使用指南 HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft 和 Windows 是 Microsoft Corporation 在美國和/或其他國家/地區 的註冊商標或商標。 此為機密電腦軟體。 持有、使用或複製 均需要 HP 的有效授權。 在遵守 FAR 12.211 和 12.
使用者輸入語法金鑰 您必須輸入到使用者介面中的文字由固定寬度字型指示。 表格 -1 使用者輸入語法金鑰 項目 說明 沒有中括號或大括號的文字 您必須依所示內容完全輸入的項目 <角括號內的文字> 您必須為值提供的預留位置;省略括號 [方括號內的文字] 可選項目;省略括號 {大括號內的文字} 您只能從中選擇一者的一組項目;省略大括號 | 您只能從中選擇一者的項目的分隔符號;省略分隔號 ...
iv 使用者輸入語法金鑰
目錄 1 快速入門 ...................................................................................................................................................... 1 執行網路復原 ........................................................................................................................................................ 1 執行本機磁碟機復原 ............................................................................................................................................ 1 2 建立公司映像 .........................
vi
1 快速入門 HP Sure Recover 可協助您從網路安全安裝作業系統,且只需最少的使用者互動。採用具有內嵌重建映像 功能的 HP Sure Recover 的系統也支援從本機儲存裝置進行安裝。 重要:使用 HP Sure Recover 前,請備份您的資料。由於映像建立程序會重新格式化磁碟機,因此將會 遺失資料。 HP 提供的復原映像包含基本 Windows 10® 安裝程式。或者,HP Sure Recover 也可以安裝適用於 HP 裝置 的最佳化驅動程式。HP 復原映像只包含 Windows 10 隨附的資料復原代理程式,例如 OneDrive。公司可 以建立自己的自訂映像,以新增公司設定、應用程式、磁碟機與資料復原代理程式。 作業系統 (OS) 復原代理程式可執行安裝復原映像所需的步驟。HP 提供的復原代理程式可執行一般步 驟,例如磁碟分割、格式化,以及將復原映像解壓縮至目標裝置。由於 HP 復原代理程式位於 hp.
2 建立公司映像 大部分公司都使用 Microsoft Deployment Tools、Windows 10 評估與部署套件,或使用這兩者來產生在 Windows Imaging (WIM) 檔案格式封存內包含映像的檔案。 需求 ● 最新版本的 Windows 10 評估與部署套件 (Windows ADK) ● PowerShell ● OpenSSL (或產生 RSA 私人/公用金鑰對的其他解決方案) 用來產生 RSA 金鑰對來保護您建立及代管之公司映像的完整性。 ● 伺服器代管解決方案 (例如 Microsoft Internet Information Services [IIS]) 建立映像 開始映像建立程序之前,設定安裝所需工具的工作系統或建立相關系統,以準備好處理映像,如以下 步驟所示: 1. 以管理員身分開啟部署與映像工具環境命令提示字元 (隨 Windows ADK 的部署工具安裝)。 2. 使用下列指令建立映像的暫存區: mkdir C:\staging 3.
以下顯示從支援五個版本的安裝映像輸出的範例 (根據每個目標系統的 BIOS 進行比對): 映像的詳細資料:my-image.wim 索引:1 名稱:CoreSingleLanguage 說明:Windows 10 May 2019 Update – Home Single Language Edition 大小:19,512,500,682 bytes 索引:2 名稱:Core 說明:Windows 10 May 2019 Update – Home edition 大小:19,512,500,682 bytes 索引:3 名稱:Professional 說明:Windows 10 May 2019 Update- Professional Update 大小:19.
dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:1 請只選擇版本的一個索引 (例如,專業版)。當只有一個索引時,無論名稱為何,映像均可用於復 原。請注意,由於 WIM 中繼資料修改與內容正規化工作的方式,映像檔的大小可能大於刪除之前 的大小。 6. (可選) 如果您要在公司復原映像中包含磁碟機,請遵循以下步驟: a. 使用以下指令,將您的映像掛接到空白資料夾: mkdir C:\staging\mount dism /Mount-Wim /WimFile:C:\staging\my-image.wim /MountDir:C: \staging\mount /Index:1 b. 針對支援的目標系統掛接適當的 HP Windows 10 驅動程式 DVD (DRDVD)。從掛接的磁碟機媒 體,使用下列指令將驅動程式子資料夾複製到您的暫存區: robocopy /E \SWSETUP\DRV C:\staging\mount\SWSETUP\DRV 附註: 是指掛接的磁碟機。將其取代為正確的磁碟機代號。 您可以將其
您應有下列映像檔:C:\staging\my-image.wim。 5. 前往位於第 5 頁的分割映像。 分割映像 HP 建議您使用以下指令,將映像分割為較小的檔案,以改善網路下載的可靠性: dism /Split-Image /ImageFile:C:\staging\.wim /SwmFile:C:\staging \.swm /FileSize:64 附註:FileSize 會以百萬位元組為單位顯示。視需要進行編輯。 附註:由於 DISM 分割演算法的特性,所產生 SWM 檔案的大小可能會小於,也可能會大於表示的檔案大 小。 建立資訊清單 請將資訊清單檔案格式化為無位元組順序標記 (BOM) 的 UTF-8。 您可以變更在下列程序中使用的資訊清單檔案名稱 (custom.mft),但不得變更副檔名 .mft 與 .sig,且資 訊清單與簽名檔案的檔案名稱部分必須相符。例如,您可以將配對 (custom.mft、custom.sig) 變更為 (myimage.mft、myimage.
