Número del artículo: 000125419
Dell Technologies 建议您在更改计算机操作系统之前进行完整备份。
戴尔引入了将您的操作系统从 Windows 7、Windows 8、Windows 8.1 或 Windows 10 RTM 升级到 Windows 10 功能更新版本 1511(11 月更新/Threshold 2)及更高版本的能力。要获得有关最新 Windows 10 功能更新兼容性的最新信息,请参阅 Dell Data Security/Dell Data Protection Windows 10 功能更新兼容性。
从 Windows 7 过渡到 Windows 10 时,请按照所描述的适合设备将要过渡到的目标 Windows 10 版本的方法进行操作。
此方法在升级到 Windows 10 功能更新版本 1803 (Spring Creators Update/ Redstone 4) 和更高版本(例如版本 1903 (2019 年 5 月更新/ 19H1
)。戴尔和微软已经大刀阔斧地通过功能更新过程增强应用程序的互操作性,允许在几乎没有用户交互的情况下进行升级。在功能更新过程中,Windows 现在会针对功能更新过程中的各种检查点向应用程序发出通知。这些检查点允许应用程序了解 Windows 功能更新的进度,并根据更新的状态和进度部署命令。Dell Encryption使用这些检查点来确定通过功能更新应用的Windows 10版本是否与Dell Encryption的当前版本兼容。如果 Windows 10 的应用版本不兼容,则屏幕会显示通知以指示此情况:
如果功能更新兼容,Dell Encryption 会自动为功能升级做好准备 (wsprobe -z
自动运行,并注入升级过程中所需的驱动程序)。当 Dell Encryption 启动自动准备时,屏幕上将显示通知。此对话框会快速地显示,您在快速计算机上可能看不到它:
Dell Encryption 完成准备工作后,功能更新应该会继续进行。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。借助8.18.0和更高版本的客户端,Dell Encryption支持使用功能更新来更新Windows,从而允许Dell Encryption保留安装,并在Windows功能更新的整个过程保持文件加密。本文中概述的方法通过 Windows 更新、独立媒体或部署模型进行。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。因为 USER
或 COMMON
在 Windows 10 升级过程中,当从 USER
或 COMMON
encrypted 目录中,即使正确执行了 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
如果运行Dell Encryption版本8.18.0或更高版本,运行Windows功能更新不需要任何修改。通过Windows Update的所有功能更新都不会再提示删除Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
如果运行Dell Encryption版本8.18.0或更高版本,运行Windows功能更新不需要任何修改。通过Standalone Media的所有功能更新都不会再提示删除Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
若要准备部署 Windows 功能更新,大多数环境必须利用 install.wim
文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您还需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039,对于美国境外的支持,请参考ProSupport 的国际联系号码 列表。此批处理文件采用扩展的 Windows 功能更新 ISO(在上面下载),并将驱动程序和注册表文件注入到 install.wim
和 WinRE.wim
升级 ISO 中的文件。
我们必须从运行已安装在您的端点上的 Dell Encryption 版本的设备中提取驱动程序,以便为您的升级介质和相应的操作系统位速率(32 位或 64 位)查找相应的驱动程序。在 8.10.1 至 8.17.2 中,Dell Encryption 的驱动程序位于”C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
”。在 8.18.0 及更高版本中,此位置已移至:”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers
”
我们必须从运行已安装在您的端点上的 Dell Encryption 版本的设备获取驱动程序,以便为您的升级介质和相应的操作系统位速率(32 位或 64 位)查找相应的驱动程序。这些位于 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
以管理员身份打开部署和映像工具环境。
然后运行批处理脚本。输入批处理文件会提供有关语法的信息。
语法是:
用法: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir
-- 解压到目录的 Windows 10 ISO 文件的路径 DDPEDriversDir
-- Dell Data Protection |加密驱动程序目录。如果未提供此参数,则从本地安装获取 Dell Data Protection | Encryption 驱动程序。
RegistryFiles
文件夹位于同一位置。
完成此过程后,您最终将获得升级的 install.wim
文件,在您提供给工具的解压的 ISO 目录中。
安装文件现可随时使用。
WSProbe -z
在运行 Windows 功能更新之前,不再需要在端点上运行。
从 8.18 及更高版本开始,Dell Encryption 将根据支持的操作系统版本的内部列表,自动检查正在安装的操作系统版本。如果未找到匹配项,则功能更新将被阻止,并向登录用户显示通知:
这些阻止可以被覆盖,以允许使用不受支持的操作系统进行测试。注册表项支持此功能:
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value: <HighestSupportedBuildHere>
此示例将允许安装最高为 10.0.17300.1 的任何 Windows 10 内部版本。
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value: <10.0.17300.1>
此功能依赖于Windows 10版本,以支持累积更新和功能更新支持的未来粒度。Windows Update 中会显示正在安装的功能更新的内部版本号:
在此示例中,“SupportedWindows10Upgrade”的值必须是“10.0.17686.1003”或更大。
此升级方法利用通过 Dell Encryption 应用程序 (wsprobe -z
