用户指南 HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft 和 Windows 是 Microsoft Corporation 在美国和/或其他国家/地区 的注册商标或商标。 保密的计算机软件。 需要有 HP 颁发的 有效许可证才能拥有、使用或复制。 按 照 FAR 12.211 和 12.
用户输入语法键 必须输入用户界面的文本以固定宽度字体表示。 表 -1 用户输入语法键 项目 说明 无括号或大括号的文本 您必须按照所示内容准确键入的项目 <尖括号内的文本> 您必须提供的值的占位符;忽略括号 [方括号内的文本] 可选项目;忽略括号 {大括号内的文本} 一组项目,您只能从中选择一个;忽略大括号 | 分隔符,用于分隔多个项目,而您只能从中选择一个项目;忽略竖线 ...
iv 用户输入语法键
目录 1 使用入门 ...................................................................................................................................................... 1 执行网络恢复 ........................................................................................................................................................ 1 执行本地驱动器恢复 ............................................................................................................................................ 1 2 创建公司映像 .........................
vi
1 使用入门 HP Sure Recover 可帮助您通过网络安全地安装操作系统,最大程度地减少用户交互。具有 HP Sure Recover with Embedded Reimaging 的系统还支持从本地存储设备进行安装。 切记:在使用 HP Sure Recover 之前,请备份您的数据。因为映像进程会重新格式化驱动器,所以会发 生数据丢失。 HP 提供的恢复映像包括基本的 Windows 10® 安装程序。HP Sure Recover 可选择性地为 HP 设备安装优化 驱动程序。HP 恢复映像仅包含 Windows 10 附带的数据恢复代理(比如 OneDrive)。公司可以创建自己 的自定义映像,以添加公司设置、应用程序、驱动程序和数据恢复代理。 操作系统 (OS) 恢复代理可执行安装恢复映像所必需的步骤。HP 提供的恢复代理可以执行常用步骤,比 如分区、格式化以及将恢复映像提取至目标设备。由于 HP 恢复代理位于 hp.
2 创建公司映像 大多数公司使用 Microsoft 部署工具、Windows 10 评估和部署工具包或者同时使用两者,在 Windows Imaging (WIM) 文件格式存档中生成包含映像的文件。 要求 ● Windows 10 评估和部署工具包 (Windows ADK) 的最新版本 ● PowerShell ● OpenSSL(或其他用于生成 RSA 私人密钥/公共密钥对的解决方案) 用于生成 RSA 密钥对,以保护您创建和托管的公司映像的完整性。 ● 服务器托管解决方案(例如 Microsoft Internet 信息服务[IIS]) 创建映像 在启动映像创建进程之前,请按照如下步骤所示,对工作系统进行设置,或构建已安装所需工具的系 统,从而为处理映像做好准备: 1. 以管理员身份打开 Deployment and Imaging Tools Environment 命令提示符(与 Windows ADK 的部署工具一起安装)。 2. 使用以下命令,为您的映像创建临时区域: mkdir C:\staging 3.
4. 使用以下命令,检查安装映像的内容: dism /Get-ImageInfo /ImageFile:C:\staging\.wim 下面显示了来自支持五个版本(要根据每个目标系统的 BIOS 进行匹配)的安装映像的示例输出: 映像详细信息:my-image.wim 索引:1 名称:CoreSingleLanguage 描述:Windows 10 May 2019 Update – Home Single Language Edition 大小:19,512,500,682 bytes 索引:2 名称:Core 描述:Windows 10 May 2019 Update – Home edition 大小:19,512,500,682 bytes 索引:3 名称:Professional 描述:Windows 10 May 2019 Update- Professional Update 大小:19.
dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:2 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:1 仅选择该版本的一个索引(此示例中为专业版)。只有一个索引时,映像将用于恢复,无论其名 称是什么。请注意,由于 WIM 元数据修改和内容规范化工作的方式,映像文件可能会比删除之前 更大。 6. (可选)如果要在公司恢复映像中包含驱动程序,请按照下述步骤操作: a. 使用以下命令,将映像安装到空文件夹中: mkdir C:\staging\mount dism /Mount-Wim /WimFile:C:\staging\my-image.wim /MountDir:C: \staging\mount /Index:1 b. 为支持的目标系统安装相应的 HP Windows 10 驱动程序 DVD (DRDVD)。使用以下命令,将驱动 程序子文件夹从已安装的驱动程序介质复制到临时区域: robocopy /E \SWSETUP\DRV C:\stag
您应可获得以下映像文件:C:\staging\my-image.wim。 5. 转至第 5 页的拆分映像。 拆分映像 HP 建议您使用以下命令,将映像拆分成较小的文件,以提高网络下载的可靠性: dism /Split-Image /ImageFile:C:\staging\.wim /SwmFile:C:\staging \.swm /FileSize:64 注:所示的 FileSize 单位为兆字节。可在必要时进行编辑。 注:由于 DISM 拆分算法的性质,生成的 SWM 文件可能小于或大于指定的文件大小。 创建清单 将清单文件的格式设置为不带字节顺序标记 (BOM) 的 UTF-8。 您可以更改在以下程序中使用的清单文件名 (custom.mft),但不得更改扩展名 .mft 和 .sig,而且清单文 件和签名文件的文件名部分必须匹配。例如,您可以将二者的配对 (custom.mft, custom.sig) 更改为 (myimage.mft, myimage.
$total = $swmFiles.count $current = 1 $swmFiles | Sort-Object $ToNatural | ForEach-Object { Write-Progress -Activity "Generating manifest" ` -Status "$current of $total ($_)" ` -PercentComplete ($current / $total * 100) $hashObject = Get-FileHash -Algorithm SHA256 -Path $_.FullName $fileHash = $hashObject.Hash.ToLower() $filePath = $hashObject.Path.Replace($pathToManifest + '\', '') $fileSize = (Get-Item $_.FullName).
1. 使用以下命令,生成一个 2048 位的 RSA 私人密钥。如果您具有 pem 格式的 2048 位 RSA 私人密 钥/公共密钥对,请将其复制到 C:\staging,然后跳到步骤 3。 openssl genrsa -out my-recovery-private.pem 2048 2. 使用以下命令,从私人密钥生成公共密钥(如果有对应于私人密钥的 PEM 格式公共密钥,请将其 复制到 C:\staging): openssl rsa -in my-recovery-private.pem -pubout -out my-recoverypublic.pem 3. 使用以下命令,根据步骤 1 的 2048 位 RSA 私人密钥,创建一个签名文件(使用基于 sha256 的哈 希): openssl dgst -sha256 -sign my-recovery-private.pem -out custom.sig custom.mft 4.
提供此配置的以下信息: 1. 上一部分中托管的清单文件的 URL 地址 (http://your_server.domain/path/custom.mft) 2. 用于验证先前创建的签名文件的公共密钥(例如 C:\staging\my-recovery-public.pem)。 故障排除 如果收到有关自定义恢复进程安全验证失败的消息,请检查以下内容: 8 1. 清单必须是不带 BOM 的 UTF-8。 2. 检查文件哈希。 3. 确保系统已配置公共密钥,而且该公共密钥与用来对清单进行签名的私人密钥相对应。 4. IIS 服务器 mime 类型必须是 application/octet-stream。 5.
3 在公司防火墙内使用 HP Sure Recover 代理 HP Sure Recover 代理可托管在企业 Intranet 中。安装 HP Sure Recover SoftPaq 之后,将 HP Sure Recover 代理目录中的代理文件,从安装位置复制到 HTTP 或 FTP 分发点。然后,使用分发点的 URL 和名为 hpsr_agent_public_key.pem 的 HP 公共密钥,对客户端系统进行配置,该公共密钥与 HP Sure Recover 代理 SoftPaq 一起分发。 安装 HP Sure Recover 代理 1. 下载 HP Sure Recover 代理,然后将文件提取到 HTTP 或 FTP 分发点。 2. 在分发点,设置适当的文件权限。 3. 如果您使用 Internet 信息服务 (IIS),请针对以下文件格式,创建“application/octet-stream”的 MIME 类型: ● . ● .wim ● .swm ● .mft ● .sig ● .efi ● .
