사용 설명서 HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft 및 Windows는 미국 및 기타 국가에 서 Microsoft Corporation의 등록 상표 또는 상 표입니다. 기밀 컴퓨터 소프트웨어. 소유, 사용 또는 복사 에 필요한 유효한 라이센스를 HP로부터 취득 했습니다. FAR 12.211 및 12.212에 의거하여, 상용 컴퓨터 소프트웨어, 컴퓨터 소프트웨어 설명서 및 상용 품목의 기술 데이터는 공급업 체의 표준 상용 라이센스에 따라 미국 정부에 사용이 허가되었습니다. 본 설명서의 내용은 사전 통지 없이 변경될 수 있습니다. HP 제품 및 서비스에 대한 유일한 보증은 제품 및 서비스와 함께 동봉된 보증서 에 명시되어 있습니다. 본 설명서에는 어떠한 추가 보증 내용도 들어 있지 않습니다. HP는 본 설명서의 기술상 또는 편집상 오류나 누락 에 대해 책임지지 않습니다.
사용자 입력 구문 키 사용자 인터페이스에 입력해야 하는 텍스트는 고정 폭 글꼴로 표시되어 있습니다. 표 -1 사용자 입력 구문 키 항목 설명 괄호 또는 중괄호 없는 텍스트 표시된 대로 정확히 입력해야 하는 항목 <꺾쇠 괄호 안의 텍스트> 제공해야 하는 값에 대한 자리 표시자입니다. 괄호 생략 [대괄호 안의 텍스트] 선택적 항목; 괄호 생략 {중괄호 안의 텍스트} 하나만 선택해야 하는 항목 집합입니다. 중괄호 생략 | 하나만 선택해야 하는 항목에 대한 구분 기호입니다. 세로 막대 생략 ...
iv 사용자 입력 구문 키
목차 1 시작하기 ...................................................................................................................................................... 1 네트워크 복구 수행 ............................................................................................................................................... 1 로컬 드라이브 복구 수행 ...................................................................................................................................... 1 2 회사 이미지 만들기 ............................
vi
1 시작하기 HP Sure Recover를 사용하면 최소한의 사용자 상호 작용으로 네트워크에서 운영 체제를 안전하게 설치할 수 있습니다. Embedded Reimaging 기능이 포함된 HP Sure Recover를 사용하는 시스템은 로컬 저장 장치에 서의 설치도 지원합니다. 중요: HP Sure Recover를 사용하기 전에 데이터를 백업하십시오. 이미징 프로세스는 드라이브를 다시 포 맷하므로 데이터 손실이 발생합니다. HP에서 제공하는 복구 이미지에는 기본 Windows 10® 설치 프로그램이 포함됩니다. 필요에 따라 HP Sure Recover는 HP 장치용으로 최적화된 드라이버를 설치할 수 있습니다. HP 복구 이미지에는 OneDrive 같은 Windows 10에 포함된 데이터 복구 에이전트만 포함됩니다. 기업은 자체 사용자 지정 이미지를 만들어 회 사 설정, 응용 프로그램, 드라이버 및 데이터 복구 에이전트를 추가할 수 있습니다.
예약된 작업을 만들어 에이전트를 SR_AED 파티션에 복사하고, 이미지를 SR_IMAGE 파티션에 복사할 수도 있습니다. 그러면 HP Client Management Script Library를 사용하여 다음 재부팅 시 내용의 유효성을 검사하 고 내장된 이미지 재작성 저장 장치에 복사해야 한다는 것을 BIOS에 알리는 서비스 이벤트를 전송할 수 있 습니다.
2 회사 이미지 만들기 대부분의 회사는 Microsoft 배포 도구, Windows 10 평가 및 배포 키트를 사용하거나 둘 모두를 사용하여 WIM(Windows Imaging) 파일 형식 아카이브 안에 이미지가 담긴 파일을 생성합니다. 요구 사항 ● Windows 10 평가 및 배포 키트(Windows ADK)의 최신 버전 ● PowerShell ● OpenSSL(또는 RSA 개인/공개 키 쌍을 생성하기 위한 기타 솔루션) 생성하고 호스팅하는 회사 이미지의 무결성을 보호하는 데 사용되는 RSA 키 쌍을 생성하는 데 사용합 니다. ● Microsoft IIS(인터넷 정보 서비스)와 같은 서버 호스팅 솔루션 이미지 만들기 이미지 생성 프로세스를 시작하기 전에 다음 단계에 표시된 대로 필요한 도구를 설치한 작업 시스템 또는 빌드 시스템을 설정하여 이미지 처리를 준비하십시오. 1.
