Bästa praxis för Dell Encryption Enterprise och Dell Encryption Personal: Funktionsuppdatering eller migrering till Windows 10

Windows 10-uppgraderingen måste köras från en okrypterad katalog. Eftersom USER eller COMMON kryptering låses INTE upp under Windows 10-uppgraderingsprocessen, när uppgraderingen körs från en USER eller COMMON krypterad katalog misslyckas uppgraderingen trots att Dell Encryption Windows 10-uppgraderingen utförs korrekt.

Dell föreslår därför att följande undantag läggs till i Dell Encryption-principerna för Windows-funktionsuppdateringar. De här bör läggas till för både undantag för fasta skivenheter (för SDE-nycklar) och allmänna krypteringsundantag (gemensam/användare):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Krävs för funktionsuppdateringar som går genom SCCM och andra hanteringsprogram från tredje part:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Inga ändringar krävs när du kör Windows-funktionsuppdateringar när du kör Dell Encryption version 8.18.0 eller senare. Du uppmanas inte längre att ta bort Dell Encryption för funktionsuppdateringar via Windows Update.

Via Microsoft kan du hämta Windows-funktionsuppdateringar som avbildningsfiler för uppgraderingar och driftsättningar. Du kan skaffa mediet här: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Inga ändringar krävs när du kör Windows-funktionsuppdateringar när du kör Dell Encryption version 8.18.0 eller senare. Du uppmanas inte längre att ta bort Dell Encryption för funktionsuppdateringar via fristående medier.

Via Microsoft kan du hämta Windows-funktionsuppdateringar som avbildningsfiler för uppgraderingar och driftsättningar. Du kan skaffa mediet här: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

För att förbereda en Windows-funktionsuppdatering för distribution måste de flesta miljöer använda en install.wim fil. Med anledning av det sätt som Dell Encryption stöder Windows-funktionsuppdateringen behöver vi lägga in drivrutiner och nödvändiga registerfiler i installationsmediet.

Därför behövs Windows 10 ADK (Assessment and Deployment Kit). Du hittar den senaste versionen här: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Du behöver vidare en kommandofil och rätt registernycklar. De går inte att länka externt så att kunden kan hämta dem. Du kan få dessa från supporten genom att ringa: 877.459.7304, ankn. 4310039 går du till ProSupports lista med internationella kontaktnummer för support utanför USA. Den här kommandofilen tar en utökad ISO-funktion för Windows-funktionsuppdatering (hämtad ovan) och matar in drivrutiner och registerfiler i install.wim och WinRE.wim filer i uppgraderings-ISO:n.

Vi måste hämta drivrutinerna från en enhet som kör den version av Dell Encryption som är installerad på slutpunkterna för att hitta rätt drivrutiner för uppgraderingsmediet och rätt antal bitar för operativsystemet (32 bitar eller 64 bitar). I 8.10.1 till 8.17.2 finns drivrutiner för Dell Encryption i "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\.” I 8.18.0 och senare har den här platsen flyttats till: ”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”

Vi måste hämta drivrutinerna från en enhet som kör den version av Dell Encryption som är installerad på slutpunkterna för att hitta rätt drivrutiner för uppgraderingsmediet och rätt antal bitar för operativsystemet (32 bitar eller 64 bitar). Dessa finns i C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\

Version 8.18 och senare av Dell Encryption kontrollerar automatiskt vilken version av operativsystemet som installeras mot en intern lista med operativsystemsversioner som stöds. Om de inte stämmer överens blockeras funktionsuppdateringen. Den användare som är inloggad ser ett meddelande:

De här blocken kan skrivas över för att möjliggöra testning med ett operativsystem som inte stöds. Det möjliggörs med en registernyckel:

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <HighestSupportedBuildHere>

I det här exemplet kan alltså valfri version av Windows 10 installera upp till 10.0.17300.1.

HKLM\Software\Dell\Dell Data Protection\Encryption
REG_SZ:SupportedWindows10Upgrade
Value: <10.0.17300.1>

Den här funktionen är beroende av versioner av Windows 10 för att möjliggöra framtida detaljrikedom för stödet för ackumulativa uppdateringar och funktionsuppdateringen. Versionsnumret för den funktionsuppdatering som installeras visas i Windows Update:

I det här exemplet måste värdet för ”SupportedWindows10Upgrade” vara 10.0.17686.1003 eller högre.

Windows 10-uppgraderingen måste köras från en okrypterad katalog. Eftersom USER eller COMMON kryptering inte låses upp under Windows 10-uppgraderingsprocessen, när uppgraderingen körs från en USER eller COMMON krypterad katalog misslyckas uppgraderingen trots att Dell Encryption Windows 10-uppgraderingen utförs korrekt.

