Pratiques d’excellence relatives à Dell Encryption Enterprise et Dell Encryption Personal : Mise à jour ou migration des fonctionnalités Windows 10

La mise à niveau vers Windows 10 doit être exécutée à partir d’un répertoire non chiffré. Parce que USER ou COMMON Le chiffrement n’est PAS déverrouillé au cours du processus de mise à niveau vers Windows 10, lorsque la mise à niveau est exécutée à partir d’un USER ou COMMON , la mise à niveau échoue même si la mise à niveau vers Windows 10 Dell Encryption est effectuée correctement.

Dell vous suggère donc d’ajouter les exclusions suivantes aux stratégies de chiffrement Dell Encryption pour les mises à jour de fonctionnalités Windows. Elles doivent être ajoutées à la fois dans les exclusions du disque fixe (pour les clés de chiffrement SDE) et dans les exclusions de chiffrement générales (Commun/Utilisateur) :

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Conditions requises pour la mise à jour des fonctionnalités transmise via SCCM et d’autres applications de gestion tierces :

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Aucune modification n’est nécessaire lors de l’exécution de la mise à jour des fonctionnalités Windows avec Dell Encryption version 8.18.0 ou version supérieure. Les mises à jour de fonctionnalités via Windows Update ne demandent plus de supprimer Dell Encryption.

Microsoft vous offre la possibilité de télécharger les mises à jour des fonctionnalités Windows sous forme de fichiers ISO pour des mises à niveau et des déploiements. Vous pouvez obtenir ce support ici : https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Aucune modification n’est nécessaire lors de l’exécution de la mise à jour des fonctionnalités Windows avec Dell Encryption version 8.18.0 ou version supérieure. Les mises à jour de fonctionnalités via le support autonome ne demandent plus de supprimer Dell Encryption.

Microsoft vous offre la possibilité de télécharger les mises à jour des fonctionnalités Windows sous forme de fichiers ISO pour des mises à niveau et des déploiements. Vous pouvez obtenir ce support ici : https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Pour préparer une mise à jour des fonctionnalités Windows en vue du déploiement, la plupart des environnements doivent utiliser un install.wim . En raison de la manière dont Dell Encryption prend en charge le chemin de mise à jour des fonctionnalités Windows, nous devons injecter les pilotes et les fichiers de registre nécessaires dans le support.

Pour ce faire, le Kit de développement d’application (ADK) Windows 10 est requis. Vous pouvez trouver la dernière version ici : https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Vous avez également besoin d’un fichier de commandes et de clés de registre appropriées qui ne peuvent pas être accessibles en téléchargement externe pour le client. Vous pouvez obtenir ces informations du support en appelant la ligne d’assistance au numéro suivant : 877.459.7304, poste 4310039, pour obtenir de l’aide en dehors des États-Unis, consultez la liste des numéros de contact internationaux de ProSupport. Ce fichier de commandes utilise un fichier ISO de mise à jour des fonctionnalités Windows développé (téléchargé ci-dessus) et injecte les pilotes et les fichiers de registre dans le fichier install.wim et WinRE.wim dans l’ISO de mise à niveau.

Nous devons extraire les pilotes d’un appareil exécutant la version de Dell Encryption installée sur vos points de terminaison afin de trouver les pilotes appropriés pour votre support de mise à niveau et le débit binaire approprié du système d’exploitation (32 bits ou 64 bits). Dans les versions 8.10.1 à 8.17.2, les pilotes pour Dell Encryption se trouvent dans "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. » Dans les versions 8.18.0 et supérieures, cet emplacement a été déplacé vers : »C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers»

Nous devons extraire les pilotes d’un appareil exécutant la version de Dell Encryption installée sur vos points de terminaison afin de trouver les pilotes appropriés pour votre support de mise à niveau et le débit binaire approprié du système d’exploitation (32 bits ou 64 bits). Ils se trouvent dans C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

À partir de la version 8.18, Dell Encryption vérifie automatiquement la version du système d’exploitation en cours d’installation, par rapport à une liste interne de versions de systèmes d’exploitation pris en charge. Si aucune correspondance n’est trouvée, la mise à jour de la fonctionnalité est bloquée et une notification est présentée à l’utilisateur connecté :

