。
DDPEDriversDir -- DDP 的可选路径|E drivers 目录（Dell Data Protection |如果未提供此参数，则从本地安装获取加密驱动程序。

完成此过程后，您最终将获得升级的 install.wim 文件，在您提供给工具的解压的 ISO 目录中。

安装文件现可随时使用。

• 以管理员身份，在 WSProbe.exe 文件，然后输入适用的命令：
  • Windows 10 升级模式，可根据 Dell Encryption Personal（以前称为 Dell Data Protection |个人版），您必须首先使用以下命令，这是升级准备工作的一部分（ LSARecovery 在 Dell Encryption Personal 资源调配过程中备份的文件）：
    • WSProbe -E -B "backup_file_path" "password"

要检查准备过程的进度，可运行： WSProbe –E

1. 当以下消息显示时，计算机已准备好进行升级：“Preparation complete.Run Windows Upgrade now.”（准备已完成。请立即运行 Windows 升级。）
2. 如果系统提示重启，则重新启动计算机。
3. 运行Windows升级。
4. 重新启动计算机。
5. 升级完成后，打开命令提示符并输入：
   • WSProbe -R
     提醒：该 WSProbe -R 命令将恢复正常的加密客户端功能，并在计算机成功升级后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
6. 如果系统提示重启，则重新启动计算机。

要检查准备过程的进度，可运行： WSProbe –E

1. 如果未显示以下消息：准备完成。请立即运行 Windows 升级。
   1. 请按照列出的提示进行操作。
   2. 在两个节点上运行 WSProbe 再次显示，直到显示运行 Windows 升级的提示：
      • WSProbe -E
   3. 运行Windows升级。
   4. 如果系统提示重启，则重新启动计算机。
   5. 升级完成后，打开命令提示符并输入：
      • WSProbe -R

对于未解密的文件，此方法可能会遇到问题。要避免这种情况，我们应自动创建以下项的注册表项：

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

要检查准备过程的进度，可运行： WSProbe –E

要检查准备过程的进度，请运行 WSProbe –E

以管理员身份，在 WSProbe.exe 文件，然后输入适用的命令：

• 这允许 Windows 10 升级模式导入预先存在的密钥包文件并针对其进行身份验证（可从 Dell Security Management Server [以前称为 Dell Data Protection |企业版]）：
  • WSProbe -E -I "import_file_path" "password"
• 这会联系 Dell Security Management Server 或 Dell Security Management Virtual Server（以前称为 Dell Data Protection |Virtual Edition），用于传输用于验证正确的密钥材料是否存在的密钥捆绑包：
  • WSProbe -E -S "forensics_admin_name" "password"
• 要检查准备过程的进度，可运行：
  • WSProbe -E

1. 当显示以下消息时，计算机已准备好进行升级：准备完成。请立即运行 Windows 升级。
2. 如果系统提示重启，则重新启动计算机。
3. 运行Windows升级。
4. 重新启动计算机。
5. 升级完成后，打开命令提示符并输入：
   • WSProbe -R
6. 如果系统提示重启，则重新启动计算机。

如果 准备完成。Please run Windows Upgrade now message does not display， 请按照下列步骤操作：

1. 请按照列出的提示进行操作。
2. 在两个节点上运行 WSProbe 再次显示，直到显示运行 Windows 升级的提示：
   • WSProbe -E
3. 运行Windows升级。
4. 如果系统提示重启，则重新启动计算机。
5. 升级完成后，打开命令提示符并输入：
   • WSProbe -R

对于未解密的文件，此方法可能会遇到问题。要避免这种情况，我们应自动创建以下项的注册表项：

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0