Número del artículo: 000125419
Dell Technologies 建议在更改计算机操作系统之前进行完整备份。
戴尔引入了将您的操作系统从 Windows 7、Windows 8、Windows 8.1 或 Windows 10 RTM 升级到 Windows 10 功能更新版本 1511(11 月更新/Threshold 2)及更高版本的能力。要获得有关最新 Windows 10 功能更新兼容性的最新信息,请参阅 Dell Data Security/Dell Data Protection Windows 10 功能更新兼容性。
不适用
从 Windows 7 过渡到 Windows 10 时,请按照所描述的适合设备将要过渡到的目标 Windows 10 版本的方法进行操作。
当升级到 Windows 10 功能更新版本 1803(春季创意者更新/Redstone 4)和更高版本(例如,版本 1903(2019 年 5 月更新)/19H1
)时,此方法起作用。戴尔和微软已经大刀阔斧地通过功能更新过程增强应用程序的互操作性,允许在几乎没有用户交互的情况下进行升级。在功能更新过程中,Windows 现在会针对功能更新过程中的各种检查点向应用程序发出通知。这些检查点使应用程序能够了解 Windows 功能更新的进度,并根据更新的状态和进度部署命令。Dell Encryption使用这些检查点来确定通过功能更新应用的Windows 10版本是否与Dell Encryption的当前版本兼容。如果 Windows 10 的应用版本不兼容,则屏幕会显示通知以指示此情况:
图 1:(仅限英文)Dell Encryption 警告
如果功能更新兼容,则 Dell Encryption 将自动准备功能升级(wsprobe -z
会自动运行,并注入升级过程中所需的驱动程序)。当 Dell Encryption 启动自动准备时,屏幕上将显示通知。此对话框会快速地显示,您在快速计算机上可能看不到它:
图 2:(仅限英文)“Dell Encryption Completed”(Dell Encryption 已完成)消息
Dell Encryption 完成准备工作后,功能更新应该会继续进行。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。对于 8.18.0 及更高版本的客户端,Dell Encryption 支持使用功能更新来更新 Windows,从而允许 Dell Encryption 保持安装状态,并使文件在整个 Windows 功能更新过程中保持加密状态。本文中概述的方法通过 Windows Update、独立介质或部署模型进行操作。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。由于 USER
或 COMMON
加密在 Windows 10 升级过程中未解锁,从 USER
或 COMMON
加密的目录运行升级时,即使正确执行 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
如果运行Dell Encryption版本8.18.0或更高版本,运行Windows功能更新不需要任何修改。通过Windows Update的所有功能更新都不会再提示删除Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
如果运行Dell Encryption版本8.18.0或更高版本,运行Windows功能更新不需要任何修改。通过Standalone Media的所有功能更新都不会再提示删除Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
要为部署准备 Windows 功能更新,大多数环境都必须利用 install.wim
文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您还需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039。对于美国境外的支持,请参考ProSupport的国际联系号码列表。此批处理文件采用扩展的 Windows 功能更新 ISO(上面下载的),并将驱动程序和注册表文件注入升级 ISO 内的 install.wim
和 WinRE.wim
文件。
我们必须从运行端点上安装的 Dell Encryption 版本的设备中提取驱动程序,以查找适合您的升级介质的驱动程序和相应的操作系统位速率(32 位或 64 位)。在 8.10.1 至 8.17.2 中,可在以下位置中找到适用于 Dell Encryption 的驱动程序:“C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
”。在 8.18.0 及更高版本中,此位置已移至:“C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers
”。
我们必须从运行 Dell Encryption 版本的设备中提取驱动程序,以便在您的端点上找到适合您的升级介质的驱动程序和相应的操作系统位速率(32 位或 64 位)。这些可在 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
中找到
图 3:(仅限英文)Windows 资源管理器中的 DDPE 驱动程序
以管理员身份打开部署和映像工具环境。
图 4:(仅限英文)以管理员身份运行部署和映像工具环境