Ces blocs peuvent être remplacés afin d’effectuer des tests avec un système d’exploitation non pris en charge. Une clé de registre active cette capacité :

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

Cet exemple permet à n’importe quelle version de Windows 10 de s’installer, jusqu’à la version 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Cette fonctionnalité s’appuie sur les versions de Windows 10 pour permettre la granularité future de la prise en charge de la mise à jour cumulative et de la mise à jour des fonctionnalités. Le numéro de la build de la mise à jour des fonctionnalités en cours d’installation s’affiche dans Windows Update :

Dans cet exemple, la valeur de « SupportedWindows10Upgrade » doit être « 10.0.17686.1003 » ou une version supérieure.

La mise à niveau vers Windows 10 doit être exécutée à partir d’un répertoire non chiffré. Parce que USER ou COMMON le chiffrement n’est pas déverrouillé pendant le processus de mise à niveau vers Windows 10, lorsque la mise à niveau est exécutée à partir d’un USER ou COMMON , la mise à niveau échoue même si la mise à niveau vers Windows 10 Dell Encryption est effectuée correctement.

Dell vous suggère donc d’ajouter les exclusions suivantes aux stratégies de chiffrement Dell Encryption pour les mises à jour de fonctionnalités Windows. Elles doivent être ajoutées à la fois dans les exclusions du disque fixe (pour les clés de chiffrement SDE) et dans les exclusions de chiffrement générales (Commun/Utilisateur) :

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Conditions requises pour la mise à jour des fonctionnalités transmise via SCCM et d’autres applications de gestion tierces :

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Les étapes d’extraction des mises à jour de fonctionnalités via Windows Update sont décrites ci-dessous.

Vous pouvez rencontrer une erreur indiquant que Dell Encryption doit être désinstallé avant de passer à l’étape suivante.

Fermez cet écran, exécutez WSProbe -z (en tant qu’administrateur à partir de l’invite de commande), puis relancez la mise à jour.

La mise à jour affiche une boîte de dialogue indiquant que plusieurs éléments de préparation sont exécutés en arrière-plan.

L’état des mises à jour peut être vérifié dans le nouveau menu Paramètres de Windows 10.

Pour accéder aux éléments de mise à jour à l’aide du menu des paramètres :

1. Cliquez sur le bouton Démarrer, puis sur Paramètres.
   
2. Dans Paramètres, cliquez sur Mise à jour et sécurité.
   
3. Lorsque vous êtes prêt, la section Mise à jour et sécurité indique qu’un redémarrage a été planifié. Le redémarrage commence le processus de mise à jour.
   
   
4. La mise à niveau se termine, lors de la connexion, Windows indique que l’ordinateur personnel a été mis à jour et que toutes vos données se trouvent au même endroit.

Vous pouvez vérifier que la nouvelle version de Windows a été correctement installée en vérifiant la version de Windows à l’aide de la commande "winver», s’exécutent à partir d’une invite de commande ou dans PowerShell.

Remarque : Certains appareils exécutant Dell Data Protection | Les versions 8.10.1 ou 8.11.0 de Encryption doivent mettre à jour leur fichier SetupConfig.ini dans C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Il manque un en-tête de fichier actif [SetupConfig]. Nous montrons :

Ajouter l’en-tête pour le faire :

Ce fichier s’applique à toutes les mises à jour locales et automatise le passage au fichier reflectdrivers à la mise à jour de la fonctionnalité Windows via Windows Update. Les modifications ont été effectuées dans le produit et n’ont plus besoin d’être modifiées manuellement à partir de 8.12.0.

Microsoft vous offre la possibilité de télécharger les mises à jour des fonctionnalités Windows sous forme de fichiers ISO pour des mises à niveau et des déploiements. Pour obtenir le téléchargement, cliquez ici : https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Avant d’insérer le support, exécutez WSProbe -z En tant qu’administrateur à partir de l’invite de commande. Ceci permet de préparer les données chiffrées pour le processus de mise à niveau (aucun déchiffrement ne se fait).

