Brukerhåndbok HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft og Windows er enten registrerte varemerker eller varemerker for Microsoft Corporation i USA og/eller i andre land. Konfidensiell datamaskinprogramvare. Du må ha en gyldig lisens fra HP for å kunne eie, bruke eller kopiere programvaren. I overensstemmelse med FAR 12.211 og 12.
Syntaksnøkkel for brukerinndata Tekst som du må oppgi i et brukergrensesnitt er indikert med skrifttype med fast tegnavstand.
iv Syntaksnøkkel for brukerinndata
Innhold 1 Komme i gang ............................................................................................................................................... 1 Utføre en nettverksgjenoppretting ....................................................................................................................... 1 Utføre en gjenoppretting av en lokal stasjon ........................................................................................................ 1 2 Lage et bedriftsbilde ...........
vi
1 Komme i gang HP Sure Recover hjelper deg med å installere operativsystemet fra nettverket med minimalt brukermedvirkning på en sikker måte. Systemer med HP Sure Recover med innebygd gjenoppbygging støtter også installasjon fra en lokal lagringsenhet. VIKTIG: Ta sikkerhetskopi av data før du bruker HP Sure Recover. Fordi gjenopprettingsprosessen formaterer stasjonen på nytt, vil datatap forekomme. Gjenopprettingsbilder som HP tilbyr inkluderer det grunnleggende Windows 10®-installasjonsprogrammet.
Systemer med innebygd gjenoppbygging må konfigurere en tidsplan for nedlasting og bruke nedlastingsagenten til å se etter oppdateringer. Nedlastingsagenten er inkludert i programtillegget HP Sure Recover for HP Client Security Manager, og kan også konfigureres i MIK. Se https://www.hp.com/go/ clientmanagement for å få veiledning om hvordan du bruker MIK. Du kan også opprette en planlagt oppgave for å kopiere agenten til SR_AED-partisjonen og bildet til SR_IMAGE-partisjonen.
2 Lage et bedriftsbilde De fleste firmaer bruker Microsoft Deployment Tools, Windows 10 Assessment and Deployment Kit eller begge deler til å produsere filer som inneholder et bilde i et filformatarkiv for Windows Imaging (WIM).
skal skje, og ønsker å sikre én bestemt utgave brukes for alle målsystemene, må du sørge for at det bare er én indeks er i installasjonsbildet. 4. Sjekk innholdet i installasjonsbildet ved hjelp av følgende kommando: dism /Get-ImageInfo /ImageFile:C:\staging\.wim Følgende viser eksempelresultat fra en installasjonsbilde som støtter fem utgaver (for å samsvare basert på BIOS-en for hvert målsystem): Detaljer for bilde: my-image.
5. Hvis du ikke vil ha atferden som flere utgave skaper, sletter du hver indeks du ikke vil ha. Som vist i følgende eksempel, hvis du bare vil ha Professional-utgave (forutsatt at alle målsystemer er lisensiert), sletter du indeks 5, 4, 2 og 1. Hver gang du sletter en indeks, tilordnes indeksnumrene på nytt. Derfor bør du slette fra høyeste til laveste indeksnummer. Kjør Get-ImageInfo (få bildeinfo) etter hver sletting for å visuelt bekrefte hvilken indeks du nå vil slette.
MERK: Flere metoder for å ta bildet finner du i ADK-dokumentasjon. Sørg for at USB-stasjonen har nok ledig plass til å lagre bildet tatt av referansesystemet. 2. Lag et bilde på et referansesystem. 3. Ta bildet ved å starte referansesystemet med USB WinPE-mediet, og deretter bruke DISM. MERK: refererer til USB-stasjonen. Bytt ut med riktig stasjonsbokstav. Rediger «my-image»-delen av filnavnet og -beskrivelsen etter behov. dism /Capture-Image /ImageFile:<\my-image>.
