คม ่ ู อผ ื ้ ู ใช ้ HP Sure Recover
© Copyright 2020 HP Development Company, L.P. ่ื Microsoft และ Windows เป็ นเครองหมายการค้ าหร ือ ่ เครองหมายการค้ าจดทะเบ ียนของ Microsoft ื Corporation ในสหรัฐอเมร ิกาและ/หร ือในประเทศอื่นๆ ซอฟต ์แวรคอมพ ์ ิวเตอรลั์ บเฉพาะ ต้องได้รบ ั การอนุญาต ่ ูกตอ้ งจาก HP สำหรับการครอบครอง ใช ้ หร ือคั ดลอก ทีถ ตามระเบ ียบของ FAR มาตรา 12.211 และ 12.
คีย์รูปแบบคำสั่งที่ป้อนเข้าโดยผู้ใช้ ่ ณ ุ จะต้องป้ อนเข้าในอินเทอรเฟซผ จะม ีการระบขุ อ้ ความทีค ่ ค ี วามกว้างคงที่ ์ ้ ู ใช ้ตามแบบตัวอักษรทีม ตาราง -1 คีย์รูปแบบคำสั่งที่ป้อนเข้าโดยผู้ใช้ รายการ คำอธิบาย ข้อความทีไ่ ม่มวี งเล็บเหลีย่ มหรือวงเล็บปี กกา ่ ณต้องพ ิมพ ์ ให้ตรงตามทีปรากฏทุ ่ รายการทีคุ กประการ <ข้อความทีอ่ ยูใ่ นวงเล็บมุม> พื้นที่ที่สำรองไว้สำหรับค่าที่คุณต้องระบุ ไม่ตอ้ งใส ่วงเลบ็ เหลี่ยม [ข้อความทีอ่ ยูใ่ นวงเล็บสีเ่ หลีย่ ม] ่ นตั วเลือก ไม่ตอ้ งใส ่วงเลบ็ เหลี่ยม รายการทีเป็ {ข้อ
iv ่ ป้่ อนเข้าโดยผ ้ ู ใช ้ คียร์ ปู แบบคําสังที
สารบัญ ่ นใช้งาน .............................................................................................................................................. 1 1 การเริมต้ การดำเนินการกู้คืนระบบเครือข่าย ................................................................................................................................ 1 การดำเนินการกู้คืนไดรฟ์แบบโลคัล ...............................................................................................................................
vi
1 ่ิ ต้นใชง้ าน การเรม ุ สามารถติดตั ง้ ระบบปฏิบัตกิ ารจากเคร ือข่ายได้อย่างปลอดภั ย โดยที่ผู้ใช้แทบไม่ต้องดำเนินการ HP Sure Recover จะช่วยให้คณ ่ ิ ม ระบบที่ ใช ้ HP Sure Recover ร่วมกั บ Embedded Reimaging จะรองรับการติดตั ง้ จากอปุ กรณ ์จั ดเก ็บข้อมลู แบบ ใดๆ เพมเติ โลคั ลด้วย สิ่งสำคัญ: สำรองข้อมูลของคุณก่อนที่จะใช้ HP Sure Recover เนื่องจากกระบวนการสร ้างอิมเมจ จะทำการฟอร์แมตไดรฟ์ใหม่ ้ึ ู ียขอ้ มลู ขน จึงเกิดการสญเส ้ื อิมเมจการกคู้ น ด่ ู ว้ ย หร ืออีกทางหนึ่ง HP Sure Recover สามารถติด ื ที่ HP เตร
ระบบที่ ใช ้ Embedded Reimaging จะต้องกำหนดค่าการกำหนดเวลาดาวน์โหลด และใช ้เอเจนต ์การดาวน ์โหลดเพ่อตรวจสอบกา ื รอั ปเดต จะม ีการรวมเอเจนต ์การดาวน ์โหลดไว้ ใน HP Sure Recover Plug-in for HP Client Security Manager และยัง ู ่ https://www.hp.