Lorsque ce support est inséré dans un ordinateur exécutant des versions antérieures de Microsoft Windows, une invite de mise à niveau est affichée.

Fermez cette invite, car la mise à niveau doit être exécutée avec une commande spécifique.

Ouvrez une invite de commande d’administration (ou tirez parti de l’invite de commande ouverte pour le WSProbe -z fonctionnalité).

Accédez à la lettre du lecteur contenant le support de mise à jour des fonctionnalités Windows. Dans cet exemple, D: correspond au lecteur contenant le support de mise à jour des fonctionnalités Windows.

Exécutez setup.exe avec cette commande pour injecter les pilotes Dell Encryption :

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Cette commande lance le processus de mise à jour des fonctionnalités Windows. Utilisez les invites de commandes, aucune autre étape n’est nécessaire.

Microsoft vous offre la possibilité de télécharger les mises à jour des fonctionnalités Windows sous forme de fichiers ISO pour des mises à niveau et des déploiements. Pour obtenir le téléchargement, cliquez ici : https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Pour préparer une mise à jour des fonctionnalités Windows en vue du déploiement, la plupart des environnements doivent utiliser un install.wim . En raison de la manière dont Dell Encryption prend en charge le chemin de mise à jour des fonctionnalités Windows, nous devons injecter les pilotes et les fichiers de registre nécessaires dans le support.

Pour ce faire, le Kit de développement d’application (ADK) Windows 10 est requis. Vous pouvez trouver la dernière version ici : https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Vous avez besoin d’un fichier de commandes et des clés de registre appropriées, qui ne peuvent pas être liées en externe pour le téléchargement client. Vous pouvez obtenir ces informations du support en appelant la ligne d’assistance au numéro suivant : 877.459.7304, poste 4310039, pour obtenir de l’aide en dehors des États-Unis, consultez la liste des numéros de contact internationaux de ProSupport. Ce fichier de commandes utilise un fichier ISO de mise à jour des fonctionnalités Windows développé (téléchargé ci-dessus) et injecte les pilotes et les fichiers de registre dans le fichier install.wim et WinRE.wim dans l’ISO de mise à niveau.

Pour trouver les pilotes appropriés pour votre support de mise à niveau, nous devons extraire les pilotes d’un appareil 8.10.1 ou ultérieur pour le débit binaire approprié du système d’exploitation (32 bits ou 64 bits). Ils se trouvent dans C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. Dans les versions 8.18.0 et supérieures, ce dossier a été remplacé par «C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers. »

• Script séquentiel (fourni par Dell Support)
• Extraits ISO de l’installateur des mises à jour de fonctionnalités Windows (fournis par Microsoft)
• Clés de registre (fournies avec le script par Dell Support)
• Pilotes Dell Encryption (extraits d’un appareil sur votre réseau ou fournis par le support technique Dell)

Pour générer des supports :

1. Ouvrez l’environnement de déploiement et les outils d’imagerie en tant qu’administrateur.
   
2. Exécutez le script de traitement par lots. La saisie du fichier de commandes fournit des informations sur la syntaxe.
   

Leur syntaxe est la suivante :

Utilisation : Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Où :

Win10UpgradeDir -- Chemin d’accès aux fichiers ISO de Windows 10 qui sont extraits dans un répertoire.
DDPEDriversDir -- Chemin facultatif vers le DDP|E répertoire des pilotes (Dell Data Protection | Les pilotes de chiffrement sont obtenus à partir de l’installation locale si ce paramètre n’est pas fourni).

Une fois le processus terminé, vous vous retrouvez avec un install.wim dans le répertoire ISO extrait que vous avez fourni à l’outil.

Les fichiers d’installation sont maintenant prêts à être utilisés.