),用于修改在功能更新过程中解锁加密密钥的方式。利用此过程可使驱动器上的数据保持加密状态,而且将确保通用数据和用户密钥加密数据在升级过程中保持锁定状态,从而实现安全更新。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。对于 8.10.1 及更高版本的客户端,Dell Encryption 支持使用功能更新来更新 Windows,从而允许 Dell Encryption 保持安装状态,并使文件在整个 Windows 功能更新过程中保持加密状态。概述的方法通过 Windows 更新、独立介质或部署模型进行。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。因为 USER
或 COMMON
在 Windows 10 升级过程中,当从 USER
或 COMMON
encrypted 目录中,即使正确执行了 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
通过 Windows Update 提取功能更新的步骤如下所示。
您可能会遇到一个故障,指示需要先卸载Dell Encryption才能继续。
关闭此屏幕,运行 WSProbe -z
(以管理员身份使用命令提示符),然后再次尝试更新。
WSProbe -z
(从管理命令提示符运行)将再次运行。
更新提示声称更多的准备项目已在后台运行。
可在Windows 10的新Settings(设置)菜单中检查更新状态。
要使用“设置”菜单访问更新项目,请执行以下操作:
您可以通过命令检查 Windows 版本,以验证新版本的 Windows 已正确安装”winver
“,在命令提示符下或在 PowerShell 中运行。
C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS
。当前文件缺少标题 [SetupConfig]
。我们展示:
reflectdrivers
命令,以通过 Windows Update 更新 Windows 功能更新。已在产品内部进行更改,从8.12.0开始不再需要手动更改。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
插入介质之前,请运行 WSProbe -z
以管理员身份从命令提示符访问。这将为升级过程准备加密数据(不进行解密)。
WSProbe -z
(从管理命令提示符运行)必须再次运行。
将此介质插入运行较早版本的 Microsoft Windows 的计算机时,将出现升级提示。
关闭此提示,因为必须使用特定命令运行升级。
打开管理命令提示符(或利用为 WSProbe -z
功能)。
转至包含 Windows 功能更新介质的驱动器盘符。在此示例中,D:是Windows功能更新介质的驱动器。
使用此命令运行setup.exe以注入Dell Encryption驱动程序:
Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"
C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers"
默认情况下。
此命令会启动 Windows 功能更新过程。按照提示进行操作,无需执行其他步骤。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
若要准备部署 Windows 功能更新,大多数环境必须利用 install.wim
文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039,对于美国境外的支持,请参考ProSupport 的国际联系号码 列表。此批处理文件采用扩展的 Windows 功能更新 ISO(在上面下载),并将驱动程序和注册表文件注入到 install.wim
和 WinRE.wim
升级 ISO 中的文件。
要为您的升级介质查找相应的驱动程序,我们必须从运行 8.10.1 或更高版本的设备中获取适用于相应操作系统位速率(32 位或 64 位)的驱动程序。这些位于 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
。在 8.18.0 及更高版本中,此文件夹已更改为”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers
”。
要生成介质:
语法是:
用法: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir
-- 解压到目录的 Windows 10 ISO 文件的路径。DDPEDriversDir
-- DDP 的可选路径|E drivers 目录(Dell Data Protection |如果未提供此参数,则从本地安装获取加密驱动程序。
.bat
文件和 RegistryFiles
文件夹位于同一位置。
完成此过程后,您最终将获得升级的 install.wim
文件,在您提供给工具的解压的 ISO 目录中。
安装文件现可随时使用。
Wsprobe -z
使用此方法仍然需要,因为此命令解锁了升级过程的密钥材料,使其能够与现在加载到安装介质中的驱动程序一起使用。
这种方法将在后台解密驱动器,以便过渡到最新的功能更新。如果“8.18.0 及更高版本”的解决方案以及“8.10.1 及更高版本”的选项无法提供所需结果,则应将这用作最终选项。
WSProbe.exe
文件,然后输入适用的命令:
LSARecovery
在 Dell Encryption Personal 资源调配过程中备份的文件):
WSProbe -E -B "backup_file_path" "password"
LSARecovery
文件复制到 C:\Program Files\Dell\Dell Data Protection\Encryption\
,然后选择 LSARecovery
文件。戴尔正在研究这一点以确保尽可能提供最佳体验。
要检查准备过程的进度,可运行: WSProbe –E
WSProbe -R
WSProbe -R
命令将恢复正常的加密客户端功能,并在计算机成功升级后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
要检查准备过程的进度,可运行: WSProbe –E
WSProbe
再次显示,直到显示运行 Windows 升级的提示:
WSProbe -E
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要检查准备过程的进度,可运行: WSProbe –E
WSProbe -R
命令将恢复正常的加密客户端功能,并在计算机成功升级后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
要检查准备过程的进度,请运行 WSProbe –E
以管理员身份,在 WSProbe.exe
文件,然后输入适用的命令:
WSProbe -E -I "import_file_path" "password"
WSProbe -E -S "forensics_admin_name" "password"
WSProbe -E
WSProbe -R
如果 准备完成。Please run Windows Upgrade now message does not display, 请按照下列步骤操作:
WSProbe
再次显示,直到显示运行 Windows 升级的提示:
WSProbe -E
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
23 jul 2024
12
How To