2 การสร ้างอิมเมจของบรษ ิ ัท บร ิษั ทส ่วนใหญจ่ ะใช ้ Microsoft Deployment Tools, Windows 10 Assessment and Deployment kit หร ือทั ง้ สองอย่าง ใน ่ ีอิมเมจภายในอาร ์ ไคฟ์รปู แบบไฟล ์ Windows Imaging (WIM) การสร ้างไฟล ์ทีม ข้อกำหนด ● Windows 10 Assessment and Deployment Kit (Windows ADK) เวอรชั์ นล่าสดุ ● PowerShell ● OpenSSL (หร ือวิธ ีแก้ ไขปญหาอื่นๆ สำหรับการสร้างคู่คีย์ส่วนตัว/สาธารณะของ RSA) ่ ณ ุ สร ้างและโฮสต ์ ใช ้เพ่อสร ที่ ใช ้เพ่อรั ื ้างคค ่ ู ยี RSA ์ ื กษาความสมบรู ณ ์ของอิมเมจของบร ิษั
้ึ (ทางเลือก) ใน HP Sure Recover จะมีคุณลักษณะสำหรับกู้คืนรุ่นเฉพาะที่กำหนดจากอิมเมจแบบหลายดัชนี โดยขนอย ก่ ู ับ ุรน ่ ของ Windows ที่ได้รับใบอนุญาตดั้งเดิมสำหรับระบบเป้าหมายของ HP ในโรงงาน กลไกนี้จะทำงานหากมีการตั้งชื่อดัชนี ู อง หากอิมเมจการติดตั ง้ ของ Windows ของคณ ุ มาจากอิมเมจ OSDVD ของ HP แสดงว่าคณ ุ อาจม ีอิมเมจแบบ อย่างถกต้ ุ ุ ่ เฉพาะที่ หลายรน ่ หากคุณไม่ต้องการใช้งานลักษณะการทำงานนี้ และต้องการตรวจสอบให้แน่ ใจว่าม ีการใช ้งานเพ ียงรน กำหนดไว้รุ่นเดียว สำหรับระบบเป้าหมายทั้งหมดของคุณ คุณจะต้องตรว
ุ อาจใหญ่กว่า ญมายเญตุ: เม่อม ื ีเพ ียงดั ชนีเดียว จะใช ้อิมเมจดั งกล่าวในการกคู้ น ื โดยไม่สนใจช่อื ขนาดไฟล ์อิมเมจของคณ ขนาดไฟล ์ก่อนการลบ 5.
ตัวอยา่ งที่ 2: การสร ้างอิมเมจจากระบบอ้างอิง 1. ่ สร ้างม ีเดีย USB WinPE ทีสามารถใช ้ ในการบทู ระบบได้ ่ ิ มที่ ใช ้ ในการบั นทึกอิมเมจได้จากในเอกสาร ADK ญมายเญตุ: สามารถศ ึกษาวธิ ีการเพมเติ ตรวจสอบให้แน่ ใจว่าไดรฟ์ USB มีพื้นที่ว่างเพียงพอสำหรับการบันทึกอิมเมจจากระบบอ้างอิง 2. สร ้างอิมเมจบนระบบอ้างอิง 3.
่ื ค่าทั้งสองจะต้องเป็นจำนวนเต็ม 16 บ ิตแบบไม่ระบเุ ครองหมาย และใช ้ ‘\r\n’ (CR + LF) ในการคั ่นระหว่างบรรทั ดภายใน ไฟล์กำกับ การสร้างไฟล์กำกับ ่ ่ยวข้องกั บอิมเมจแยกของคณ ุ ให้ ใช ้สคร ิปต ์ powershell ในการสร้างไฟล์กำกับ เนื่องจากอาจม ีหลายไฟล ์ทีเกี ุ จะต้องอย ่ ู ในโฟลเดอร C:\staging ในการดำเนินการขั้นตอนที่เหลือทั้งหมด คณ ์ CD /D C:\staging 1. ่ สร ้างสคร ิปต ์ powershell โดยใช ้ตั วแก้ ไขทีสามารถสร ้างไฟล ์ข้อความในรปู แบบ UTF 8 without BOM ได้ โดยใช้คำสั่งต่อไป ้ นี: notepad C:\staging\generate-ma
$filePath = $hashObject.Path.Replace($pathToManifest + '\', '') $fileSize = (Get-Item $_.FullName).length $manifestContent = "$fileHash $filePath $fileSize" Out-File -Encoding utf8 -FilePath $mftFilename InputObject $manifestContent -Append $current = $current + 1 } ้ คำสั่งต่อไปนี้ จะเข ียนทั บไฟล ์ ในรปู แบบ ญมายเญตุ: ในไฟล์กำกับสำหรับ HP Sure Recover จะต้องไม่ม ี BOM ดั งนั น UTF8 without BOM $content = Get-Content $mftFilename $encoding = New-Object System.Text.UTF8Encoding $False [System.IO.