然后运行批处理脚本。输入批处理文件会提供有关语法的信息。
图 5:(仅英文)键入 Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
语法是:
用法:Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir -- 解压到目录 DDPEDriversDir
的 Windows 10 ISO 文件的路径 -- Dell Data Protection | Encryption 驱动程序目录的可选路径。如果未提供此参数,则从本地安装获取 Dell Data Protection | Encryption 驱动程序。
RegistryFiles
文件夹处于同一位置。
该过程完成后,您最终会在您提供的工具所提取的 ISO 目录中获得升级 install.wim
的文件。
安装文件现可随时使用。
WSProbe -z
。
从 8.18 及更高版本开始,Dell Encryption 将根据支持的操作系统版本的内部列表,自动检查正在安装的操作系统版本。如果未找到匹配项,则会阻止功能更新,并向登录用户显示通知:
图 6:(仅限英文)Dell Encryption 警告
这些阻止可以被覆盖,以允许使用不受支持的操作系统进行测试。注册表项支持此功能:
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value:
此示例将允许安装最高为 10.0.17300.1 的任何 Windows 10 内部版本。
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value:
此功能依赖于Windows 10版本,以支持累积更新和功能更新支持的未来粒度。Windows Update 中会显示正在安装的功能更新的内部版本号:
图 7:(仅限英文)Windows 内部版本号
在此示例中,“SupportedWindows10Upgrade”的值必须是“10.0.17686.1003”或更大。
此升级方法通过 Dell Encryption 应用程序利用命令 (wsprobe -z
),这将修改功能更新过程中加密密钥的解锁方式。利用此过程可使驱动器上的数据保持加密状态,而且将确保通用数据和用户密钥加密数据在升级过程中保持锁定状态,从而实现安全更新。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。对于 8.10.1 及更高版本的客户端,Dell Encryption 支持使用功能更新来更新 Windows,从而允许 Dell Encryption 保持安装状态,并使文件在整个 Windows 功能更新过程中保持加密状态。概述的方法通过 Windows Update、独立介质或部署模型进行操作。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。由于 USER
或 COMMON
加密在 Windows 10 升级过程中未解锁,从 USER
或 COMMON
加密的目录运行升级时,即使正确执行 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
通过 Windows 更新提取功能更新的步骤如下所示。
图 8:(仅限英文)Windows Update
您可能会遇到一个故障,指示需要先卸载Dell Encryption才能继续。
图 9:(仅限英文)卸载并继续
关闭此屏幕,运行 WSProbe -z
(从命令提示符以管理员身份运行),然后再次尝试更新。
WSProbe -z
(从管理命令提示符运行)将再次运行。
图 10:(仅限英文)键入 WSProbe -z
更新提示声称更多的准备项目已在后台运行。
图 11:(仅限英文)Windows Update 正在准备项目
可在Windows 10的新Settings(设置)菜单中检查更新状态。
要使用“设置”菜单访问更新项目,请执行以下操作:
图 12:(仅限英文)单击“设置”
图 13:(仅限英文)单击“更新和安全”
图 14:(仅限英文)单击“立即重新启动”
图 15:(仅限英文)Windows Update 状态窗口
您可以通过在命令提示符下或 PowerShell 中运行命令“winver
”,检查 windows 的版本,来验证是否已正确安装 Windows 的新版本。
图 16:(仅限英文)关于 Windows
C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS
更新其 SetupConfig.ini 文件。当前文件缺少标题 [SetupConfig]
。我们显示:
图 17:(仅限英文)不正确的 SetupConfig.ini 文件
图 18:(仅限英文)正确的 SetupConfig.ini 文件
reflectdrivers
命令传递到通过 Windows Update 到来的 Windows 功能更新。已在产品内部进行更改,从8.12.0开始不再需要手动更改。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
插入介质之前,运行 WSProbe -z
(从命令提示符以管理员身份运行)。这将为升级过程准备加密数据(不进行解密)。
WSProbe -z
(从管理命令提示符运行)。
图 19:(仅限英文)键入 WSProbe -z
将此介质插入运行较早版本的 Microsoft Windows 的计算机时,将出现升级提示。
关闭此提示,因为必须使用特定命令运行升级。
