Práticas recomendadas do Dell Encryption Enterprise/Dell Encryption Personal: Atualização/migração de recursos do Windows 10

A Atualização do Windows 10 deve ser executada de um diretório descriptografado. Porque USER ou COMMON a criptografia NÃO é desbloqueada durante o processo de atualização do Windows 10, quando o upgrade é executado a partir de um USER ou COMMON diretório criptografado, o upgrade falhará mesmo que o upgrade do Dell Encryption para o Windows 10 seja executado corretamente.

A Dell sugere que as exclusões abaixo sejam adicionadas às políticas do Dell Encryption para Atualizações de recursos do Windows com base nesse requisito. Elas deverão ser adicionadas a exclusões de disco fixo (para chaves de SDE) e a exclusões gerais de criptografia (Comum/Usuário):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Obrigatório para Atualizações de recursos usadas por meio do SCCM e outros aplicativos de gerenciamento de terceiros:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Nenhuma modificação é necessária na execução de Atualizações de recursos do Windows durante a execução do Dell Encryption versão 8.18.0 ou posterior. Todas as Atualizações de recursos por meio do Windows Update não solicitarão mais a remoção do Dell Encryption.

A Microsoft oferece a capacidade para download das Atualizações de recursos do Windows como arquivos ISO para upgrades e implementações. A mídia pode ser obtida em: https://support.microsoft.com/pt-br/topic/histórico-de-atualização-do-windows-10-83aa43c0-82e0-92d8-1580-10642c9ed612

Nenhuma modificação é necessária na execução de Atualizações de recursos do Windows durante a execução do Dell Encryption versão 8.18.0 ou posterior. Todas as Atualizações de recursos por meio de uma mídia autônoma não solicitarão mais a remoção do Dell Encryption.

A Microsoft oferece a capacidade para download das Atualizações de recursos do Windows como arquivos ISO para upgrades e implementações. A mídia pode ser obtida em: https://support.microsoft.com/pt-br/topic/histórico-de-atualização-do-windows-10-83aa43c0-82e0-92d8-1580-10642c9ed612

Para preparar uma Atualização de recursos do Windows para implementação, a maioria dos ambientes terá que usar um arquivo install.wim . Devido à forma como o Dell Encryption oferece suporte ao caminho de Atualização de recursos do Windows, nós precisamos inserir os drivers e os arquivos de registro necessários na mídia de instalação.

Para isso, é necessário o Kit de desenvolvimento de aplicativos (ADK) do Windows 10. É possível encontrar a versão mais recente dele em: https://docs.microsoft.com/pt-br/windows-hardware/get-started/adk-install

Você também precisará de um arquivo em lotes e das chaves de registro adequadas, que não podem ser vinculadas externamente para download pelo cliente. Obtenha o arquivo e as chaves ligando para a linha de suporte, no telefone: 877.459.7304, ramal 4310039, para obter suporte fora dos EUA, consulte a lista de Números de contatos internacionais do ProSupport. Esse arquivo em lotes utiliza um ISO expandido de Atualização de recursos do Windows (obtido por download na etapa acima) e insere drivers e arquivos de registro nos install.wim e WinRE.wim arquivos do ISO de upgrade.

Precisamos extrair os drivers de um dispositivo que esteja executando a versão do Dell Encryption instalada em seus endpoints para encontrar os drivers apropriados para sua mídia de upgrade e a taxa de bits apropriada do sistema operacional (32 bits ou 64 bits). Nas versões 8.10.1 a 8.17.2, os drivers do Dell Encryption são encontrados em "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\." Nas versões 8.18.0 e posteriores, essa localização foi movida para: "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers"

Precisamos extrair os drivers de um dispositivo que esteja executando a versão do Dell Encryption instalada em seus endpoints para encontrar os drivers apropriados para sua mídia de upgrade e a taxa de bits apropriada do sistema operacional (32 bits ou 64 bits). Eles são encontrados em C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

A partir da versão 8.18, o Dell Encryption verifica automaticamente a versão do sistema operacional que está sendo instalada em relação a uma lista interna de versões compatíveis de sistema operacional. Se não houver uma correspondência, a Atualização de recursos será bloqueada e uma notificação será exibida ao usuário conectado:

Esses bloqueios podem ser substituídos para permitir testes com um sistema operacional incompatível. Uma chave de registro permite isso:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

Esse exemplo permitiria a instalação de qualquer compilação do Windows 10 até a versão 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Esse recurso utiliza versões de compilação do Windows 10 para permitir a futura granularidade do suporte para Atualização cumulativa e de recursos. O número de compilação da Atualização de recursos instalada é exibido no Windows Update:

Nesse exemplo, o valor de "SupportedWindows10Upgrade" deve ser "10.0.17686.1003" ou maior.

A Atualização do Windows 10 deve ser executada de um diretório descriptografado. Porque USER ou COMMON a criptografia não é desbloqueada durante o processo de atualização do Windows 10, quando o upgrade é executado a partir de um USER ou COMMON diretório criptografado, o upgrade falhará mesmo que o upgrade do Dell Encryption para o Windows 10 seja executado corretamente.