1. Lag et powershell-skript ved hjelp av et redigeringsprogram som kan gi en tekstfil i formatet UTF-8 uten BOM, ved hjelp av følgende kommando: notepad C:\staging\generate-manifest.ps1 Opprett følgende skript: $mftFilename = "custom.mft" $imageVersion = 1907 (Merk: Dette kan være et hvilket som helst 16-bit heltall) $header = "mft_version=1, image_version=$imageVersion" Out-File -Encoding UTF8 -FilePath $mftFilename -InputObject $header $swmFiles = Get-ChildItem "." -Filter "*.
$encoding = New-Object System.Text.UTF8Encoding $False [System.IO.File]::WriteAllLines($pathToManifest + '\' + $mftFilename, $content, $encoding) 2. Lagre skriptet. 3. Kjør skriptet. powershell .\generate-manifest.ps1 Generere manifestsignatur Sure Recover validerer agent og bilde ved hjelp av kryptografiske signaturer. De følgende eksemplene bruker et privat/offentlig nøkkelpar i X.509 PEM-format (.PEM-utvidelse). Juster kommandoene etter behov for å bruke DER binære sertifikater (.CER eller .
MERK: Hvis du bruker IIS som vertsløsning, må du konfigurere MIME-oppføringene til å inkludere følgende utvidelser, alle konfigurert som «application/octet-stream:» ● .mft ● .sig ● .swm ● .wim Levere målsystemene Du kan levere målsystemene ved hjelp av HP Client Management Script Library, HP Client Security Manager (CSM)/Sure Recover eller Manageability Integration Kit (MIK) (https://www.hp.com/go/clientmanagement). Oppgi følgende informasjon for denne leveringen: 1.
3 Bruke HP Sure Recover Agent i en bedriftsbrannmur HP Sure Recover-agenten kan ligge på et bedriftsintranett. Når du har installert HP Sure Recover SoftPaq, kopierer du agentfilene fra HP Sure Recover-agentkatalog fra installasjonsstedet til et HTTP- eller FTPdistribusjonspunkt. Lever deretter klientsystemet med URL-en for distribusjonspunktet, og den offentlige HPnøkkelen som heter hpsr_agent_public_key.pem, som er distribuert med HP Sure Recover agentSoftPaq. Installere HP Sure Recover-agent 1.
adresse for agentplassering). Skriv inn den offentlige nøkkelen hpsr_agent_public_key.pem i feltet Agent Verification Key (verifiseringsnøkkel for agent). MERK: Ikke ta med filnavnet til agentmanifestet i URL-en fordi BIOS krever at det kalles recovery.mft. 7. Når policyen er brukt på klientsystemet, starter du det på nytt. 8. Ved første levering vises en melding der du kan skrive inn en firesifret sikkerhetskode for å fullføre HP Sure Recover-aktiveringen.
4 Arbeide med HP Client Management Script Library (CMSL) Ved hjelp av HP Client Management Script Library kan du administrere innstillingene for HP Sure Recover med PowerShell. Følgende eksempelskript viser hvordan du leverer, bestemmer status, endrer konfigurasjon og leverer HP Sure Recover. MERK: Flere av kommandoene overskrider linjelengden i denne håndboken, men må angis som én linje. $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPSecurePlatformState try { Write
-SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Opprett en nøkkel for kommandosignering openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.crt openssl pkcs12 -inkey sk.key -in sk.crt -export -out sk.
A Feilsøking Partisjonering mislyktes Mislykket stasjonspartisjonering kan oppstå hvis SR_AED eller SR_IMAGE-partisjonen er kryptert med Bitlocker. Disse partisjonene er vanligvis laget med en gpt-attributt som hindrer Bitlocker fra å kryptere dem, men hvis en bruker sletter og gjenoppretter partisjonene eller oppretter dem manuelt på en bare-metalstasjon, kan ikke Sure Recover-agenten slette dem og avslutter med en feil når du partisjonerer stasjonen på nytt.
Du kan hente revisjonsloggen for fastvare med Get-HPFirmwareAuditLog i HP Client Management Script Library, som er tilgjengelig på http://www.hp.com/go/clientmanagement. HP Secure Platform Managementhendelses-ID-er 40, 41 og 42 returnerer hendelsesspesifikke koder i datafeltet, som angir resultatet av at Sure Recover-operasjoner.
Tabell A-2 Hendelsesspesifikke koder (forts.
