ユーザー ガイド HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft および Windows は、米国 Microsoft Corporation の米国およびその他の国におけ る商標または登録商標です。 本書で取り扱っているコンピューター ソフ トウェアは秘密情報であり、その保有、使 用、または複製には、HP から使用許諾を得 る必要があります。FAR 12.211 および 12.
管理者が入力する構文の例 ユーザー インターフェイスに入力する必要があるテキストは固定幅フォントで示されます。 表 -1 管理者が入力する構文の例 番号 説明 括弧や波括弧のないテキスト 示されているとおりに入力する必要がある項目 <山括弧内のテキスト> 値を入力する必要があるプレースホルダー。括弧は付けないでくだ さい [角括弧内のテキスト] オプションの項目。括弧は付けないでください {波括弧内のテキスト} 1 つだけを選択する必要がある項目のセット。波括弧は入力しないで ください | 1 つだけを選択する必要がある項目の区切り文字。縦線は入力しない でください ...
iv 管理者が入力する構文の例
目次 1 はじめに ...................................................................................................................................................... 1 ネットワーク経由の復元の実行 ........................................................................................................................ 1 ローカル ドライブからの復元の実行 ............................................................................................................... 2 2 企業用イメージの作成 ..................................................................
vi
1 はじめに [HP Sure Recover]は、最小限の操作で、オペレーティング システムをネットワークから安全にインス トールすることを可能にします。また、[Embedded Reimaging](埋め込み再イメージ)機能を搭載し た[HP Sure Recover]を備えるシステムでは、ローカル ストレージ デバイスからのインストールもサ ポートされています。 重要:[HP Sure Recover]を使用する前にデータをバックアップしてください。イメージングの過程でド ライブが再フォーマットされるため、データ損失が発生します。 HP が提供するリカバリ イメージには、基本的な Windows® 10 インストーラーが含まれています。必 要に応じて、[HP Sure Recover]を使用して HP デバイス用に最適化されたドライバーをインストールで きます。HP のリカバリ イメージには、OneDrive のように Windows 10 に含まれているデータ リカバリ エージェントのみが含まれています。企業では独自のカスタム イメージを作成して、企業設定、アプ リケーション、ドライバー、およびデー
ローカル ドライブからの復元の実行 クライアント システムが[Embedded Reimaging]機能をサポートしており、適用されているポリシーで スケジュールに従ってイメージをダウンロードするオプションが有効になっている場合は、スケ ジュールされた時刻にイメージがクライアント システムにダウンロードされます。イメージがクラ イアント システムにダウンロードされた後、そのイメージを再起動し、[Embedded Reimaging]スト レージ デバイスにコピーします。 [Embedded Reimaging]ストレージ デバイスのイメージを使用してローカルからの復元を実行するに は、以下の操作を行います。 1. クライアント システムを再起動し、HP のロゴが表示されたら、f11 キーを押します。 2.
2 企業用イメージの作成 ほとんどの企業では、[Microsoft® Deployment Tool]、[Windows 10 Assessment and Deployment Kit]、また はその両方を使用して、Windows イメージング(WIM)ファイル形式のアーカイブにイメージを含む ファイルを作成しています。 要件 ● [Windows 10 Assessment and Deployment Kit](Windows ADK)の最新バージョン ● PowerShell ● OpenSSL(または RSA 秘密キー/公開キー ペアを生成するためのその他のソリューション) ユーザーが作成しホストする企業用イメージの整合性を確保するための RSA キー ペアを生成す るために使用します。 ● [Microsoft Internet Information Services](IIS)などのサーバー ホスト ソリューション イメージの作成 イメージの作成プロセスを開始する前に、以下の手順で示すように、イメージの処理に備えて必要な ツールをインストールした作業用システムまたはビルド用
(オプション)[HP Sure Recover]には、元々工場出荷時の HP ターゲット システム用にライセンス されていた Windows エディションに基づき、マルチインデックス イメージから特定のエディ ションを復元する機能が含まれています。このしくみは、インデックスが正しく名付けられてい る場合に機能します。お使いの Windows インストール イメージが HP OSDVD(オペレーティング システム DVD)イメージから取得されている場合、マルチエディション イメージが存在する可能 性があります。マルチエディションの動作を希望せず、1 つの特定のエディションをすべての ターゲット システムで使用する場合は、インストール イメージに存在するインデックスが 1 つ のみであることを確認する必要があります。 4. インストール イメージの内容を確認するには、以下のコマンドを使用します。 dism /Get-ImageInfo /ImageFile:C:\staging\.