A Dell sugere que as exclusões abaixo sejam adicionadas às políticas do Dell Encryption para Atualizações de recursos do Windows com base nesse requisito. Elas deverão ser adicionadas a exclusões de disco fixo (para chaves de SDE) e a exclusões gerais de criptografia (Comum/Usuário):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Obrigatório para Atualizações de recursos usadas por meio do SCCM e outros aplicativos de gerenciamento de terceiros:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

As etapas para obter atualizações de recursos por meio do Windows Update são exibidas abaixo.

Talvez você encontre uma falha indicando que é necessária a desinstalação do Dell Encryption antes de continuar.

Feche esta tela, execute WSProbe -z (como administrador no prompt de comando) e tente fazer a atualização novamente.

A atualização avisará que mais itens de preparação serão executados em segundo plano.

O status das atualizações pode ser verificado no novo menu Configurações do Windows 10.

Para acessar os itens de atualização usando o menu de configurações:

1. Clique no botão Iniciar e, em seguida, em Configurações.
   
2. Em Configurações, clique em Atualização e Segurança.
   
3. Quando estiver pronta, a seção de Atualização e segurança mostrará que foi programada uma reinicialização. A reinicialização iniciará o processo de atualização.
   
   
4. O upgrade será concluído e, durante o log-in, o Windows indicará que o computador foi atualizado e todos os seus dados estarão na mesma localização.

Você pode confirmar se a nova versão do Windows foi instalada corretamente verificando a versão do Windows por meio do comando "winver", execute em um prompt de comando ou no PowerShell.

Nota: Alguns dispositivos que executam o Dell Data Protection | Encryption versão 8.10.1 ou 8.11.0 devem atualizar o arquivo SetupConfig.ini em C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. O arquivo atual não apresenta um cabeçalho de [SetupConfig]. Nós mostramos:

Adicione o cabeçalho para torná-lo:

Este arquivo se aplica a todas as atualizações locais e automatiza a passagem para o reflectdrivers comando para a atualização de recurso do Windows que acontece por meio do Windows Update. Foram feitas alterações no produto, não sendo mais necessário fazer as alterações manualmente a partir da versão 8.12.0.

A Microsoft oferece a capacidade para download das Atualizações de recursos do Windows como arquivos ISO para upgrades e implementações. Faça o download em: https://support.microsoft.com/pt-br/topic/histórico-de-atualização-do-windows-10-83aa43c0-82e0-92d8-1580-10642c9ed612

Antes de inserir a mídia, execute WSProbe -z como administrador do prompt de comando. Isso prepara os dados criptografados para o processo de atualização (nenhuma descriptografia é feita).

Quando essa mídia é inserida em um computador que executa versões anteriores do Microsoft Windows, um prompt de upgrade é exibido.

Feche esse prompt, pois o upgrade deve ser executado com um comando específico.

Abra um prompt de comando administrativo (ou utilize o que já está aberto para a WSProbe -z funcionalidade).

Navegue até a letra da unidade que contém a mídia de Atualização de recursos do Windows. Neste exemplo, D: é a unidade que contém a mídia de Atualização de recursos do Windows.

Execute o arquivo setup.exe com esse comando para incorporar os drivers do Dell Encryption:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Esse comando inicia o processo de Atualização de recursos do Windows. Avance pelos prompts. Não será necessário seguir outras etapas.

A Microsoft oferece a capacidade para download das Atualizações de recursos do Windows como arquivos ISO para upgrades e implementações. Faça o download em: https://support.microsoft.com/pt-br/topic/histórico-de-atualização-do-windows-10-83aa43c0-82e0-92d8-1580-10642c9ed612

Para preparar uma Atualização de recursos do Windows para implementação, a maioria dos ambientes terá que usar um arquivo install.wim . Devido à forma como o Dell Encryption oferece suporte ao caminho de Atualização de recursos do Windows, nós precisamos inserir os drivers e os arquivos de registro necessários na mídia de instalação.

Para isso, é necessário o Kit de desenvolvimento de aplicativos (ADK) do Windows 10. É possível encontrar a versão mais recente dele em: https://docs.microsoft.com/pt-br/windows-hardware/get-started/adk-install

Você precisará de um arquivo em lotes e das chaves de registro adequadas, que não podem ser vinculadas externamente para download pelo cliente. Obtenha o arquivo e as chaves ligando para a linha de suporte, no telefone: 877.459.7304, ramal 4310039, para obter suporte fora dos EUA, consulte a lista de Números de contatos internacionais do ProSupport. Esse arquivo em lotes utiliza um ISO expandido de Atualização de recursos do Windows (obtido por download na etapa acima) e insere drivers e arquivos de registro nos install.wim e WinRE.wim arquivos do ISO de upgrade.

Para localizar os drivers adequados para a mídia de upgrade, nós devemos obter os drivers de um dispositivo de versão 8.10.1 ou posterior para a taxa de bits adequada de sistema operacional (32 bits ou 64 bits). Eles são encontrados em C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. Nas versões 8.18.0 e posteriores, essa pasta foi alterada para "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers."