Dell föreslår därför att följande undantag läggs till i Dell Encryption-principerna för Windows-funktionsuppdateringar. De här bör läggas till för både undantag för fasta skivenheter (för SDE-nycklar) och allmänna krypteringsundantag (gemensam/användare):

-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT
-^%ENV:SYSTEMDRIVE%\_SMSTaskSequence
-^%ENV:SYSTEMDRIVE%\$GetCurrent\
-^%ENV:SYSTEMDRIVE%\$SysReset\
-^%ENV:SYSTEMDRIVE%\$Windows.~WS\
-^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\
-^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\
-^%ENV:SYSTEMDRIVE%\Windows10Upgrade\

Krävs för funktionsuppdateringar som går genom SCCM och andra hanteringsprogram från tredje part:

-^%ENV:SYSTEMDRIVE%\Windows\ccmcache
-^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages
-^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb
-^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca

Stegen för att hämta funktionsuppdateringar via Windows-uppdateringar visas nedan.

Det kan uppstå ett fel som visar att Dell Encryption behöver avinstalleras innan du fortsätter.

Stäng den här skärmen, kör WSProbe -z (som administratör från kommandotolken) och försök sedan uppdatera igen.

Du ser ett uppdateringsmeddelande om att fler förberedelseobjekt körs i bakgrunden.

Du kan kontrollera statusen för uppdateringarna på menyn Inställningar för Windows 10.

Så här kommer du åt Update-objekten via inställningsmenyn:

1. Klicka på Start och sedan Inställningar.
   
2. I Inställningar klickar du på Uppdatering och säkerhet.
   
3. När du är klar visar avsnittet Uppdatering och säkerhet att en omstart har schemalagts. Omstarten sätter igång uppdateringsprocessen.
   
   
4. Uppgraderingen slutförs. När du loggar in i Windows får du ett meddelande om att datorn har uppdaterats och alla data finns kvar på samma plats.

Du kan verifiera att den nya versionen av Windows installerades korrekt genom att kontrollera Windows-versionen med kommandot "winver," kör i en kommandotolk eller i PowerShell.

Obs! Vissa enheter som kör Dell Data Protection | Krypteringsversion 8.10.1 eller 8.11.0 måste uppdatera den SetupConfig.ini filen inom C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS. Den aktuella filen saknar rubriken [SetupConfig]. Vi visar:

Lägg till rubriken för att göra den:

Den här filen gäller för alla lokala uppdateringar och automatiserar passet till reflectdrivers till Windows-funktionsuppdateringen som kommer via Windows Update. Ändringarna har gjorts i produkten. De behöver inte längre ändras manuellt, från och med 8.12.0.

Via Microsoft kan du hämta Windows-funktionsuppdateringar som avbildningsfiler för uppgraderingar och driftsättningar. Hämta här: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

Innan du sätter i mediet ska du köra WSProbe -z som administratör från kommandotolken. Det här förbereder krypterade data för uppgraderingsprocessen (ingen dekryptering görs).

När det här mediet förs in i en dator som körs med tidigare versioner av Microsoft Windows visas en uppmaning att uppgradera.

Stäng det här meddelandet eftersom uppgraderingen måste köras med ett visst kommando.

Öppna en administrativ kommandotolk (eller använd kommandotolken som är öppen för WSProbe -z funktionalitet).

Gå till bokstaven för den enhet som innehåller Windows-funktionsuppdateringsmediet. I det här exemplet innehåller enhet D: Windows-funktionsuppdateringsmediet.

Kör setup.exe med det här kommandot att tillföra Dell Encryption-drivrutinerna:

Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"

Det här kommandot startar Windows-funktionsuppdateringsprocessen. Fortsätt följa instruktionerna. Inga andra åtgärder behöver vidtas.

Via Microsoft kan du hämta Windows-funktionsuppdateringar som avbildningsfiler för uppgraderingar och driftsättningar. Hämta här: https://support.microsoft.com/en-us/help/12387/windows-10-update-history

För att förbereda en Windows-funktionsuppdatering för distribution måste de flesta miljöer använda en install.wim fil. Med anledning av det sätt som Dell Encryption stöder Windows-funktionsuppdateringen behöver vi lägga in drivrutiner och nödvändiga registerfiler i installationsmediet.

Därför behövs Windows 10 ADK (Assessment and Deployment Kit). Du hittar den senaste versionen här: https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit

Du behöver en kommandofil och rätt registernycklar. De går inte att länka externt så att kunden kan hämta dem. Du kan få dessa från supporten genom att ringa: 877.459.7304, ankn. 4310039 går du till ProSupports lista med internationella kontaktnummer för support utanför USA. Den här kommandofilen tar en utökad ISO-funktion för Windows-funktionsuppdatering (hämtad ovan) och matar in drivrutiner och registerfiler i install.wim och WinRE.wim filer i uppgraderings-ISO:n.

För att hitta rätt drivrutiner för uppgraderingsmedier måste vi hämta drivrutiner från en enhet med 8.10.1 eller senare, för rätt antal bitar för operativsystemet (32 respektive 64 bitar). Dessa finns i C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\. I 8.18.0 och senare har den här mappen ändrats till "C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers.”

