Dell Encryption Enterprise 和 Dell Encryption Personal 最佳实践:Windows 10 功能更新或迁移
Summary: 本文确定了哪些版本的 Dell Encryption Enterprise Shield(以前称为 Dell Data Protection | Enterprise Edition Shield)和 Dell Encryption Personal(以前称为 Dell Data Protection | Personal Edition)与 Windows 10 完全兼容。 ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影响的产品:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Encryption External Media
- Dell Endpoint Security Suite Enterprise
- Dell Data Protection | Enterprise Edition
- Dell Data Protection | Personal Edition
- Dell Data Protection | External Media Edition
- Dell Endpoint Security Suite Pro
目录:
Dell Technologies 推荐您在更改计算机操作系统之前进行完整备份。
戴尔引入了将您的操作系统从 Windows 7、Windows 8、Windows 8.1 或 Windows 10 RTM 升级到 Windows 10 功能更新版本 1511(11 月更新/Threshold 2)及更高版本的能力。要获得有关最新 Windows 10 功能更新兼容性的最新信息,请参阅 Dell Data Security/Dell Data Protection Windows 10 功能更新兼容性。
从 Windows 7 过渡到 Windows 10 时,请按照所描述的适合设备将要过渡到的目标 Windows 10 版本的方法进行操作。
提醒:
- 请牢记,升级到 Windows 10 时,需要相匹配的 Windows 版本,以确保操作系统间的平稳过渡。在升级期间,不同版本之间的升级(例如,从 Windows 10 Professional 版本 1709 至 Windows 10 Enterprise 版本 1809 的升级)可能会导致因 Microsoft 局限性造成的异常。
- 使用 Windows 10 功能更新的服务模式时,更新或运行 Dell Encryption 的端点无需进行任何更改。
8.18.0和更高版本
当升级到 Windows 10 功能更新版本 1803(春季创意者更新/Redstone 4)和更高版本(例如,版本 1903(2019 年 5 月更新)/ 19H1)时,此方法起作用。戴尔和微软已经大刀阔斧地通过功能更新过程增强应用程序的互操作性,允许在几乎没有用户交互的情况下进行升级。在功能更新过程中,Windows 现在会针对功能更新过程中的各种检查点向应用程序发出通知。这些检查点允许应用程序知晓 Windows 功能更新的进度,并根据更新状态和进度部署命令。Dell Encryption使用这些检查点来确定通过功能更新应用的Windows 10版本是否与Dell Encryption的当前版本兼容。如果 Windows 10 的应用版本不兼容,则屏幕会显示通知以指示此情况:
如果功能更新兼容,则 Dell Encryption 将自动准备功能升级(wsprobe -z 会自动运行,并注入升级过程中所需的驱动程序)。当 Dell Encryption 启动自动准备时,屏幕上将显示通知。此对话框会快速地显示,您在快速计算机上可能看不到它:
Dell Encryption 完成准备工作后,功能更新应该会继续进行。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。借助8.18.0和更高版本的客户端,Dell Encryption支持使用功能更新来更新Windows,从而允许Dell Encryption保留安装,并在Windows功能更新的整个过程保持文件加密。本文中概述的方法通过 Windows Update、独立介质或部署模型进行操作。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。由于 USER 或 COMMON 加密在 Windows 10 升级过程中未解锁,从 USER 或 COMMON 加密的目录运行升级时,即使正确执行 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
提醒:这些排除项于 2018 年 6 月 11 日更新,以添加各种升级路径的排除项。
如果运行 Dell Encryption 版本 8.18.0 或更高版本,运行 Windows 功能更新不需要任何修改。通过 Windows Update 的所有功能更新都不会再提示删除 Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