• Script de lote (fornecido pelo suporte Dell)
• ISO extraído do instalador da Atualização de recursos do Windows (fornecido pela Microsoft)
• Chaves de registro (fornecidas pelo suporte Dell com script)
• Drivers Dell Encryption (obtidos de um dispositivo da rede, ou fornecidos pelo Suporte Dell)

Para gerar a mídia:

1. Abra o Ambiente de ferramentas de implementação e imagem como administrador.
   
2. Execute o script de lote. Inserir o arquivo em lotes apresentará informações sobre a sintaxe.
   

A sintaxe é:

Uso: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Onde:

Win10UpgradeDir caminho para os arquivos ISO do Windows 10 extraídos para um diretório.
DDPEDriversDir -- Caminho opcional para o diretório dos drivers do DDP|E.(Se esse parâmetro não for informado, os drivers do Dell Data Protection | Encryption serão obtidos a partir da instalação local).

Depois que o processo for concluído, você terá um arquivo atualizado install.wim dentro do diretório ISO extraído que você forneceu à ferramenta.

Os arquivos de instalação agora estão prontos para uso.

• Como administrador, abra um prompt de comando no mesmo local que o WSProbe.exe arquivo e digite o comando aplicável:
  • Para que o modo de atualização do Windows 10 faça a autenticação com um arquivo de pacote de chaves para o Dell Encryption Personal (antigo Dell Data Protection | Personal Edition), primeiramente, você deve usar o comando abaixo, que faz parte da preparação para o upgrade (o LSARecovery arquivo que é submetido a backup durante o processo de provisionamento do Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Para verificar o andamento do processo de preparação, você pode executar. WSProbe –E

1. O computador estará pronto para upgrade quando a seguinte mensagem for exibida: "Preparação concluída. Execute a atualização do Windows agora".
2. Reinicie o computador, se solicitado.
3. Execute a atualização do Windows.
4. Reinicie o computador.
5. Depois que o upgrade estiver concluído, abra um prompt de comando e digite:
   • WSProbe -R
     Nota: O comando WSProbe -R retoma a funcionalidade normal do client do Encryption e é executado depois do upgrade com sucesso do computador. Isso também pode ser usado para retomar a funcionalidade normal do cliente de criptografia antes da execução de uma atualização.
6. Reinicie o computador, se solicitado.

Para verificar o andamento do processo de preparação, você pode executar. WSProbe –E

1. Se a seguinte mensagem não for exibida: "Preparação concluída. Execute a Atualização do Windows agora.
   1. Siga os avisos que forem apresentados.
   2. Execute WSProbe novamente e até que o prompt de atualização do Windows seja exibido:
      • WSProbe -E
   3. Execute a atualização do Windows.
   4. Reinicie o computador, se solicitado.
   5. Depois que o upgrade estiver concluído, abra um prompt de comando e digite:
      • WSProbe -R

Esse método pode apresentar problemas de falta de descriptografia de arquivos. Para evitar isso, devemos criar automaticamente uma chave de registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Para verificar o andamento do processo de preparação, você pode executar: WSProbe –E

Para verificar o andamento do processo de preparação, execute WSProbe –E

Como administrador, abra um prompt de comando no mesmo local que o WSProbe.exe arquivo e digite o comando aplicável:

• Isso permite que o modo de Atualização do Windows 10 importe e autentique usando um arquivo de pacote de chaves pré-existente (é possível fazer o download desse arquivo a partir do Dell Security Management Server [antigo, Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Isso permite o contato com o Dell Security Management Server ou Dell Security Management Virtual Server (formalmente, Dell Data Protection | Virtual Edition), que transfere o pacote de chaves, que é usado para validar se o material de chaves adequado está presente:
  • WSProbe -E -S "forensics_admin_name" "password"
• Para verificar o andamento do processo de preparação, você pode executar:
  • WSProbe -E

1. O computador estará pronto para o upgrade quando a seguinte mensagem for exibida: "Preparação concluída. Execute a Atualização do Windows agora.
2. Reinicie o computador, se solicitado.
3. Execute a atualização do Windows.
4. Reinicie o computador.
5. Depois que o upgrade estiver concluído, abra um prompt de comando e digite:
   • WSProbe -R
6. Reinicie o computador, se solicitado.

Se a mensagem Preparação concluída. Executar Atualização do Windows agora. não for exibida, siga estas etapas:

1. Siga os avisos que forem apresentados.
2. Execute WSProbe novamente e até que o prompt de atualização do Windows seja exibido:
   • WSProbe -E
3. Execute a atualização do Windows.
4. Reinicie o computador, se solicitado.
5. Depois que o upgrade estiver concluído, abra um prompt de comando e digite:
   • WSProbe -R

Esse método pode apresentar problemas de falta de descriptografia de arquivos. Para evitar isso, devemos criar automaticamente uma chave de registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0