Prácticas recomendadas de Dell Encryption Enterprise y Dell Encryption Personal: Migración o actualización de características de Windows 10

La actualización de Windows 10 se debe ejecutar desde un directorio sin cifrar. Debido a que USER o COMMON el cifrado NO se desbloquea durante el proceso de actualización de Windows 10, cuando la actualización se ejecuta en un USER o COMMON directorio cifrado, la actualización presentará un error incluso si la actualización de Windows 10 de Dell Encryption se realiza correctamente.

En función de este requisito, Dell sugiere que se agreguen las siguientes exclusiones a las políticas de Dell Encryption para las actualizaciones de las características de Windows. Estas se deben agregar a las exclusiones de disco fijo (para las claves SDE) y a las exclusiones de cifrado generales (común/usuario):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Las siguientes son necesarias para las actualizaciones forzadas de características a través de SCCM y otras aplicaciones de administración de otros fabricantes:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

No se requieren modificaciones cuando se ejecutan las actualizaciones de características de Windows con la versión 8.18.0 de Dell Encryption o versiones posteriores. Todas las actualizaciones de características que se apliquen con Windows Update ya no le solicitarán que elimine Dell Encryption.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Puede obtener esos medios aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

No se requieren modificaciones cuando se ejecutan las actualizaciones de características de Windows con la versión 8.18.0 de Dell Encryption o versiones posteriores. Todas las actualizaciones de características que se apliquen con los medios independientes ya no le solicitarán que elimine Dell Encryption.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Puede obtener esos medios aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

A fin de preparar una actualización de las características de Windows para la implementación, la mayoría de los entornos deberán aprovechar un install.wim . Debido a la naturaleza del modo en que Dell Encryption soporta la ruta de la actualización de las características de Windows, tendremos que aplicar los archivos de registro necesarios y los controladores en los medios de instalación.

Es necesario el kit de desarrollo de aplicaciones de Windows 10 (ADK) para lograr esto. Puede encontrar la versión más reciente aquí: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

También necesitará un archivo por lotes y claves de registro adecuadas, que no se pueden vincular externamente para que el cliente los descargue. Puede solicitarlos al soporte si llama a la línea de soporte al: 877.459.7304 ext. 4310039. Para obtener asistencia fuera de los Estados Unidos, consulte la lista de números de contacto internacionales de ProSupport. Este archivo por lotes toma una ISO de actualización de características de Windows ampliada (descargada anteriormente) e implementa archivos de registro y controladores en los install.wim y WinRE.wim archivos en la ISO de actualización.

Debemos extraer los controladores de un dispositivo que ejecute la versión de Dell Encryption instalada en los terminales a fin de encontrar los controladores adecuados para los medios de actualización y la velocidad de bits adecuada del sistema operativo (32 bits o 64 bits). De 8.10.1 a 8.17.2, los controladores para Dell Encryption se encuentran en “C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\”. En 8.18.0 y versiones posteriores, esta ubicación se cambió a: ”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”

Debemos extraer los controladores de un dispositivo que ejecute la versión de Dell Encryption instalada en los terminales a fin de encontrar los controladores adecuados para los medios de actualización y la velocidad de bits adecuada del sistema operativo (32 bits o 64 bits). Estos se encuentran en C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

Dell Encryption, a partir de la versión 8.18, comprobará automáticamente la versión del sistema operativo en proceso de instalación mediante una lista interna de versiones de sistemas operativos soportados. Si no se detecta una coincidencia, se bloqueará la actualización de características y el usuario con la sesión iniciada recibirá una notificación:

Estos bloqueos se pueden sobrescribir para permitir la realización de pruebas con un sistema operativo no soportado. Una clave de registro permite esta capacidad:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

En este ejemplo, se permitiría instalar cualquier compilación de Windows 10 hasta la versión 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Esta función se basa en las versiones de las compilaciones de Windows 10 a fin de permitir una granularidad futura de asistencia para actualizaciones acumulativas y actualizaciones de características. El número de la compilación de la actualización de características que se está instalando se muestra en Windows Update:

En este ejemplo, el valor de “SupportedWindows10Upgrade” debe ser “10.0.17686.1003” o uno superior.

La actualización de Windows 10 se debe ejecutar desde un directorio sin cifrar. Debido a que USER o COMMON el cifrado NO se desbloquea durante el proceso de actualización de Windows 10, cuando la actualización se ejecuta en un USER o COMMON directorio cifrado, la actualización presentará un error incluso si la actualización de Windows 10 de Dell Encryption se realiza correctamente.

En función de este requisito, Dell sugiere que se agreguen las siguientes exclusiones a las políticas de Dell Encryption para las actualizaciones de las características de Windows. Estas se deben agregar a las exclusiones de disco fijo (para las claves SDE) y a las exclusiones de cifrado generales (común/usuario):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Las siguientes son necesarias para las actualizaciones forzadas de características a través de SCCM y otras aplicaciones de administración de otros fabricantes:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

A continuación, se muestran los pasos para obtener actualizaciones de características a través de las actualizaciones de Windows.