如果运行 Dell Encryption 版本 8.18.0 或更高版本,运行 Windows 功能更新不需要任何修改。通过Standalone Media的所有功能更新都不会再提示删除Dell Encryption。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。您可以在此处获取该介质:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
要为部署准备 Windows 功能更新,大多数环境都必须利用 install.wim 文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您还需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039,对于美国境外的支持,请参考 ProSupport 的国际联系号码列表。此批处理文件采用扩展的 Windows 功能更新 ISO(上面下载的),并将驱动程序和注册表文件注入升级 ISO 内的 install.wim 和 WinRE.wim 文件。
要为您的升级介质以及相应的操作系统位速率(32 位或 64 位)查找适当的驱动程序,我们必须从运行已安装在您的端点的 Dell Encryption 版本的设备获取驱动程序。在 8.10.1 至 8.17.2 中,可在以下位置中找到适用于 Dell Encryption 的驱动程序:“C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\。”在 8.18.0 及更高版本中,此位置已移至:”C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”
要为您的升级介质以及相应的操作系统位速率(32 位或 64 位)查找适当的驱动程序,我们必须从运行已安装在您的端点的 Dell Encryption 版本的设备获取驱动程序。这些可在 中找到 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\
提醒:在 Windows 升级介质中使用 Dell Encryption 中与端点不匹配的驱动程序可能会导致无法升级,或者 Dell Encryption 在 Windows 功能更新后进入不良状态。
- 批处理脚本(由戴尔支持提供)
- Windows功能更新安装程序(由Microsoft提供)解压缩的ISO
- 注册表项(与脚本一起由戴尔支持提供)
- Dell Encryption驱动程序(取自网络上的设备,或由戴尔支持提供)
以管理员身份打开部署和映像工具环境。
然后运行批处理脚本。输入批处理文件会提供有关语法的信息。
语法是:
用法: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir -- 解压缩到目标的 Windows 10 ISO 文件的路径 DDPEDriversDir -- Dell Data Protection | Encryption 驱动程序目录的可选路径。如果未提供此参数,则从本地安装获取 Dell Data Protection | Encryption 驱动程序。
提醒:预计 .bat 文件和
RegistryFiles 文件夹处于同一位置。
该过程完成后,您最终会在先前提供该工具的解压的 ISO 目录中获得升级的 install.wim 文件。
安装文件现可随时使用。
提醒:
WSProbe -z 在运行 Windows 功能更新之前,不再需要在端点上运行。
从 8.18 及更高版本开始,Dell Encryption 将根据支持的操作系统版本的内部列表,自动检查正在安装的操作系统版本。如果未找到匹配项,功能更新将被阻止,登录的用户将收到通知:
这些阻止可以被覆盖,以允许使用不受支持的操作系统进行测试。注册表项支持此功能:
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value: <HighestSupportedBuildHere>
此示例将允许安装最高为 10.0.17300.1 的任何 Windows 10 内部版本。
HKLM\Software\Dell\Dell Data Protection\Encryption REG_SZ:SupportedWindows10Upgrade Value: <10.0.17300.1>
此功能依赖于Windows 10版本,以支持累积更新和功能更新支持的未来粒度。Windows Update 中会显示正在安装的功能更新的内部版本号:
在此示例中,“SupportedWindows10Upgrade”的值必须是“10.0.17686.1003”或更大。
提醒:将 Dell Encryption 与不受支持的 Windows 10 版本一起使用可能会导致产生不利影响,其中包括数据丢失。Dell Technologies 推荐仅在非生产设备上测试不受支持的功能更新,以检查应用程序兼容性。