图 20:(仅限英文)关闭此提示
打开管理命令提示符(或利用为 WSProbe -z
功能打开的命令提示符)。
转至包含 Windows 功能更新介质的驱动器盘符。在此示例中,D:是Windows功能更新介质的驱动器。
图 21:(仅限英文)将目录切换到具有 Windows 功能更新介质的驱动器
使用此命令运行setup.exe以注入Dell Encryption驱动程序:
Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"
C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers"
。
图 22:(仅限英文)键入 Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"
此命令会启动 Windows 功能更新过程。按照提示进行操作,无需执行其他步骤。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
要为部署准备 Windows 功能更新,大多数环境都必须利用 install.wim
文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039。对于美国境外的支持,请参考ProSupport的国际联系号码列表。此批处理文件采用扩展的 Windows 功能更新 ISO(上面下载的),并将驱动程序和注册表文件注入升级 ISO 内的 install.wim
和 WinRE.wim
文件。
要为您的升级介质查找相应的驱动程序,我们必须从运行 8.10.1 或更高版本的设备获取适合相应操作系统位速率(32 位或 64 位)的驱动程序。这些可在 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
中找到。在 8.18.0 及更高版本中,此文件夹已更改为“C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers
”。
图 23:(仅限英文)Windows 资源管理器中的 DDPE 驱动程序
要生成介质:
图 24:(仅限英文)以管理员身份运行部署和映像工具环境
图 25:(仅英文)键入 Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
语法是:
用法:Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir
-- 解压到目录 DDPEDriversDir
的 Windows 10 ISO 文件的路径 -- DDP|E 驱动程序目录的可选路径。如果未提供此参数,则从本地安装获取 Dell Data Protection | Encryption 驱动程序。
.bat
文件和 RegistryFiles
文件夹处于同一位置。
该过程完成后,您最终会在您提供的工具所提取的 ISO 目录中添加一个升级 install.wim
的文件。
安装文件现可随时使用。
Wsprobe -z
,因为该命令会解锁密钥材料,使升级过程能够采用现在加载到安装介质的驱动程序。
这种方法将在后台解密驱动器,以便过渡到最新的功能更新。如果“8.18.0 及更高版本”的解决方案以及“8.10.1 及更高版本”的选项无法提供所需结果,则应将这用作最终选项。
WSProbe.exe
文件相同的位置打开命令提示符,并输入适用命令:
LSARecovery
文件):
WSProbe -E -B "backup_file_path" "password"
LSARecovery
文件复制到 C:\Program Files\Dell\Dell Data Protection\Encryption\
,然后从该位置选择 LSARecovery
文件。戴尔正在研究这一点以确保尽可能提供最佳体验。
要检查准备过程的进度,可运行 WSProbe –E
WSProbe -R
WSProbe -R
命令可恢复 Encryption 客户端的正常功能,并在成功升级计算机后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
要检查准备过程的进度,可运行 WSProbe –E
WSProbe
,直到显示运行 Windows 升级的提示。
WSProbe -E
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要检查准备过程的进度,可运行:WSProbe –E
WSProbe -R
命令可恢复 Encryption 客户端的正常功能,并在成功升级计算机后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
要检查准备过程的进度,可运行 WSProbe –E
以管理员身份在与 WSProbe.exe
文件相同的位置打开命令提示符,并输入适用命令:
WSProbe -E -I "import_file_path" "password"
WSProbe -E -S "forensics_admin_name" "password"
WSProbe -E
WSProbe -R
如果 准备完成。请运行 Windows Upgrade now 消息未显示,请执行以下步骤:
WSProbe
,直到显示运行 Windows 升级的提示:
WSProbe -E
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
05 jul 2023
11
Solution