Передовые подходы Dell Encryption Enterprise и Dell Encryption Personal: обновление или перенос компонентов Windows 10

Обновление версии Windows 10 должно выполняться из незашифрованного каталога. Поскольку USER или COMMON шифрование НЕ разблокируется во время модернизации Windows 10, когда модернизация выполняется с USER или COMMON зашифрованного каталога, возникнет сбой модернизации, даже если модернизация Dell Encryption Windows 10 выполнена правильно.

С учетом этого требования компания Dell рекомендует добавить следующие исключения в политики Dell Encryption для обновлений компонентов Windows. Эти исключения следует добавить и в фиксированные исключения диска (для ключей SDE), и в общие исключения шифрования (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Требуются для обновлений компонентов, отправляемых через SCCM и другие сторонние приложения управления:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Не требуется никаких изменений при выполнении обновления компонентов Windows, если используется версия Dell Encryption 8.18.0 или более поздняя версия. Все обновления компонентов через Центр обновления Windows больше не будут запрашивать удаление Dell Encryption.

Microsoft предлагает возможность скачивания обновлений компонентов Windows в виде ISO-файлов для модернизаций и развертываний. Вы можете скачать эти материалы здесь: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Не требуется никаких изменений при выполнении обновления компонентов Windows, если используется версия Dell Encryption 8.18.0 или более поздняя версия. Все обновления компонентов с помощью автономного носителя больше не будут запрашивать удаление Dell Encryption.

Microsoft предлагает возможность скачивания обновлений компонентов Windows в виде ISO-файлов для модернизаций и развертываний. Вы можете скачать эти материалы здесь: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Чтобы подготовить обновления компонентов Windows для развертывания, в большинстве сред необходимо использовать файл install.wim . Характер поддержки в Dell Encryption обновления компонентов Windows требует включить драйверы и необходимые файлы реестра на установочный носитель.

Для этого требуется Windows 10 Application Development Kit (ADK). Актуальную версию можно найти здесь: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Кроме того, потребуется пакетный файл и соответствующие разделы реестра, которые невозможно связать извне со скачиванием заказчика. Вы можете получить их в службе поддержки, позвонив в службу поддержки по телефону: 877-459-7304, доб. 4310039. Для обращения в службу поддержки за пределами США см. список Международные контактные номера ProSupport. Этот командный файл содержит расширенный ISO-образ обновления компонентов Windows (скачанный выше) с добавлением в ISO-образ модернизации драйверов и файлов реестра в файлы install.wim и WinRE.wim .

Необходимо получить драйверы с устройства, на котором работает версия Dell Encryption, установленная на конечных точках, чтобы найти подходящие драйверы для носителя модернизации и определить соответствующую разрядность операционной системы (32- или 64-разрядная). В версиях 8.10.1–8.17.2 драйверы для Dell Encryption можно найти в папке «C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\». В 8.18.0 и более поздних версиях папка перемещена в следующий раздел: »C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers»

Необходимо получить драйверы с устройства, на котором работает версия Dell Encryption, установленная на конечных точках, чтобы найти подходящие драйверы для носителя модернизации и определить соответствующую разрядность операционной системы (32- или 64-разрядная). Они находятся в папке C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

Dell Encryption версии 8.18 или более поздней автоматически проверяет версию устанавливаемой операционной системы по внутреннему списку поддерживаемых версий операционных систем. Если совпадающая версия не найдена, обновление компонентов блокируется, и вошедший в систему пользователь получает уведомление:

Эти блокировки можно отменить, чтобы выполнить тестирование с неподдерживаемой операционной системой. Эту возможность обеспечивает раздел реестра:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

Этот пример позволит установить любую сборку Windows 10 до 10.0.17300.1

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Эта возможность основана на версиях сборки Windows 10 и обеспечивает дальнейшую детализацию при поддержке накопительного обновления и обновления компонентов. Номер сборки установленного обновления компонентов отображается в Центре обновления Windows:

В данном примере параметр «SupportedWindows10Upgrade» должен иметь значение «10.0.17686.1003» или выше.

Обновление версии Windows 10 должно выполняться из незашифрованного каталога. Поскольку USER или COMMON шифрование не разблокируется во время модернизации Windows 10, когда модернизация выполняется с USER или COMMON зашифрованного каталога, возникнет сбой модернизации, даже если модернизация Dell Encryption Windows 10 выполнена правильно.

С учетом этого требования компания Dell рекомендует добавить следующие исключения в политики Dell Encryption для обновлений компонентов Windows. Эти исключения следует добавить и в фиксированные исключения диска (для ключей SDE), и в общие исключения шифрования (Common/User):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Требуются для обновлений компонентов, отправляемых через SCCM и другие сторонние приложения управления:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Инструкции по скачиванию обновлений компонентов через Центр обновления Windows приведены ниже.