8.10.0和更高版本
此升级方法通过 Dell Encryption 应用程序利用命令 (wsprobe -z),这将修改功能更新过程中加密密钥的解锁方式。利用此过程可使驱动器上的数据保持加密状态,而且将确保通用数据和用户密钥加密数据在升级过程中保持锁定状态,从而实现安全更新。
Windows 10现在通过Windows Update和各种其它来源提供功能更新。对于 8.10.1 及更高版本的客户端,Dell Encryption 支持使用功能更新来更新 Windows,从而允许 Dell Encryption 保持安装状态,并使文件在整个 Windows 功能更新过程中保持加密状态。概述的方法通过 Windows Update、独立介质或部署模型进行操作。
Windows Update将通过典型的更新交付方法进行操作系统升级。
独立介质包含从 Microsoft 下载的 Windows 功能更新安装介质。
部署模型说明如何通过各种提供受管操作系统升级的部署工具准备升级。
Windows 10升级必须从未加密的目录运行。由于 USER 或 COMMON 加密在 Windows 10 升级过程中未解锁,从 USER 或 COMMON 加密的目录运行升级时,即使正确执行 Dell Encryption Windows 10 升级,升级也会失败。
基于此要求,戴尔建议在适用于 Windows 功能更新的 Dell Encryption 策略中添加以下排除项。这些应添加到固定磁盘排除项(适用于 SDE 密钥)和常规加密排除项(通用/用户)中:
-^%ENV:SYSTEMDRIVE%\$WINDOWS.~BT -^%ENV:SYSTEMDRIVE%\_SMSTaskSequence -^%ENV:SYSTEMDRIVE%\$GetCurrent\ -^%ENV:SYSTEMDRIVE%\$SysReset\ -^%ENV:SYSTEMDRIVE%\$Windows.~WS\ -^%ENV:SYSTEMDRIVE%\$Hyper-v.tmp\ -^%ENV:SYSTEMDRIVE%\Windows\SoftwareDistribution\ -^%ENV:SYSTEMDRIVE%\Windows10Upgrade\
通过 SCCM 和其它第三方管理应用程序推送的功能更新需要:
-^%ENV:SYSTEMDRIVE%\Windows\ccmcache -^%ENV:SYSTEMDRIVE%\Windows\TEMP\BootImages -^%ENV:SYSTEMDRIVE%\Windows\Security\database\;chk.edb.jrs.log.sdb -^%ENV:SYSTEMDRIVE%\_SMSTSVolumeID.7159644d-f741-45d5-ab29-0ad8aa4771ca
通过 Windows Update 获取功能更新的步骤如下所示。
您可能会遇到一个故障,指示需要先卸载Dell Encryption才能继续。
关闭此屏幕,运行 WSProbe -z (从命令提示符以管理员身份运行),然后再次尝试更新。
提醒:如果在下次尝试更新之前重新启动,则必须再次运行
WSProbe -z (从管理命令提示符运行)。
更新提示声称更多的准备项目已在后台运行。
可在Windows 10的新Settings(设置)菜单中检查更新状态。
要使用“设置”菜单访问更新项目,请执行以下操作:
- 单击“开始”按钮,然后单击设置。
- 在“设置”中,单击更新和安全。
- 准备就绪后,“更新和安全”部分会显示已安排重新启动。重新启动将开始更新过程。
- 升级完成,在登录期间,Windows 指示个人计算机已更新,您的所有数据都在同一位置。
您可以通过在命令提示符下或 PowerShell 中运行命令“winver”,检查 windows 的版本,来验证是否已正确安装 Windows 的新版本。
提醒:一些运行 Dell Data Protection | Encryption 版本 8.10.1 或 8.11.0 的设备必须在 中更新其 SetupConfig.ini 文件
添加标题使其:
此文件适用于所有本地更新,并自动将
C:\Users\Default\AppData\Local\Microsoft\Windows\WSUS。当前文件缺少标题 [SetupConfig]。我们显示:
添加标题使其:
此文件适用于所有本地更新,并自动将
reflectdrivers 命令传递到通过 Windows Update 到来的 Windows 功能更新。已在产品内部进行更改,从8.12.0开始不再需要手动更改。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
提醒:此过程需要 Dell Encryption 客户端 8.10.1 或更高版本。
插入介质之前,运行 WSProbe -z (从命令提示符以管理员身份运行)。这将为升级过程准备加密数据(不进行解密)。
提醒:如果在下次尝试更新之前重新启动,则必须再次运行
WSProbe -z (从管理命令提示符运行)。