3. ้ ตอนที่ 1 โดยใช้คำ ุ จากขัน สร ้างไฟล ์ลายเซ ็น (โดยใช ้แฮช sha256-based) ตามคียส์ ่วนบุคคล RSA แบบ 2048-บ ิตของคณ ่ อไปนี้: สังต่ openssl dgst -sha256 -sign my-recovery-private.pem -out custom.sig custom.mft 4. ้ ตอนก่อนหน้า โดยใช้คำสั่งต่อไปนี้: ุ จากขัน ตรวจสอบไฟล ์ลายเซ ็น โดยใช ้คียสาธารณะของค ณ ์ openssl dgst -sha256 -verify my-recovery-public.pem -signature custom.sig custom.
การแก้ ไขปญญา หากคุณได้รับข้อความเกี่ยวกับกระบวนการกู้คืนแบบกำหนดเองไม่ผ่านการตรวจสอบการรักษาความปลอดภัย ให้ตรวจสอบราย ละเอียดต่อไปนี้: 10 1. ไฟล์กำกับต้องอยู่ในรูปแบบ UTF-8 without BOM 2. ตรวจสอบแฮชไฟล ์ 3. ตรวจสอบให้แน่ใจว่าได้ทำการจัดเตรียมระบบด้วยคีย์สาธารณะที่ตรงตามคีย์ส่วนบุคคล ซึ่งใช้ในการเซ็นชื่อไฟล์กำกับ 4. ประเภท mime ของเซ ิรฟเวอร IIS ์ ์ ต้องเป็ น application/octet-stream 5.
3 การ ใชง้ านเอเจนต ์ HP Sure Recover ภายใน ไฟร วอลล บ์ รษ ์ ิ ัท สามารถโฮสต ์เอเจนต ์ HP Sure Recover ไว้บนอินทราเน็ตบร ิษั ทได้ หลั งจากติดตั ง้ HP Sure Recover SoftPaq แล้ว ให้คัดลอก ้ ไฟล ์เอเจนต ์จากไดเรกทอร ีของเอเจนต ์ HP Sure Recover จากตำแหน่งที่ติดตั้ง ไปยังจดุ กระจายข้อมลู HTTP หร ือ FTP จากนั น ่ ่ จั ดเตร ียมระบบไคลเอนต ์ โดยใช ้ URL ของจดุ กระจายข้อมลู และคียสาธารณะของ HP ทีชอื ์ ่ึ hpsr_agent_public_key.
6. ในส ่วน เอเจนต์การกู้คืน ให้เลือกตั วเลือก บริษัท เพื่อใช้เอเจนต์การกู้คืนแบบกำหนดเอง หร ือเอเจนต ์การกคู้ น ื ของ HP จาก ่ ุ ู ู ู จดกระจายข้อมลของบร ิษั ท ป้ อน URL ที ได้จากผด้ แลระบบ IT ลงในช่อง URL ตำแหน่งเอเจนต์ ป้ อนคียสาธารณะ ์ hpsr_agent_public_key.pem ลงในช่อง คีย ์การตรวจสอบของเอเจนต์ ญมายเญตุ: ห้ามใส่ชื่อไฟล์สำหรับไฟล์กำกับเอเจนต์ลงใน URL เนื่องจาก BIOS กำหนดให้ต้องใช้ชื่อ recovery.mft 7. หลั งจากปรับใช ้นโยบายกั บระบบไคลเอนต ์แล้ว ให้ทำการรีสตาร์ท 8.
4 การ ใชง้ านพรอ้ ม HP Client Management Script Library (CMSL) ุ สามารถจั ดการการตั ง้ ค่าของ HP Sure Recover โดยใช ้ PowerShell ได้ HP Client Management Script Library ช่วยให้คณ สคร ิปต ์ตั วอย่างต่อไปนี้ จะสาธ ิตวิธ ีการจั ดเตร ียม กำหนดสถานะ เปลี่ยนแปลงการกำหนดค่า และยกเลิกการจั ดเตร ียม HP Sure Recover ญมายเญตุ: มีหลายคำสั่งที่มีความยาวเกินความยาวของบรรทัดในเอกสารคู่มือนี้ แต่ในการทำงานจริงจะต้องป้อนรวมไว้ใน บรรทั ดเดียว $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Ge
-EndorsementKeyFile "$path\kek.pfx" ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\
-SigningKeyFile "$path\sk.pfx" ` -OSImageFlags NetworkBasedRecovery ` -AgentFlags DRDVD $p | Set-HPSecurePlatformPayload Get-HPSureRecoverState -all Get-HPSecurePlatformState } finally { Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.