7. 将策略应用到客户端系统后,重新启动该系统。 8. 初始配置期间,系统会提示您输入 4 位安全代码,以完成 HP Sure Recover 激活。有关更多详细信 息,请访问 hp.
4 使用 HP Client Management Script Library (CMSL) HP Client Management Script Library 允许您使用 PowerShell 管理 HP Sure Recover 设置。下面的示例脚本 演示了如何配置、确定状态、更改配置和取消配置 HP Sure Recover。 注:有几个命令超出了本指南的行长度,但必须以单行形式输入。 $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPSecurePlatformState try { Write-host 'Provisioning Endorsement Key' $p = New-HPSecurePlatformEndorsementKeyProvisioningPayload ` -EndorsementKeyPassword $ekpw ` -EndorsementKeyFile "$path\kek.
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Get-HPSecurePlatformState } finally { Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
# Create a key endorsement certificate openssl req -sha256 -nodes -newkey rsa:2048 -keyout kek.key -out kek.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Create a command signing key openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.
openssl dgst -sha256 –sign re.key -out agent.sig agent.
A 故障排除 驱动器分区失败 如果使用 Bitlocker 对 SR_AED 或 SR_IMAGE 分区进行加密,则可能发生驱动器分区失败的情况。这些分 区通常使用 gpt 属性创建,该属性可以防止 Bitlocker 对分区进行加密,但如果用户在删除分区后重新创 建分区,或者在裸机驱动器上手动创建分区,那么 Sure Recover 代理将无法删除这些分区,而且会在对 驱动器重新分区时退出并显示出错。用户必须通过运行 diskpart、选择卷、然后发出 del vol 覆盖命 令或类似命令,来手动删除这些分区。 固件审核日志 EFI 变量信息如下: ● GUID:{0xec8feb88, 0xb1d1, 0x4f0f, {0xab, 0x9f, 0x86, 0xcd, 0xb5, 0x3e, 0xa4, 0x45}} ● 名称:OsRecoveryInfoLog Windows 下存在用于读取 EFI 变量的 API,或者您可以使用 UEFI Shell dmpstore 实用程序将变量内容转储 到文件中。 您可以使用 HP Client Management Script Library 提
和 42,可在数据字段中返回事件特定代码,以指示 Sure Recover 操作的结果。例如,以下日志条目表 示 Sure Recover 未能下载清单或签名文件,并显示错误 event_id 42 和数据:00:30:f1:c3,这应解释为 dword value 0xC3F13000 = MftOrSigDownloadFailed。 message_number: 0 severity: Info system_state_at_event: S0 source_id: HP Secure Platform Management event_id: 42 timestamp_is_exact: 1 timestamp: 5/27/2019 2:44:18 PM description: The platform OS recovery process failed to complete successfully.
表 A-2 事件特定代码 (续) 18 事件描述 事件代码 AwsDownloadUnattendedFailed 0xC3F16000 UnableToConnectToNetwork 0xC3F17000 CatalogNotAuthenticated 0xC3F21000 FtpHttpDownloadHashFailed 0xC3F22000 ManifestDoesNotAuthenticate 0xC3F23000 CatalogVersionMismatch 0xC3F31000 CatalogLoadFailed 0xC3F32000 OsDvdDidNotResolvedToOneComponent 0xC3F33000 DriversDvdDidNotResolvedToOneComponent 0xC3F34000 ManifestFileEmptyOrInvalid 0xC3F41000 ListedFileInManifestNotFound 0xC3F42000 FailedToInstallDrivers 0xC3F51000
