Best practice per Dell Encryption Enterprise e Dell Encryption Personal: Aggiornamento funzionalità Windows 10 o migrazione

L'aggiornamento di Windows 10 deve essere eseguito da una directory non crittografata. Poiché la crittografia USER oppure COMMON NON viene sbloccata durante il processo di aggiornamento a Windows 10, quando l'aggiornamento viene eseguito da una directory crittografata USER oppure COMMON l'aggiornamento non riesce anche se l'aggiornamento a Windows 10 di Dell Encryption viene eseguito correttamente.

Sulla base di questo requisito, Dell consiglia di aggiungere le seguenti esclusioni alle policy di Dell Encryption per gli aggiornamenti delle funzionalità di Windows. Tali esclusioni devono essere aggiunte sia in Fixed Disk Exclusions (Esclusioni disco fisso) (per le chiavi SDE) e in General Encryption Exclusions (Esclusioni crittografia generale) (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Esclusioni necessarie per gli aggiornamenti delle funzionalità con push tramite SCCM e altre applicazioni di gestione di terze parti:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Non sono necessarie modifiche per gli aggiornamenti delle funzionalità di Windows quando si esegue Dell Encryption 8.18.0 o versione successiva. Per tutti gli aggiornamenti delle funzionalità tramite Windows Update non verrà più richiesto di rimuovere Dell Encryption.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. È possibile ottenere i file al seguente indirizzo: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Non sono necessarie modifiche per gli aggiornamenti delle funzionalità di Windows quando si esegue Dell Encryption 8.18.0 o versione successiva. Per tutti gli aggiornamenti delle funzionalità tramite supporto autonomo non verrà più richiesto di rimuovere Dell Encryption.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. È possibile ottenere i file al seguente indirizzo: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Per preparare il deployment di un aggiornamento delle funzionalità di Windows, nella maggior parte degli ambienti è necessario utilizzare un install.wim file. Per il modo in cui Dell Encryption supporta il percorso di aggiornamento delle funzionalità di Windows, occorre aggiungere i driver e i file del Registro di sistema necessari nel supporto di installazione.

A tale scopo è necessario l'Application Development Kit (ADK) di Windows 10. La versione più recente è disponibile al seguente indirizzo: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

È inoltre necessario un file batch e chiavi del Registro di sistema appropriate, elementi che non possono essere scaricati dal cliente tramite un collegamento esterno. Per ottenerli, è possibile rivolgersi al supporto al numero 877.459.7304 int. 4310039, per i clienti al di fuori degli Stati Uniti, consultare l'elenco dei numeri di contatto internazionali ProSupport. Questo file batch utilizza un'immagine ISO dell'aggiornamento delle funzionalità di Windows (scaricato in precedenza) e aggiunge driver e file del registro nei file install.wim e WinRE.wim all'interno dell'ISO di aggiornamento.

È necessario estrarre i driver da un dispositivo che esegue la versione di Dell Encryption installata sugli endpoint per trovare i driver appropriati per il supporto di aggiornamento e la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Nelle versioni da 8.10.1 a 8.17.2, i driver per Dell Encryption sono disponibili in "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\". Dalla versione 8.18.0 in poi, la posizione è stata spostata in: ".C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers".

È necessario estrarre i driver da un dispositivo che esegue la versione di Dell Encryption installata sugli endpoint per trovare i driver appropriati per il supporto di aggiornamento e la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Questi driver sono disponibili in C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

A partire dalla versione 8.18, Dell Encryption verifica automaticamente la versione del sistema operativo che si intende installare a fronte di un elenco interno di versioni del sistema operativo supportate. Se non viene trovata una corrispondenza, l'aggiornamento delle funzionalità viene bloccato e viene inviata una notifica all'utente connesso:

Questi blocchi possono essere sovrascritti per consentire l'esecuzione di test con un sistema operativo non supportato. Tale possibilità viene consentita tramite una chiave di registro:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

In questo esempio, viene consentita l'installazione di qualsiasi build di Windows 10 fino alla 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Questa funzionalità si basa sulle versioni di build di Windows 10 per consentire la granularità futura del supporto degli aggiornamenti cumulativi e degli aggiornamenti delle funzionalità. Il numero di build dell'aggiornamento delle funzionalità da installare è visualizzato all'interno di Windows Update:

In questo esempio, il valore di "SupportedWindows10Upgrade" deve essere "10.0.17686.1003" o superiore.

L'aggiornamento di Windows 10 deve essere eseguito da una directory non crittografata. Poiché la crittografia USER oppure COMMON non viene sbloccata durante il processo di aggiornamento a Windows 10, quando l'aggiornamento viene eseguito da una directory crittografata USER oppure COMMON l'aggiornamento non riesce anche se l'aggiornamento a Windows 10 di Dell Encryption viene eseguito correttamente.