注記:インデックスが 1 つのみである場合、名前に関係なく、イメージが復元に使用されます。 イメージ ファイルのサイズが削除前よりも大きくなる場合があります。 5. マルチエディションの動作を希望しない場合は、不要な各インデックスを削除します。 以下の例のように、Professional エディションのみを使用する場合は(すべてのターゲット シス テムがライセンスされていると仮定して)、インデックス 5、4、2、および 1 を削除します。イ ンデックスを削除するたびに、インデックス番号が再割り当てされます。したがって、最も大き いインデックス番号から最も小さいインデックス番号へと順番に削除する必要があります。そ れぞれの削除後に Get-ImageInfo を実行し、次に削除するインデックスを目で見て確認しま す。 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:5 dism /Delete-Image /ImageFile:C:\staging\my-image.
例 2:参照システムに基づくイメージの作成 1. ブート可能な USB WinPE メディアを作成します。 注記:イメージを取得するためのその他の方法については、ADK のドキュメントを参照してくだ さい。 USB ドライブに、参照システムから取得したイメージを保持するための十分な空き領域があるこ とを確認します。 2. 参照システムにイメージを作成します。 3. USB WinPE メディアを使用して参照システムを起動し、イメージを取得してから、DISM を使用し ます。 注記:は、USB ドライブを指します。正しいドライブ レターに置き換えてください。 ファイル名の「my-image」の部分および必要に応じての説明を編集します。 dism /Capture-Image /ImageFile:<\my-image>.wim /CaptureDir:C:\ / Name: 4. 以下のコマンドを使用して、USB から作業用システムのステージング領域にイメージをコピーし ます。 robocopy \ C:\staging
マニフェストの作成 マニフェスト ファイルの形式を、バイト オーダー マーク(BOM)なしの UTF-8 にします。 以下の手順で使用されているマニフェスト ファイル名(custom.mft)は変更可能ですが、拡張子.mft および.sig を変更することはできません。また、マニフェストとシグネチャ ファイルのファイル名の 部分が一致している必要があります。たとえば、custom.mft および custom.sig というペアを、 myimage.mft および myimage.sig に変更することができます。 mft_version は、イメージ ファイルの形式を確認するために使用され、現在 1 に設定されている必 要があります。 image_version は、新しいバージョンのイメージが使用可能かどうかを確認し、古いバージョンが インストールされないようにするために使用されます。 どちらの値も符号なし 16 ビット整数である必要があります。また、マニフェストのライン セパレー ターは「\r\n」(CR + LF)であることが必須です。 マニフェストの生成 分割イメージに複数のファイルが含まれている
Write-Progress -Activity "Generating manifest" ` -Status "$current of $total ($_)" ` -PercentComplete ($current / $total * 100) $hashObject = Get-FileHash -Algorithm SHA256 -Path $_.FullName $fileHash = $hashObject.Hash.ToLower() $filePath = $hashObject.Path.Replace($pathToManifest + '\', '') $fileSize = (Get-Item $_.FullName).
マニフェスト シグネチャの生成 [HP Sure Recover]では、暗号化シグネチャを使用してエージェントとイメージを検証します。以下の例 では、X.509 PEM 形式(.PEM 拡張子)の秘密キー/公開キー ペアを使用しています。必要に応じて、 DER バイナリ証明書(.CER または.CRT 拡張子)、BASE-64 でエンコードされた PEM 証明書(.CER また は.CRT 拡張子)、または PKCS1 PEM ファイル(.PEM 拡張子)を使用するようにコマンドを調整しま す。また、この例では、ビッグ エンディアン形式でシグネチャを生成する OpenSSL も使用していま す。任意のユーティリティを使用してマニフェストに署名することもできますが、一部の BIOS バー ジョンではリトル エンディアン形式のシグネチャのみがサポートされています。 1. 以下のコマンドを使用して、2048 ビットの RSA 秘密キーを生成します。2048 ビットの RSA 秘密 キー/公開キー ペアが PEM 形式の場合は、それらを C:\staging にコピーしてから手順 3 に進みま す。 openssl
注記:IIS をホスト ソリューションとして使用している場合は、すべて「application/octet-stream:」と して構成された以下の拡張子が MIME エントリに含まれるように設定する必要があります。 ● .mft ● .sig ● .swm ● .wim ターゲット システムのプロビジョニング [HP Client Management Script Library]、[HP Client Security Manager](CSM)/[HP Sure Recover]、または [Manageability Integration Kit](MIK) (https://www.hp.com/go/clientmanagement/ (英語サイト))を使 用して、ターゲット システムをプロビジョニングできます。 このプロビジョニングのため、以下の情報を提供します。 1. 前のセクションでホストしたマニフェスト ファイルの URL アドレス(http://your_server.domain/ path/custom.mft) 2.