将此介质插入运行较早版本的 Microsoft Windows 的计算机时,将出现升级提示。
关闭此提示,因为必须使用特定命令运行升级。
打开管理命令提示符(或利用为 WSProbe -z 功能打开的命令提示符)。
转至包含 Windows 功能更新介质的驱动器盘符。在此示例中,D:是Windows功能更新介质的驱动器。
使用此命令运行setup.exe以注入Dell Encryption驱动程序:
Setup.exe /reflectdrivers "C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers"
提醒:此文件夹仅存在于 8.10.1 及更高版本的 Dell Encryption 中。在 8.18.0 及更高版本中,此文件夹
C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers" 在默认情况下为 "。
此命令会启动 Windows 功能更新过程。按照提示进行操作,无需执行其他步骤。
Microsoft 提供将 Windows 功能更新作为 ISO 文件下载以便用于升级和部署的能力。在此处获取下载:https://support.microsoft.com/en-us/help/12387/windows-10-update-history
要为部署准备 Windows 功能更新,大多数环境都必须利用 install.wim 文件。由于 Dell Encryption 支持 Windows 功能更新路径方式的性质,我们必须将驱动程序和必要的注册表文件注入安装介质。
要完成此操作,需要 Windows 10 应用程序开发工具包 (ADK)。您可以在此处找到最新版本:https://developer.microsoft.com/en-us/windows/hardware/windows-assessment-deployment-kit
您需要批处理文件和相应的注册表项,它们无法从外部链接供客户下载。您可以通过拨打支持热线电话从支持部门那里获得这些东西:877.459.7304,分机号:4310039,对于美国境外的支持,请参考 ProSupport 的国际联系号码列表。此批处理文件采用扩展的 Windows 功能更新 ISO(上面下载的),并将驱动程序和注册表文件注入升级 ISO 内的 install.wim 和 WinRE.wim 文件。
要为您的升级介质查找相应的驱动程序,我们必须从运行 8.10.1 或更高版本的设备获取适合相应操作系统位速率(32 位或 64 位)的驱动程序。这些可在 中找到 C:\ProgramData\Dell\Dell Data Protection\Encryption\DDPEDrivers\。在 8.18.0 及更高版本中,此文件夹已更改为“C:\Windows\System32\Update\Run\B67DD994-EDF9-4D19-8A1C-88B12D796657\ReflectDrivers”。
- 批处理脚本(由戴尔支持提供)
- Windows功能更新安装程序(由Microsoft提供)解压缩的ISO
- 注册表项(与脚本一起由戴尔支持提供)
- Dell Encryption驱动程序(取自网络上的设备,或由戴尔支持提供)
要生成介质:
- 以管理员身份打开部署和映像工具环境。
- 运行批处理脚本。输入批处理文件会提供有关语法的信息。
语法是:
用法: Build-FFE-Integrated-Dell-Image "Win10UpgradeDir" "DDPEDriversDir"
其中:
Win10UpgradeDir -- 解压缩到目标的Windows 10 ISO 文件的路径。DDPEDriversDir -- DDP|E 驱动程序目录的可选路径(如果未提供此参数,则从本地安装获取 Dell Data Protection | Encryption 驱动程序)。
提醒:预计
.bat 文件和 RegistryFiles 文件夹处于同一位置。
该过程完成后,您最终会在先前提供该工具的解压的 ISO 目录中获得升级的 install.wim 文件。
安装文件现可随时使用。
提醒:
Wsprobe -z 此方法仍需要 ,因为该命令会解锁密钥材料,使升级过程能够采用现在加载到安装介质的驱动程序。
8.9.1到8.16.2版本
这种方法将在后台解密驱动器,以便过渡到最新的功能更新。如果“8.18.0 及更高版本”的解决方案以及“8.10.1 及更高版本”的选项无法提供所需结果,则应将这用作最终选项。
- 以管理员身份在与
WSProbe.exe文件相同的位置打开命令提示符,并输入适用命令:- 要允许 Windows 10 升级模式针对 Dell Encryption Personal(以前称为 Dell Data Protection | Personal Edition)的密钥包文件进行身份验证,您必须先使用以下命令,这是升级准备的一部分(
LSARecovery在 Dell Encryption Personal 资源调配过程中备份的 文件):WSProbe -E -B "backup_file_path" "password"