Может появиться сообщение об ошибке, указывающее, что для продолжения требуется удалить Dell Encryption.

Закройте этот экран, выполните команду WSProbe -z (как администратор в окне командной строки) и повторите попытку обновления.

В обновлении появится сообщение о том, что дополнительные компоненты подготовки выполняются в фоновом режиме.

Статус обновлений можно проверить в новом меню «Настройка» для Windows 10.

Чтобы получить доступ к элементам обновлений через меню «Настройка», выполните следующее.

1. Нажмите кнопку «Пуск», затем нажмите Настройка.
   
2. На панели «Настройка» нажмите Обновления и безопасность.
   
3. По готовности в разделе «Обновления и безопасность» будет указано, что запланирована перезагрузка. Перезагрузка запускает процесс обновления.
   
   
4. Модернизация завершена, во время входа Windows указывает на то, что персональный компьютер обновлен, а все ваши данные находятся в том же расположении.

Можно проверить, что новая версия Windows правильно установлена, проверив версию Windows с помощью команды «winver». Эту команду можно выполнить в командной строке или PowerShell.

Примечание.: Некоторые устройства, на которых запущено ПО Dell Data Protection | Encryption версии 8.10.1 или 8.11.0, должны обновить файл «SetupConfig.ini» в папке C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. В текущем файле отсутствует заголовок [SetupConfig]. Мы видим:

Добавьте заголовок, чтобы отображалось:

Этот файл применяется для всех локальных обновлений и автоматизирует передачу команды reflectdrivers для обновления компонентов Windows, которое выполняется через Центр обновления Windows. В продукт были внесены изменения, и, начиная с версии 8.12.0, больше не требуется вносить изменения вручную.

Microsoft предлагает возможность скачивания обновлений компонентов Windows в виде ISO-файлов для модернизаций и развертываний. Скачать: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Перед тем как вставить носитель, выполните команду WSProbe -z от имени администратора в командной строке. Это подготовит зашифрованные данные для процесса обновления (дешифрование не выполняется).

Когда этот носитель вставлен на компьютере, работающем под управлением более ранних версий Microsoft Windows, отображается окно с предложением модернизации.

Закройте это окно, так как модернизация должна выполняться с помощью определенной команды.

Откройте окно административной командной строки (или воспользуйтесь окном, открытым для команды WSProbe -z ).

Перейдите в корневую папку, указав букву диска, где содержится носитель для обновления компонентов Windows. В данном примере буква «D:» представляет диск, где содержится носитель для обновления компонентов Windows.

Чтобы интегрировать драйверы Dell Encryption, выполните следующую команду setup.exe:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Эта команда запускает процесс обновления компонентов Windows. Следуйте запросам, никаких других действий не требуется.

Microsoft предлагает возможность скачивания обновлений компонентов Windows в виде ISO-файлов для модернизаций и развертываний. Скачать: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Чтобы подготовить обновления компонентов Windows для развертывания, в большинстве сред необходимо использовать файл install.wim . Характер поддержки в Dell Encryption обновления компонентов Windows требует включить драйверы и необходимые файлы реестра на установочный носитель.

Для этого требуется Windows 10 Application Development Kit (ADK). Актуальную версию можно найти здесь: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Вам потребуется командный файл и соответствующие разделы реестра, которые невозможно связать извне со скачиванием заказчика. Вы можете получить их в службе поддержки, позвонив в службу поддержки по телефону: 877-459-7304, доб. 4310039. Для обращения в службу поддержки за пределами США см. список Международные контактные номера ProSupport. Этот командный файл содержит расширенный ISO-образ обновления компонентов Windows (скачанный выше) с добавлением в ISO-образ модернизации драйверов и файлов реестра в файлы install.wim и WinRE.wim .

Чтобы найти подходящие драйверы для носителя модернизации, нам нужно получить драйверы с устройства, на котором работает версия 8.10.1 или более поздняя для соответствующей разрядности операционной системы (32-разрядная или 64-разрядная). Они находятся в папке C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. В 8.18.0 и более поздних версиях это папка изменена на «C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers».

• Пакетный сценарий (предоставляется службой поддержки Dell)
• Извлеченный ISO-образ установщика обновления компонентов Windows (предоставляется корпорацией Microsoft)
• Разделы реестра (предоставляются службой поддержки Dell со сценарием)
• Драйверы Dell Encryption (извлеченные из устройства в вашей сети или предоставленные службой поддержки Dell)

Процедура создания носителя

1. Откройте окно «Среда средств развертывания и работы с образами», выбрав запуск от имени администратора.
   