4. 다음 명령을 사용하여 설치 이미지의 내용을 확인합니다. dism /Get-ImageInfo /ImageFile:C:\staging\.wim 다음은 5개의 버전(각 대상 시스템의 BIOS를 기반으로 일치하도록)을 지원하는 설치 이미지의 샘플 출력을 보여줍니다. 이미지에 대한 세부 정보: my-image.wim 색인: 1 이름: CoreSingleLanguage 설명: Windows 10 May 2019 Update – Home Single Language Edition 크기: 19,512,500,682 bytes 색인: 2 이름: Core 설명: Windows 10 May 2019 Update – Home edition 크기: 19,512,500,682 bytes 색인: 3 이름: Professional 설명: Windows 10 May 2019 Update- Professional Update 크기: 19.
dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:4 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:2 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:1 버전에서 한 개의 색인(이 예제에서는 Professional)만 선택합니다. 인덱스가 한 개만 있는 경우 이름 에 관계없이 이미지를 복구하는 데 사용됩니다. 이미지 파일의 크기는 WIM 메타데이터 수정 및 콘텐 츠 표준화가 작동하는 방식으로 인해 삭제하기 전보다 더 커질 수 있습니다. 6. (옵션) 회사 복구 이미지에 드라이버를 포함하려면 다음 단계를 따르십시오. a. 다음 명령을 사용하여 이미지를 빈 폴더에 탑재합니다. mkdir C:\staging\mount dism /Mount-Wim /WimFile:C:\staging\my-image.
4. 다음 명령을 사용하여 USB에서 작동 중인 시스템의 스테이징 영역으로 이미지를 복사합니다. robocopy \ C:\staging .wim 다음과 같은 이미지 파일이 있어야 합니다. C:\staging\my-image.wim. 5. 6페이지의 이미지 분할로 이동합니다. 이미지 분할 다음 명령을 사용하여 이미지를 더 작은 파일로 분할하여 네트워크 다운로드의 안정성을 향상하는 것이 좋습니다. dism /Split-Image /ImageFile:C:\staging\.wim /SwmFile:C:\staging \.swm /FileSize:64 참고: FileSize(파일 크기)는 메가바이트 단위로 표시되어 있습니다. 필요한 경우 편집합니다. 참고: DISM의 분할 알고리즘의 특성상 생성된 SWM 파일의 크기는 명시된 파일 크기보다 작거나 클 수 있 습니다.
$swmFiles = Get-ChildItem "." -Filter "* .swm" $ToNatural = { [regex]::Replace($_, '\d*\....$', { $args[0].Value.PadLeft(50) }) } $pathToManifest = (Resolve-Path ".").Path $total = $swmFiles.count $current = 1 $swmFiles | Sort-Object $ToNatural | ForEach-Object { Write-Progress -Activity "Generating manifest" ` -Status "$current of $total ($_)" ` -PercentComplete ($current / $total * 100) $hashObject = Get-FileHash -Algorithm SHA256 -Path $_.FullName $fileHash = $hashObject.Hash.
매니페스트 서명 생성 Sure Recover는 암호화 서명을 사용하여 에이전트 및 이미지의 유효성을 검사합니다. 다음 예에서는 X.509 PEM 형식(.PEM 확장명)으로 개인/공개 키 쌍을 사용합니다. DER 바이너리 인증서(.CER 또는 .CRT 확장명), BASE-64 인코딩된 PEM 인증서(.CER 또는 .CRT 확장명) 또는 PKCS1 PEM 파일(.PEM 확장명)을 사용하도록 적 절하게 명령을 조정합니다. 또한 이 예제에서는 big-endian 형식으로 서명을 생성하는 OpenSSL을 사용합니 다. 모든 유틸리티를 사용하여 매니페스트에 서명할 수 있지만 일부 BIOS 버전은 little-endian 형식의 서명 만 지원합니다. 1. 다음 명령을 사용하여 2048비트 RSA 개인 키를 생성합니다. 2048비트 RSA 개인/공개 키 쌍을 pem 형 식으로 갖고 있는 경우 C:\staging에 복사한 다음 3 단계로 건너뜁니다.
대상 시스템 프로비저닝 HP Client Management Script Library, HP Client Security Manager(CSM)/Sure Recover 또는 MIK(관리 효율성 통합 키트) (https://www.hp.com/go/clientmanagement)를 사용하여 대상 시스템을 프로비저닝할 수 있습 니다. 이 프로비저닝에 대한 다음 정보를 제공합니다. 1. 이전 섹션에서 호스팅되는 매니페스트 파일의 URL 주소(http://your_server.domain/path/custom.mft) 2. 이전에 생성한 서명 파일을 확인하는 데 사용되는 공개 키(예: C:\staging\my-recovery-public.pem). 문제 해결 보안 유효성 검사에 실패하는 사용자 지정 복구 프로세스에 대한 메시지가 표시되면 다음을 확인하십시 오. 1. 매니페스트는 BOM이 없는 UTF-8이어야 합니다. 2. 파일 해시를 검사합니다. 3.
3 회사 방화벽 내에서 HP Sure Recover 에이전 트 사용 HP Sure Recover 에이전트는 회사 인트라넷에서 호스팅할 수 있습니다. HP Sure Recover SoftPaq를 설치한 후에는 설치 위치에서 HTTP 또는 FTP 배포 지점으로 HP Sure Recover 에이전트 디렉터리의 에이전트 파일 을 복사합니다. 그런 다음, 배포 지점 URL과 HP Sure Recover 에이전트 SoftPaq를 사용하여 배포되는 hpsr_agent_public_key.pem이라는 HP 공개 키를 사용하여 클라이언트 시스템을 구축합니다. HP Sure Recover 에이전트 설치 1. HP Sure Recover 에이전트를 다운로드하여 HTTP 또는 FTP 배포 지점으로 파일의 압축을 풉니다. 2. 배포 지점에 대한 적절한 파일 사용 권한을 설정합니다. 3.