การสร า้ งคียต ์ ัวอยา่ งโดยใช้ OpenSSL ่ ้ จั ดเก็บคียส์ ่วนบุคคลไว้ ในทีปลอดภั ย จะม ีการใช ้คียสาธารณะในการตรวจสอบ และจะต้องป้ อนในระหว่างการจั ดเตร ียม คียเหล่ ์ ์ านีจะ ่ ่ ุ ต้องม ีความยาว 2048 บ ิต และใช ้เอ็กซ ์โพเนน 0x10001 แทนทีหั วข้อในตั วอย่างด้วยข้อมลู เกียวกับองค ์กรของคณ ตั ง้ ค่าตั วแปรสภาพแวดล้อมต่อไปนี้ ก่อนดำเนินการต่อ: set OPENSSL_CONF=\openssl.cnf # Create a self-signed root CA certificate for testing openssl req -sha256 -nodes -x509 -newkey rsa:2048 -keyout ca.key -out ca.
openssl x509 -req -sha256 -in os.csr -CA ca.crt -CAkey ca.key CAcreateserial -out os.crt openssl pkcs12 -inkey os.key -in os.crt -export -out os.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: คุณสามารถเซ็นชื่อไฟล์กำกับอิมเมจได้โดยใช้คำสั่งนี้: openssl dgst -sha256 –sign os.key -out image.sig image.mft # Create an agent signing key openssl req -sha256 -nodes -newkey rsa:2048 -keyout re.key -out re.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.
A การแก้ ไขปญญา การจัดพารต์ ิ ชน ั ไดรฟ์ล้มเญลว ่ ี ติ์ ชน ้ึ การจั ดพารติ์ ชน ทพาร ั ไดรฟ์ลม้ เหลวอาจเกิดขนในกรณี ั SR_AED หร ือ SR_IMAGE ได้รบ ั การเข้ารหั ส ไว้ดว้ ย Bitlocker โดย ่ ้ ้ ปกติแล้ว พารติ์ ชน ั เหล่านีจะได้รบ ั การสร ้างขนด้ ึ วยแอตทร ิบ ิวต ์ gpt ทีป้ องกันไม่ ให้ Bitlocker ทำการเข้ารหัส แต่หากผ ้ ู ใช ้ลบและ ้ สร ้างพารติ์ ชน ั ใหม่ หร ือสร ้างขนด้ ึ วยตั วเองบนไดรฟ์แบบ bare metal เอเจนต ์ Sure Recover จะไม่สามารถลบออกได้ และจะออก จากการทำงานพร้อมแสดงข้อผิดพลาดในขณะจัดพาร์ติชันไดรฟ์ดังกล
ตาราง A-1 HP Secure Platform Management (ต่อ) ID เญตุการณ์ จํานวนอุปกรณ์ (ทั้งญมด/DaaS) จํานวนเญตุการณ์ (ทั้งญมด/DaaS) คํ าอธิบาย ญมายเญตุ 41 221/147 588/332 กระบวนการกคู้ น ื แพลตฟอรม์ OS เสร ็จสมบรู ณ ์ แล้ว การกคู้ น ื แพลตฟอรมเสร ์ ็จสมบรู ณ ์ แล้ว 42 54/42 252/156 กระบวนการกคู้ น ื แพลตฟอรม์ OS ไม่เสร ็จ สมบูรณ ์ การกคู้ น ื แพลตฟอรมล้ ์ มเหลว ุ สามารถเร ียกใช ้งานข้อมลู บั นทึกเหตกุ ารณ ์การตรวจสอบเฟิ รมแวร คณ ์ ์ ได้ โดยใช ้ Get-HPFirmwareAuditLog ใน HP Client ่ ่ Management Script Lib
timestamp: 5/27/2019 2:55:41 PM description: The platform OS recovery process failed to complete successfully.
ตาราง A-2 รญัสระบุเญตุการณ์ (ต่อ) คํ าอธิบายเญตุการณ์ รญัสเญตุการณ์ SureRecoverJsonParsingFailed 0xC3FF2000 RebootRequestFailed 0xC3FF3000 UnableToReadConfigFile 0xC3FF4000 FailedToDetectWindowsPE 0xC3FF5000 HP Secure Platform Management (ID ต้นทาง = 84h) 21