Es posible que encuentre un error que indica que es necesario desinstalar Dell Encryption antes de continuar.

Cierre esta pantalla, ejecute WSProbe -z (como administrador desde el símbolo del sistema) y, a continuación, intente realizar la actualización de nuevo.

La actualización indica que se están ejecutando más elementos de preparación en segundo plano.

El estado de las actualizaciones se puede comprobar en el nuevo menú Configuración de Windows 10.

Para acceder a los elementos de actualización a través del menú de ajustes realice lo siguiente:

1. Haga clic en el botón Inicio y, luego, en Configuración.
   
2. En Configuración, haga clic en Actualización y seguridad.
   
3. Cuando esté listo, en la sección Actualización y seguridad, se mostrará que se ha programado el reinicio. El reinicio comienza el proceso de actualización.
   
   
4. La actualización finaliza y, durante el inicio de sesión, Windows indica que se actualizó la computadora personal y que todos sus datos se encuentran en la misma ubicación.

Puede validar que la nueva versión de Windows se instaló correctamente; para ello, verifique la versión de Windows a través del comando "winver" ejecutado en un símbolo del sistema o en PowerShell.

Nota: Algunos dispositivos que tengan en ejecución Dell Data Protection | Encryption versión 8.10.1 u 8.11.0 deben actualizar su archivo SetupConfig.ini en C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Al archivo actual le falta un encabezado de [SetupConfig]. Se muestra lo siguiente:

Agregue el encabezado:

Este archivo se aplica a todas las actualizaciones locales y automatiza la aprobación del comando reflectdrivers a la actualización de características de Windows que proviene de Windows Update. Los cambios se han realizado dentro del producto, y ya no es necesario cambiar manualmente a partir de 8.12.0.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Obtenga la descarga aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Antes de insertar los medios, ejecute WSProbe -z como administrador en el símbolo del sistema. Esto prepara los datos cifrados para el proceso de actualización (no se realiza ningún descifrado).

Cuando estos medios se insertan en una computadora que tenga en ejecución las versiones anteriores de Microsoft Windows, aparece una solicitud de actualización.

Cierre esta solicitud, ya que la actualización se debe ejecutar con un comando específico.

Abra un símbolo del sistema administrativo (o aproveche el que está abierto para la WSProbe -z funcionalidad).

Busque la letra de la unidad que contenga el medio de la actualización de características de Windows. En este ejemplo, D: es la unidad que contiene el medio de la actualización de características de Windows.

Ejecute el archivo setup.exe con el siguiente comando para insertar los controladores de Dell Encryption:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Mediante este comando, se inicia el proceso de actualización de características de Windows. Siga los pasos indicados. No se deben realizar otros pasos.

Microsoft ofrece la posibilidad de descargar las actualizaciones de características de Windows como archivos ISO para actualizaciones e implementaciones. Obtenga la descarga aquí: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

A fin de preparar una actualización de las características de Windows para la implementación, la mayoría de los entornos deberán aprovechar un install.wim . Debido a la naturaleza del modo en que Dell Encryption soporta la ruta de la actualización de las características de Windows, tendremos que aplicar los archivos de registro necesarios y los controladores en los medios de instalación.

Es necesario el kit de desarrollo de aplicaciones de Windows 10 (ADK) para lograr esto. Puede encontrar la versión más reciente aquí: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Necesitará un archivo por lotes y claves de registro adecuadas, que no se pueden vincular externamente para que el cliente los descargue. Puede solicitarlos al soporte si llama a la línea de soporte al: 877.459.7304 ext. 4310039. Para obtener asistencia fuera de los Estados Unidos, consulte la lista de números de contacto internacionales de ProSupport. Este archivo por lotes toma una ISO de actualización de características de Windows ampliada (descargada anteriormente) e implementa archivos de registro y controladores en los install.wim y WinRE.wim archivos en la ISO de actualización.

A fin de encontrar los controladores apropiados para actualizar sus medios, se deberán extraer los controladores de un dispositivo que sea 8.10.1 o posterior, además de obtener la velocidad de bits apropiada del sistema operativo (32 o 64 bits). Estos se encuentran en C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. En 8.18.0 y versiones posteriores, esta carpeta se cambió a "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”.