7. 클라이언트 시스템에 정책이 적용되면 다시 시작합니다. 8. 초기 프로비저닝을 수행하는 동안 4자리의 보안 코드를 입력하라는 메시지가 나타나 HP Sure Recover 활성화를 완료해야 합니다. 자세한 내용은 hp.com으로 이동하여 Microsoft System Center Manager 백서에 대한 HP 관리 효율성 통합 키트(MIK)를 검색하십시오. HP Sure Recover 활성화가 성공적으로 완료되면 정책에 따라 적용되는 사용자 지정 URL이 HP Sure Recover BIOS 설정 메뉴에 표시됩니다. 활성화 성공 여부를 확인하려면 컴퓨터를 다시 시작하고 HP 로고가 나타나면 f10 키를 누릅니다. 고급, HP Sure Recover, 복구 에이전트를 차례로 선택한 다음 URL을 선택합니다.
4 HP Client Management Script Library(CMSL) 를 사용하여 작업 HP Client Management Script Library를 사용하면 PowerShell을 사용하여 HP Sure Recover 설정을 관리할 수 있습니다. 다음 예제 스크립트는 프로비저닝, 상태 확인, 구성 변경 및 HP Sure Recover 프로비전 해제 방법 을 보여 줍니다. 참고: 명령 중 몇 개는 이 설명서의 라인 길이를 초과하지만 한 라인으로 입력해야 합니다. $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPSecurePlatformState try { Write-host 'Provisioning Endorsement Key' $p = New-HPSecurePlatformEndorsementKeyProvisioningPayload ` -EndorsementKeyPassword $ek
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Get-HPSecurePlatformState } finally { Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
# 키 승인 인증서 생성 openssl req -sha256 -nodes -newkey rsa:2048 -keyout kek.key -out kek.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # 명령 서명 키 생성 openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.
다음 명령을 사용하여 에이전트 매니페스트에 서명할 수 있습니다. openssl dgst -sha256 –sign re.key -out agent.sig agent.mft OpenSSL은 일부 BIOS 버전과 호환되지 않는 big-endian 형식으로 서명 파일을 생성하므로 에이전트 서명 파일 바이트 순서를 배포하기 전에 되돌려야 할 수도 있습니다. big-endian 바이트 순서를 지원하는 BIOS 버전도 little-endian 바이트 순서를 지원합니다.
A 문제 해결 드라이브 분할에 실패함 SR_AED 또는 SR_IMAGE 파티션이 Bitlocker를 사용하여 암호화된 경우 드라이브 파티셔닝 실패가 발생할 수 있습니다. 이러한 파티션은 일반적으로 Bitlocker가 암호화되지 않도록 하는 gpt 속성을 사용하여 생성 되지만 사용자가 파티션을 삭제하고 다시 생성하거나 베어 메탈 드라이브에 수동으로 생성하는 경우 Sure Recover 에이전트는 이를 삭제할 수 없으며 드라이브를 다시 파티셔닝할 때 오류가 발생한 채로 종료할 수 없습니다. 사용자는 diskpart를 실행하고 볼륨을 선택하고 del vol 덮어쓰기 명령을 실행하여 수동으로 삭제해야 합니다. 펌웨어 감사 로그 EFI 변수 정보는 다음과 같습니다.
http://www.hp.com/go/clientmanagement에서 사용할 수 있는 HP Client Management Script Library에서 Get-HPFirmwareAuditLog를 사용하여 펌웨어 감사 로그를 검색할 수 있습니다. HP Secure Platform Management 이벤트 ID의 40, 41 및 42는 데이터 필드의 이벤트 특정 코드를 반환하며 이는 Sure Recover 작업의 결과를 표시합니다. 예를 들어 다음 로그 항목은 오류 event_id 42 및 데이터를 사용하여 매니페스 트 또는 서명 파일을 다운로드하지 못했음을 나타냅니다. dword 값 0xC3F13000 = MftOrSigDownloadFailed 로 해석되어야 하는 00:30:f1:c3.
표 A-2 이벤트 특정 코드 (계속) 이벤트 설명 이벤트 코드 FtpHttpDownloadFailed 0xC3F14000 AwsDownloadFailed 0xC3F15000 AwsDownloadUnattendedFailed 0xC3F16000 UnableToConnectToNetwork 0xC3F17000 CatalogNotAuthenticated 0xC3F21000 FtpHttpDownloadHashFailed 0xC3F22000 ManifestDoesNotAuthenticate 0xC3F23000 CatalogVersionMismatch 0xC3F31000 CatalogLoadFailed 0xC3F32000 OsDvdDidNotResolvedToOneComponent 0xC3F33000 DriversDvdDidNotResolvedToOneComponent 0xC3F34000 ManifestFileEmptyOrInvalid 0xC3F41000 ListedF