Sulla base di questo requisito, Dell consiglia di aggiungere le seguenti esclusioni alle policy di Dell Encryption per gli aggiornamenti delle funzionalità di Windows. Tali esclusioni devono essere aggiunte sia in Fixed Disk Exclusions (Esclusioni disco fisso) (per le chiavi SDE) e in General Encryption Exclusions (Esclusioni crittografia generale) (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Esclusioni necessarie per gli aggiornamenti delle funzionalità con push tramite SCCM e altre applicazioni di gestione di terze parti:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Di seguito è illustrata la procedura per eseguire il pull degli aggiornamenti delle funzionalità tramite Windows Update.

È possibile che venga visualizzato un errore in cui è indicato che Dell Encryption deve essere disinstallato prima di continuare.

Chiudere questa schermata ed eseguire WSProbe -z (come amministratore dal prompt dei comandi) e provare di nuovo a eseguire l'aggiornamento.

Durante l'aggiornamento, un messaggio informa che vengono eseguite in background alcune operazioni di preparazione.

È possibile verificare lo stato degli aggiornamenti nel menu delle impostazioni per Windows 10.

Per accedere agli elementi di aggiornamento tramite il menu Impostazioni:

1. Cliccare sul pulsante Start, quindi su Impostazioni.
   
2. In Impostazioni, cliccare su Aggiornamento e sicurezza.
   
3. Quando è tutto pronto, nella sezione Aggiornamento e sicurezza viene indicato che è stato pianificato un riavvio. Il riavvio avvia il processo di aggiornamento.
   
   
4. L'aggiornamento viene completato e, durante l'accesso, Windows indica che il personal computer è stato aggiornato e tutti i dati si trovano nella stessa posizione.

È possibile convalidare la corretta installazione della nuova versione di Windows controllando la versione di Windows con il comando "winver", da eseguire in un prompt dei comandi o in PowerShell.

Nota: per alcuni dispositivi che eseguono Dell Data Protection | Encryption versione 8.10.1 o 8.11.0, è necessario aggiornare il file SetupConfig.ini in C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Nel file corrente manca l'intestazione [SetupConfig]. Appare come:

Aggiungere l'intestazione per renderlo:

Questo file si applica a tutti gli aggiornamenti locali e automatizza il passaggio al comando reflectdrivers all'aggiornamento delle funzionalità di Windows tramite Windows Update. Le modifiche sono state apportate all'interno del prodotto e non è più necessaria alcuna modifica manuale a partire dalla versione 8.12.0.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. Il download è disponibile qui: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Prima di inserire il supporto, eseguire WSProbe -z come amministratore dal prompt dei comandi. In questo modo si prepareranno i dati crittografati per il processo di aggiornamento (non avviene alcuna operazione di decrittografia).

Quando si inserisce questo supporto in un sistema che esegue versioni precedenti di Microsoft Windows, viene visualizzato un prompt di aggiornamento.

È necessario chiudere questo prompt, poiché l'aggiornamento deve essere eseguito con un comando specifico.

Aprire un prompt dei comandi con diritti di amministratore (o utilizzare il prompt dei comandi aperto per la funzionalità WSProbe -z ).

Passare alla lettera dell'unità che contiene il supporto di aggiornamento delle funzionalità di Windows. In questo esempio, l'unità che contiene il supporto di aggiornamento delle funzionalità di Windows è la D:.

Eseguire setup.exe con il comando seguente per integrare i driver di Dell Encryption:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Questo comando avvia il processo di aggiornamento delle funzionalità di Windows. Procedere attraverso i vari prompt. Non sono necessari altri passaggi.

Microsoft offre la possibilità di scaricare gli aggiornamenti delle funzionalità di Windows come file ISO per le operazioni di aggiornamento e deployment. Il download è disponibile qui: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Per preparare il deployment di un aggiornamento delle funzionalità di Windows, nella maggior parte degli ambienti è necessario utilizzare un install.wim file. Per il modo in cui Dell Encryption supporta il percorso di aggiornamento delle funzionalità di Windows, occorre aggiungere i driver e i file del Registro di sistema necessari nel supporto di installazione.

A tale scopo è necessario l'Application Development Kit (ADK) di Windows 10. La versione più recente è disponibile al seguente indirizzo: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

È necessario un file batch e chiavi del registro di sistema appropriate, elementi che non possono essere scaricati dal cliente tramite un collegamento esterno. Per ottenerli, è possibile rivolgersi al supporto al numero 877.459.7304 int. 4310039, Per i clienti al di fuori degli Stati Uniti, consultare l'elenco dei numeri di contatto internazionali ProSupport. Questo file batch utilizza un'immagine ISO dell'aggiornamento delle funzionalità di Windows (scaricato in precedenza) e aggiunge driver e file del registro nei file install.wim e WinRE.wim all'interno dell'ISO di aggiornamento.

Per trovare i driver appropriati per il proprio supporto di aggiornamento, è necessario eseguirne il pull da un dispositivo che esegue la versione 8.10.1 o successiva per la velocità in bit appropriata del sistema operativo (32 bit o 64 bit). Questi driver sono disponibili in C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. Nella versione 8.18.0 e in quelle successive, questa cartella è stata modificata in "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers".