• En tant qu’administrateur, ouvrez une invite de commande au même emplacement que le WSProbe.exe et saisissez la commande applicable :
  • Mode de mise à niveau de Windows 10 pour s’authentifier auprès d’un fichier de bundle de clés pour Dell Encryption Personal (anciennement Dell Data Protection | Personal Edition), vous devez d’abord utiliser la commande ci-dessous, qui fait partie de la préparation de la mise à niveau LSARecovery fichier sauvegardé pendant le processus de provisionnement de Dell Encryption Personal :
    • WSProbe -E -B "backup_file_path" "password"

Pour vérifier le déroulement du processus de préparation, vous pouvez exécuter : WSProbe –E

1. L’ordinateur est prêt pour la mise à niveau lorsque le message suivant affiche « Préparation terminée. Exécutez la mise à niveau de Windows maintenant. »
2. Redémarrez l’ordinateur si vous y êtes invité.
3. Exécutez la mise à niveau de Windows.
4. Redémarrez l'ordinateur.
5. Une fois la mise à niveau terminée, ouvrez une invite de commande et saisissez :
   • WSProbe -R
     Remarque : La commande WSProbe -R reprend la fonctionnalité normale du client Encryption et est exécutée après la mise à niveau réussie de l’ordinateur. Elle peut également être utilisée pour revenir en arrière vers la fonctionnalité normale de client Encryption avant d’effectuer une mise à niveau.
6. Redémarrez l’ordinateur si vous y êtes invité.

Pour vérifier le déroulement du processus de préparation, vous pouvez exécuter : WSProbe –E

1. Si le message suivant ne s’affiche pas : Préparation terminée. Exécutez la mise à niveau Windows maintenant.
   1. Suivez les instructions qui figurent dans la liste.
   2. Exécuter WSProbe et jusqu’à ce que l’invite d’exécution de la mise à niveau Windows s’affiche :
      • WSProbe -E
   3. Exécutez la mise à niveau de Windows.
   4. Redémarrez l’ordinateur si vous y êtes invité.
   5. Une fois la mise à niveau terminée, ouvrez une invite de commande et saisissez :
      • WSProbe -R

Cette méthode peut rencontrer des problèmes avec des fichiers qui ne se déchiffrent pas. Afin d’éviter cela, il nous faut créer automatiquement une clé de registre :

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Pour vérifier le déroulement du processus de préparation, vous pouvez exécuter : WSProbe –E

Pour vérifier le déroulement du processus de préparation, exécutez WSProbe –E

En tant qu’administrateur, ouvrez une invite de commande au même emplacement que le WSProbe.exe et saisissez la commande applicable :

• Cela permet au mode de mise à niveau de Windows 10 d’importer et de s’authentifier auprès d’un fichier de bundle de clés préexistant (qui peut être téléchargé à partir de Dell Security Management Server [anciennement Dell Data Protection | Enterprise Edition]) :
  • WSProbe -E -I "import_file_path" "password"
• Ce dernier contacte Dell Security Management Server ou Dell Security Management Virtual Server (anciennement Dell Data Protection | Virtual Edition), qui transfère le bundle de clés, qui est utilisé pour valider que le matériel de clé approprié est présent :
  • WSProbe -E -S "forensics_admin_name" "password"
• Pour vérifier le déroulement du processus de préparation, vous pouvez exécuter :
  • WSProbe -E

1. L’ordinateur est prêt pour la mise à niveau lorsque le message suivant s’affiche : Préparation terminée. Exécutez la mise à niveau Windows maintenant.
2. Redémarrez l’ordinateur si vous y êtes invité.
3. Exécutez la mise à niveau de Windows.
4. Redémarrez l'ordinateur.
5. Une fois la mise à niveau terminée, ouvrez une invite de commande et saisissez :
   • WSProbe -R
6. Redémarrez l’ordinateur si vous y êtes invité.

Si la préparation est terminée. Veuillez exécuter le message Mettre à niveau maintenant Windows ne s’affiche pas, procédez comme suit :

1. Suivez les instructions qui figurent dans la liste.
2. Exécuter WSProbe et jusqu’à ce que l’invite d’exécution de la mise à niveau Windows s’affiche :
   • WSProbe -E
3. Exécutez la mise à niveau de Windows.
4. Redémarrez l’ordinateur si vous y êtes invité.
5. Une fois la mise à niveau terminée, ouvrez une invite de commande et saisissez :
   • WSProbe -R

Cette méthode peut rencontrer des problèmes avec des fichiers qui ne se déchiffrent pas. Afin d’éviter cela, il nous faut créer automatiquement une clé de registre :

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0