• Kommandoskript (tillhandahålls av Dell Support)
• Extraherad avbildning av installationsprogrammet för Windows-funktionsuppdateringen (tillhandahålls av Microsoft)
• Registernycklar (tillhandahålls av Dell Support med skript)
• Drivrutiner för Dell Encryption (hämtas från enhet i nätverket eller tillhandahålls av Dell Support)

Skapa medier:

1. Öppna driftsättnings- och avbildningsverktygsmiljön som administratör.
   
2. Kör kommandoskriptet. Om du anger kommandofilen får du information om syntax.
   

Syntax är:

Användning: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"

Var:

Win10UpgradeDir -- Sökväg till Windows 10 ISO-filer som extraheras till en katalog.
DDPEDriversDir -- Valfri sökväg till DDP|E-drivrutinskatalog ( Dell Data Protection | Krypteringsdrivrutiner hämtas från den lokala installationen om den här parametern inte tillhandahålls).

När processen är klar får du en uppgraderad install.wim i den uppackade ISO-katalog som du angav till verktyget.

Nu är installationsfilerna redo att användas.

• Som administratör öppnar du en kommandotolk på samma plats som WSProbe.exe och ange tillämpligt kommando:
  • Windows 10-uppgraderingsläge för autentisering mot en nyckelpaketfil för Dell Encryption Personal (tidigare Dell Data Protection | Personal Edition) måste du först använda kommandot nedan, som är en del av uppgraderingsförberedelserna ( LSARecovery fil som säkerhetskopieras under Dell Encryption Personals etableringsprocess):
    • WSProbe -E -B "backup_file_path" "password"

Om du vill kontrollera förloppet för förberedelseprocessen kan du köra WSProbe –E

1. Datorn är redo för uppgraderingen när du ser ett meddelande om att förberedelserna har slutförts och att du kan köra Windows-uppgraderingen.
2. Starta om datorn om du blir uppmanad att göra det.
3. Kör Windows-uppgraderingen.
4. Starta om datorn.
5. När uppgraderingen är klar ska du öppna kommandotolken och ange:
   • WSProbe -R
     Obs! Informationen WSProbe -R återgår till normal krypteringsklientfunktion och körs efter att datorn har uppgraderats. Det kan också användas till att återställa datorn till normal krypteringsklientfunktion innan en uppgradering utförs.
6. Starta om datorn om du blir uppmanad att göra det.

Om du vill kontrollera förloppet för förberedelseprocessen kan du köra WSProbe –E

1. Om du inte ser meddelandet om att Förberedelserna har slutförts. Kör Windows-uppgradering nu.
   1. Följ anvisningarna som visas.
   2. Kör WSProbe igen och tills uppmaningen att köra Windows-uppgraderingen visas:
      • WSProbe -E
   3. Kör Windows-uppgraderingen.
   4. Starta om datorn om du blir uppmanad att göra det.
   5. När uppgraderingen är klar ska du öppna kommandotolken och ange:
      • WSProbe -R

Den här metoden kan ge problem med filer som inte dekrypteras. För att undvika det bör vi automatiskt skapa en registernyckel:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0

Om du vill kontrollera förloppet för förberedelseprocessen kan du köra: WSProbe –E

Om du vill kontrollera förloppet för förberedelseprocessen kör du WSProbe –E

Som administratör öppnar du en kommandotolk på samma plats som WSProbe.exe och ange tillämpligt kommando:

• Det gör att uppgraderingsläget för Windows 10 kan importera och autentisera mot en redan befintlig nyckelpaketfil (kan hämtas från Dell Security Management Server [tidigare Dell Data Protection | Enterprise Edition]):
  • WSProbe -E -I "import_file_path" "password"
• Då kontaktas Dell Security Management Server eller Dell Security Management Virtual Server (tidigare Dell Data Protection | Virtual Edition), som överför nyckelpaketet, som används för att validera att rätt nyckelmaterial finns:
  • WSProbe -E -S "forensics_admin_name" "password"
• Om du vill kontrollera förloppet för förberedelseprocessen kan du köra:
  • WSProbe -E

1. Datorn är redo för uppgraderingen när du ser ett meddelande om att Förberedelserna har slutförts. Kör Windows-uppgradering nu.
2. Starta om datorn om du blir uppmanad att göra det.
3. Kör Windows-uppgraderingen.
4. Starta om datorn.
5. När uppgraderingen är klar ska du öppna kommandotolken och ange:
   • WSProbe -R
6. Starta om datorn om du blir uppmanad att göra det.

Om förberedelserna är klara. Meddelandet Kör Windows-uppgradering nu visas inte, följ dessa steg:

1. Följ anvisningarna som visas.
2. Kör WSProbe igen och tills uppmaningen att köra Windows-uppgraderingen visas:
   • WSProbe -E
3. Kör Windows-uppgraderingen.
4. Starta om datorn om du blir uppmanad att göra det.
5. När uppgraderingen är klar ska du öppna kommandotolken och ange:
   • WSProbe -R

Den här metoden kan ge problem med filer som inte dekrypteras. För att undvika det bör vi automatiskt skapa en registernyckel:

HKLM\Software\Credant\DecryptAgent\
DWORD: MaxBytesReboot
Value: 0