• Script di tipo batch (fornito dal supporto Dell)
• Immagine ISO estratta del programma di installazione dell'aggiornamento di Windows (fornita da Microsoft)
• Chiavi del Registro di sistema (fornite dal supporto Dell mediante script)
• Driver Dell Encryption (pull eseguito da un dispositivo presente in rete o forniti dal supporto Dell)

Per generare il supporto:

1. Aprire Ambiente degli strumenti di distribuzione e creazione immagini come amministratore.
   
2. Eseguire lo script di tipo batch. L'inserimento del file batch fornisce informazioni sulla sintassi.
   

La sintassi è:

Uso: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Dove:

Win10UpgradeDir -- Percorso ai file Windows 10 ISO estratti in una directory.
DDPEDriversDir -- Percorso opzionale alla directory dei driver DDP|E (i driver Dell Data Protection | Encryption vengono ottenuti dall'installazione locale se questo parametro non viene fornito).

Al termine del processo, si ottiene un file install.wim aggiornato all'interno della directory ISO estratta fornita allo strumento.

I file di installazione sono ora pronti per l'utilizzo.

• In qualità di amministratore, aprire un prompt dei comandi nella stessa posizione del file WSProbe.exe e inserire il comando applicabile:
  • Per consentire l'autenticazione della modalità di aggiornamento di Windows 10 a fronte di un file con un bundle di chiavi per Dell Encryption Personal (formalmente Dell Data Protection | Personal Edition), è prima necessario utilizzare il comando riportato di seguito, che fa parte della preparazione all'aggiornamento (il file LSARecovery di cui è stato eseguito il backup durante il processo di provisioning di Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire WSProbe –E

1. Il computer è pronto per l'aggiornamento quando viene visualizzato il messaggio seguente "Preparation complete. Run Windows Upgrade now".
2. Riavviare il computer, se richiesto.
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer.
5. Una volta completato l'aggiornamento, aprire un prompt dei comandi e inserire:
   • WSProbe -R
     Nota: Il comando WSProbe -R il comando riprende la normale funzionalità del client Encryption e viene eseguito una volta aggiornato correttamente il computer. Può anche essere utilizzato per eseguire il rollback alla normale funzionalità del client Encryption prima di eseguire un aggiornamento.
6. Riavviare il computer, se richiesto.

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire WSProbe –E

1. Se non viene visualizzato il messaggio Preparation complete. Please run Windows Upgrade now.
   1. Seguire le istruzioni riportate.
   2. Eseguire WSProbe di nuovo e fino a quando non viene visualizzato il prompt di esecuzione dell'aggiornamento di Windows:
      • WSProbe -E
   3. Eseguire l'aggiornamento di Windows.
   4. Riavviare il computer, se richiesto.
   5. Una volta completato l'aggiornamento, aprire un prompt dei comandi e inserire:
      • WSProbe -R

Con questo metodo potrebbero verificarsi problemi con file che non vengono decrittografati. Per evitare che ciò succeda, creare automaticamente una chiave del Registro di sistema:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Per verificare l'avanzamento del processo di preparazione, è possibile eseguire: WSProbe –E

Per verificare l'avanzamento del processo di preparazione, eseguire WSProbe –E

In qualità di amministratore, aprire un prompt dei comandi nella stessa posizione del file WSProbe.exe e inserire il comando applicabile:

• Questo consente l'importazione e l'autenticazione della modalità di aggiornamento di Windows 10 a fronte di un file con un bundle di chiavi preesistente (può essere scaricato da Dell Security Management Server [formalmente Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Questo contatta il Dell Security Management Server o Dell Security Management Virtual Server (formalmente Dell Data Protection | Virtual Edition) che trasferisce il bundle di chiavi utilizzato per verificare che sia presente il materiale giusto:
  • WSProbe -E -S "forensics_admin_name" "password"
• Per verificare l'avanzamento del processo di preparazione, è possibile eseguire:
  • WSProbe -E

1. Il computer è pronto per l'aggiornamento quando viene visualizzato il messaggio: Preparation complete. Please run Windows Upgrade now.
2. Riavviare il computer, se richiesto.
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer.
5. Una volta completato l'aggiornamento, aprire un prompt dei comandi e inserire:
   • WSProbe -R
6. Riavviare il computer, se richiesto.

Se il messaggio Preparation complete. Please run Windows Upgrade now non viene visualizzato, procedere come segue:

1. Seguire le istruzioni riportate.
2. Eseguire WSProbe di nuovo e fino a quando non viene visualizzato il prompt di esecuzione dell'aggiornamento di Windows:
   • WSProbe -E
3. Eseguire l'aggiornamento di Windows.
4. Riavviare il computer, se richiesto.
5. Una volta completato l'aggiornamento, aprire un prompt dei comandi e inserire:
   • WSProbe -R

Con questo metodo potrebbero verificarsi problemi con file che non vengono decrittografati. Per evitare che ciò succeda, creare automaticamente una chiave del Registro di sistema:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0