2. Выполните пакетный сценарий. Если ввести имя командного файла, отображается информация о синтаксисе.
   

Синтаксис:

Использование: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Где:

Win10UpgradeDir — путь к каталогу, куда извлекаются файлы ISO-образа Windows 10;
DDPEDriversDir — дополнительный путь к каталогу драйверов DDP|E (драйверы Dell Data Protection | Encryption можно получить в локальной установке, если этот параметр не задан).

После завершения процесса вы получите модернизированный файл install.wim в извлеченном каталоге ISO, который был предоставлен инструменту.

Теперь установочные файлы готовы к использованию.

• От имени администратора откройте окно командной строки в том же расположении (что и файл) WSProbe.exe и введите соответствующую команду:
  • Чтобы разрешить в режиме модернизации Windows 10 выполнять аутентификацию по пакетному файлу ключей для Dell Encryption Personal (прежнее название: Dell Data Protection | Personal Edition), сначала необходимо использовать указанную ниже команду в рамках подготовки модернизации (файла, LSARecovery резервная копия которого создается в процессе подготовки Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Чтобы проверить ход процесса подготовки, можно выполнить команду WSProbe –E

1. Компьютер будет готов к модернизации, когда появится следующее сообщение: «Подготовка завершена. Запустите модернизацию Windows».
2. Перезагрузите компьютер, если появится соответствующий запрос.
3. Запустите обновление Windows.
4. Перезапустите компьютер.
5. После завершения модернизации откройте окно командной строки и введите:
   • WSProbe -R
     Примечание.: В строке WSProbe -R команда служит для возобновления работы клиента Encryption в обычном режиме и выполняется после успешной модернизации компьютера. Ее также можно использовать для отката клиента Encryption к обычному режиму перед выполнением обновления.
6. Перезагрузите компьютер, если появится соответствующий запрос.

Чтобы проверить ход процесса подготовки, можно выполнить команду WSProbe –E

1. Если не отображается следующее сообщение: «Подготовка завершена. Запустите модернизацию Windows».
   1. Следуйте появляющимся на экране запросам.
   2. Выполнить WSProbe еще раз, пока не появится окно с предложением запустить модернизацию Windows:
      • WSProbe -E
   3. Запустите обновление Windows.
   4. Перезагрузите компьютер, если появится соответствующий запрос.
   5. После завершения модернизации откройте окно командной строки и введите:
      • WSProbe -R

Этот способ может вызвать проблемы, связанные с тем, что файлы не будут расшифрованы. Чтобы избежать этого, необходимо автоматически создать раздел реестра:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Чтобы проверить ход процесса подготовки, можно выполнить команду: WSProbe –E

Чтобы проверить ход процесса подготовки, выполните команду WSProbe –E

От имени администратора откройте окно командной строки в том же расположении (что и файл) WSProbe.exe и введите соответствующую команду:

• Это позволяет в режиме модернизации Windows 10 выполнять импорт и аутентификацию по существующему пакетному файлу ключей (можно скачать с сервера Dell Security Management Server [прежнее название: Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Это дает возможность связаться с сервером Dell Security Management Server или Dell Security Management Virtual Server (прежнее название: Dell Data Protection | Virtual Edition), который передаст комплект ключей, используемый для проверки наличия соответствующего материала ключа:
  • WSProbe -E -S "forensics_admin_name" "password"
• Чтобы проверить ход процесса подготовки, можно выполнить команду:
  • WSProbe -E

1. Компьютер будет готов к модернизации, когда появится следующее сообщение: «Подготовка завершена. Запустите модернизацию Windows».
2. Перезагрузите компьютер, если появится соответствующий запрос.
3. Запустите обновление Windows.
4. Перезапустите компьютер.
5. После завершения модернизации откройте окно командной строки и введите:
   • WSProbe -R
6. Перезагрузите компьютер, если появится соответствующий запрос.

Если сообщение Подготовка завершена. Запустите обновление Windows. не отображается, выполните следующие действия.

1. Следуйте появляющимся на экране запросам.
2. Выполнить WSProbe еще раз, пока не появится окно с предложением запустить модернизацию Windows:
   • WSProbe -E
3. Запустите обновление Windows.
4. Перезагрузите компьютер, если появится соответствующий запрос.
5. После завершения модернизации откройте окно командной строки и введите:
   • WSProbe -R

Этот способ может вызвать проблемы, связанные с тем, что файлы не будут расшифрованы. Чтобы избежать этого, необходимо автоматически создать раздел реестра:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0