• Script por lotes (proporcionado por el soporte de Dell)
• ISO extraída del instalador de Windows Feature Update (proporcionada por Microsoft)
• Claves de registro (proporcionadas por el soporte de Dell con script)
• Controladores de Dell Encryption (extraídos de un dispositivo en la red o proporcionados por el equipo de soporte de Dell)

Para generar medios, siga estos pasos:

1. Abra el entorno de herramientas de implementación y creación de imágenes como administrador.
   
2. Ejecute el script por lotes. Si se ingresa el archivo por lotes, se proporciona información sobre la sintaxis.
   

La sintaxis es la siguiente:

Uso: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Dónde:

Win10UpgradeDir : ruta a los archivos ISO de Windows 10 que se extraen en un directorio.
DDPEDriversDir : ruta opcional al directorio de controladores de DDP|E (los controladores de Dell Data Protection | Encryption se obtienen a partir de la instalación local si no se proporciona este parámetro).

Una vez completado el proceso, acabará con un archivo install.wim actualizado en el directorio de la ISO extraída que proporcionó a la herramienta.

Los archivos de instalación ya están listos para usar.

• Como administrador, abra un símbolo del sistema en la misma ubicación en que se encuentre el archivo WSProbe.exe e ingrese el comando correspondiente:
  • El modo de actualización de Windows 10 se autenticará según un archivo de paquete de claves para Dell Encryption Personal (anteriormente Dell Data Protection | Personal Edition), primero debe utilizar el siguiente comando, el cual forma parte de la preparación de la actualización (el LSARecovery archivo que se respalda durante el proceso de aprovisionamiento de Dell Encryption Personal):
    • WSProbe -E -B "backup_file_path" "password"

Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente. WSProbe –E

1. La computadora está lista para actualizarse cuando aparece el siguiente mensaje: "Preparación completa. Ejecutar la actualización de Windows ahora."
2. Reinicie el equipo si se le solicita que lo haga.
3. Ejecute la actualización de Windows.
4. Reinicie el equipo.
5. Una vez completada la actualización, abra una ventana de símbolo del sistema y escriba:
   • WSProbe -R
     Nota: El comando WSProbe -R reanuda la funcionalidad normal del cliente Encryption y se ejecuta después de que la computadora esté actualizada correctamente. También se puede utilizar para volver al funcionamiento normal del cliente Encryption antes de que se realizara una actualización.
6. Reinicie el equipo si se le solicita que lo haga.

Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente. WSProbe –E

1. Si no se muestra el siguiente mensaje: Preparación completa. Ejecute la actualización de Windows ahora.
   1. Siga las instrucciones que aparecen en la lista.
   2. Ejecutar WSProbe nuevamente y hasta que aparezca el símbolo del sistema para ejecutar la actualización de Windows:
      • WSProbe -E
   3. Ejecute la actualización de Windows.
   4. Reinicie el equipo si se le solicita que lo haga.
   5. Una vez completada la actualización, abra una ventana de símbolo del sistema y escriba:
      • WSProbe -R

Este método se puede ejecutar en problemas con archivos que no se descifran. Para evitar esto, se debe crear automáticamente una clave del registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente: WSProbe –E

Para comprobar el avance del proceso de preparación, ejecute WSProbe –E

Como administrador, abra un símbolo del sistema en la misma ubicación en que se encuentre el archivo WSProbe.exe e ingrese el comando correspondiente:

• Esto permite que el modo de actualización de Windows 10 pueda importar y autenticarse según un archivo de paquete de claves existente (que se puede descargar de Dell Security Management Server [anteriormente Dell Data Protection | Enterprise Edition]); utilice el siguiente comando:
  • WSProbe -E -I "import_file_path" "password"
• Esto permite comunicarse con Dell Security Management Server o Dell Security Management Virtual Server (anteriormente Dell Data Protection | Virtual Edition), que transfiere el paquete de claves, el cual se utiliza para validar que el material de clave adecuado esté presente; utilice el siguiente comando:
  • WSProbe -E -S "forensics_admin_name" "password"
• Para comprobar el progreso del proceso de preparación, puede ejecutar lo siguiente:
  • WSProbe -E

1. La computadora está lista para actualizarse cuando aparece el siguiente mensaje: Preparación completa. Ejecute la actualización de Windows ahora.
2. Reinicie el equipo si se le solicita que lo haga.
3. Ejecute la actualización de Windows.
4. Reinicie el equipo.
5. Una vez completada la actualización, abra una ventana de símbolo del sistema y escriba:
   • WSProbe -R
6. Reinicie el equipo si se le solicita que lo haga.

Si no aparece el mensaje Preparación completa. Ejecute la actualización de Windows ahora, siga estos pasos:

1. Siga las instrucciones que aparecen en la lista.
2. Ejecutar WSProbe nuevamente y hasta que aparezca el símbolo del sistema para ejecutar la actualización de Windows:
   • WSProbe -E
3. Ejecute la actualización de Windows.
4. Reinicie el equipo si se le solicita que lo haga.
5. Una vez completada la actualización, abra una ventana de símbolo del sistema y escriba:
   • WSProbe -R

Este método se puede ejecutar en problemas con archivos que no se descifran. Para evitar esto, se debe crear automáticamente una clave del registro de:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0