3 企業のファイアウォール内での[HP Sure Recover]エージェントの使用 [HP Sure Recover]エージェントは、企業のイントラネット上でホストできます。[HP Sure Recover]の SoftPaq をインストールした後、[HP Sure Recover]エージェント ディレクトリから HTTP または FTP の 配布ポイントにエージェント ファイルをコピーします。次に、クライアント システムで、配布ポイン トの URL と、[HP Sure Recover]エージェントの SoftPaq とともに配布された HP 公開キー hpsr_agent_public_key.pem をプロビジョニングします。 [HP Sure Recover]エージェントのインストール 1. [HP Sure Recover]エージェントをダウンロードし、HTTP または FTP の配布ポイントにファイルを 展開します。 2. 配布ポイントに適切なファイル アクセス権を設定します。 3.
6. 企業の配布ポイントからカスタム リカバリ エージェントまたは HP リカバリ エージェントを使 用するには、[Recovery Agent](リカバリ エージェント)セクションで[Corporation]オプション を選択します。IT 管理者によって提供された URL を[Agent Location URL](エージェントの場所 URL)エントリ ボックスに入力します。公開キー hpsr_agent_public_key.pem を[Agent Verification Key](エージェント検証キー)エントリ フィールドに入力します。 注記:BIOS では名前が recovery.mft である必要があるため、URL にエージェント マニフェストの ファイル名を含めないでください。 7. ポリシーがクライアント システムに適用された後、再起動します。 8.
4 [HP Client Management Script Library] (CMSL)の使用 [HP Client Management Script Library]では、PowerShell を使用して[HP Sure Recover]の設定を管理できま す。以下のスクリプトの例で、[HP Sure Recover]のプロビジョニング、状態の確認、設定の変更、およ びプロビジョニング解除の方法を示しています。 注記:一部のコマンドはこのガイドでの行の長さを超えていますが、1 行として入力する必要があり ます。 $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPSecurePlatformState try { Write-host 'Provisioning Endorsement Key' $p = New-HPSecurePlatformEndorsementKeyProvisioningPayload ` -EndorsementKeyPassword $ekpw `
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Get-HPSureRecoverState -all Get-HPSecurePlatformState } finally { Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
OpenSSL を使用したサンプル キーの生成 秘密キーは安全な場所に保管してください。公開キーは検証に使用され、プロビジョニング時に提供 されている必要があります。これらのキーは 2048 ビットの長さを持ち、0x10001 の指数を使用する 必要があります。例のサブジェクトを自社組織に関する情報に置き換えてください。 続行する前に、以下の環境変数を設定します。 set OPENSSL_CONF=\openssl.cnf # Create a self-signed root CA certificate for testing openssl req -sha256 -nodes -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt -subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.
このコマンドを使用して、イメージ マニフェストに署名できます。 openssl dgst -sha256 –sign os.key -out image.sig image.mft # Create an agent signing key openssl req -sha256 -nodes -newkey rsa:2048 -keyout re.key -out re.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in re.csr -CA ca.crt -CAkey ca.key CAcreateserial -out re.crt openssl pkcs12 -inkey re.key -in re.crt -export -out re.
A トラブルシューティング ドライブのパーティションの作成に失敗した SR_AED または SR_IMAGE パーティションが Bitlocker によって暗号化されている場合、ドライブのパー ティション設定に失敗することがあります。通常、これらのパーティションは gpt 属性を使用して作 成され、Bitlocker による暗号化は行われませんが、ユーザーがパーティションを削除して再作成した 場合、またはベア メタル ドライブ上で手動で作成した場合は、[HP Sure Recover]エージェントが削除 できず、ドライブのパーティション再設定を行うときにエラーが発生して終了します。ユーザーは diskpart を実行してボリュームを選択し、del vol override などのコマンドを発行することに よって、それらを手動で削除する必要があります。 ファームウェア監査ログ EFI 変数の情報は以下のとおりです。 ● GUID:{0xec8feb88, 0xb1d1, 0x4f0f, {0xab, 0x9f, 0x86, 0xcd, 0xb5, 0x3e, 0xa4, 0x45}} ● 名前:Os
HP Secure Platform Management(ソース ID = 84h) 表 A-1 HP Secure Platform Management イベント ID デバイス数 イベント数 説明 (すべて/ (すべて/ DaaS) DaaS) メモ 40 256/178 943/552 プラットフォーム OS 復元プロセス プラットフォームの復元が開 は、ファームウェアによって開始され 始されました ました 41 221/147 588/332 プラットフォーム OS 復元プロセスが 正常に完了しました プラットフォームの復元が完 了しました 42 54/42 252/156 プラットフォーム OS 復元プロセスが 正常に完了しませんでした プラットフォームの復元に失 敗しました HP の Web サイト、http://www.hp.
timestamp_is_exact: 1 timestamp: 5/27/2019 2:55:41 PM description: The platform OS recovery process failed to complete successfully.
表 A-2 イベント固有コード (続き) イベントの説明 イベントコード UnableToReadConfigFile 0xC3FF4000 FailedToDetectWindowsPE 0xC3FF5000 HP Secure Platform Management(ソース ID = 84h) 21