- 要允许 Windows 10 升级模式针对 Dell Encryption Personal(以前称为 Dell Data Protection | Personal Edition)的密钥包文件进行身份验证,您必须先使用以下命令,这是升级准备的一部分(
提醒:对于 Dell Encryption Personal 计算机,如果解密无法启动,则您必须将
LSARecovery 文件复制到 C:\Program Files\Dell\Dell Data Protection\Encryption\ ,然后从该位置选择 LSARecovery 文件。戴尔正在研究这一点以确保尽可能提供最佳体验。
要检查准备过程的进度,可运行。 WSProbe –E
- 显示以下消息时表明计算机已准备好升级:“Preparation complete.Run Windows Upgrade now.”(准备已完成。请立即运行 Windows 升级。)
- 如果系统提示重启,则重新启动计算机。
- 运行 Windows 升级。
- 重新启动计算机。
- 升级完成后,打开命令提示符并输入:
WSProbe -R提醒:该WSProbe -R命令可恢复 Encryption 客户端的正常功能,并在成功升级计算机后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
- 如果系统提示重启,则重新启动计算机。
要检查准备过程的进度,可运行。 WSProbe –E
- 如果未显示以下消息:“Preparation complete.Please run Windows Upgrade now”。(准备已完成。请立即运行 Windows 升级。)
- 请按照列出的提示进行操作。
- 再次运行
WSProbe,直到显示运行 Windows 升级的提示:WSProbe -E
- 运行 Windows 升级。
- 如果系统提示重启,则重新启动计算机。
- 升级完成后,打开命令提示符并输入:
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要检查准备过程的进度,可运行: WSProbe –E
提醒:该
WSProbe -R 命令可恢复 Encryption 客户端的正常功能,并在成功升级计算机后运行。它还可用于在执行升级前回滚到正常的Encryption客户端功能。
要检查准备过程的进度,可运行 WSProbe –E
以管理员身份在与 WSProbe.exe 文件相同的位置打开命令提示符,并输入适用命令:
- 这允许 Windows 10 升级模式导入预先存在的密钥包文件(可从 Dell Security Management Server [以前称为 Dell Data Protection | Enterprise Edition] 下载)并针对该密钥包文件进行身份验证:
WSProbe -E -I "import_file_path" "password"
- 联系 Dell Security Management Server 或 Dell Security Management Virtual Server(前称 Dell Data Protection | Virtual Edition),它会传输用于验证正确的密钥材料是否存在的密钥捆绑:
WSProbe -E -S "forensics_admin_name" "password"
- 要检查准备过程的进度,可运行:
WSProbe -E
- 当显示以下消息时,计算机已准备好升级:“Preparation complete.Please run Windows Upgrade now”。(准备已完成。请立即运行 Windows 升级。)
- 如果系统提示重启,则重新启动计算机。
- 运行 Windows 升级。
- 重新启动计算机。
- 升级完成后,打开命令提示符并输入:
WSProbe -R
- 如果系统提示重启,则重新启动计算机。
如果Preparation complete.Please run Windows Upgrade now(准备已完成。请立即运行 Windows 升级)消息未显示,请按照以下步骤操作:
- 请按照列出的提示进行操作。
- 再次运行
WSProbe,直到显示运行 Windows 升级的提示:WSProbe -E
- 运行 Windows 升级。
- 如果系统提示重启,则重新启动计算机。
- 升级完成后,打开命令提示符并输入:
WSProbe -R
对于未解密的文件,此方法可能会遇到问题。要避免这种情况,我们应自动创建以下项的注册表项:
HKLM\Software\Credant\DecryptAgent\ DWORD: MaxBytesReboot Value: 0
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000125419
Article Type: How To
Last Modified: 23 Jul 2024
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.