$pathToManifest = (Resolve-Path ".").Path $total = $swmFiles.count $current = 1 $swmFiles | Sort-Object $ToNatural | ForEach-Object { Write-Progress -Activity "Generating manifest" ` -Status "$current of $total ($_)" ` -PercentComplete ($current / $total * 100) $hashObject = Get-FileHash -Algorithm SHA256 -Path $_.FullName $fileHash = $hashObject.Hash.ToLower() $filePath = $hashObject.Path.Replace($pathToManifest + '\', '') $fileSize = (Get-Item $_.FullName).
產生簽名。您可以使用任何公用程式來為資訊清單簽名,但某些 BIOS 版本只支援小位元組順序格式的 簽名。 1. 使用以下指令產生 2048 位元 RSA 私人金鑰。如果您有 pem 格式的 2048 位元 RSA 私人/公用金鑰 對,請將其複製到 C:\staging,然後跳到步驟 3。 openssl genrsa -out my-recovery-private.pem 2048 2. 使用以下指令,從您的私人金鑰產生公用金鑰 (如果您的公用金鑰對應於您的 PEM 格式私人金鑰, 請將其複製到 C:\staging): openssl rsa -in my-recovery-private.pem -pubout -out my-recoverypublic.pem 3. 使用以下指令,根據您在步驟 1 中的 2048 位元 RSA 私人金鑰建立簽名檔案 (使用 sha256 式雜湊): openssl dgst -sha256 -sign my-recovery-private.pem -out custom.sig custom.mft 4.
為此佈建提供下列資訊: 1. 在上一節中代管之資訊清單檔案的 URL 位址 (http://your_server.domain/path/custom.mft) 2. 用來確認之前建立之簽名檔案的公用金鑰 (例如,C:\staging\my-recovery-public.pem)。 疑難排解 如果您收到有關自訂復原程序無法完成安全性驗證的訊息,請檢查以下項目: 8 1. 資訊清單必須是沒有 BOM 的 UTF-8。 2. 檢查檔案雜湊。 3. 確保佈建系統所使用的公用金鑰對應於用來為資訊清單簽名的私人金鑰。 4. IIS 伺服器 mime 類型必須是 application/octet-stream。 5.
3 在公司防火牆內使用 HP Sure Recover 代理 程式 HP Sure Recover 代理程式可在公司內部網路上代管。當您安裝 HP Sure Recover SoftPaq 之後,將 HP Sure Recover 代理程式目錄中的代理程式檔案從安裝位置複製到 HTTP 或 FTP 分派點。然後使用分派點的 URL 與名為 hpsr_agent_public_key.pem 的 HP 公用金鑰 (其透過 HP Sure Recover 代理程式 SoftPaq 分 派) 佈建用戶端系統。 安裝 HP Sure Recover 代理程式 1. 下載 HP Sure Recover 代理程式,並將檔案解壓縮至您的 HTTP 或 FTP 分派點。 2. 在分派點上設定適當的檔案權限。 3. 如果您正在使用 Internet Information Services (IIS),請為下列檔案格式建立 application/octet-stream MIME 類型: ● 。 ● .wim ● .swm ● .mft ● .sig ● .efi ● .
附註:請勿在 URL 中包含代理程式資訊清單的檔案名稱,因為 BIOS 需要將其命名為 recovery.mft。 7. 將原則套用至用戶端系統之後,請重新啟動。 8. 在初始佈建期間,會顯示提示請您輸入 4 位數的安全代碼以完成 HP Sure Recover 啟動。如需詳細 資訊,請前往 hp.
4 使用 HP Client Management Script Library (CMSL) HP Client Management Script Library 可以讓您透過 PowerShell 管理 HP Sure Recover 設定。以下範例指令 碼展示如何佈建、確定狀態、變更設定及解除佈建 HP Sure Recover。 附註:有一些指令超出了本指南的行長度,但必須輸入為一行。 $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPSecurePlatformState try { Write-host 'Provisioning Endorsement Key' $p = New-HPSecurePlatformEndorsementKeyProvisioningPayload ` -EndorsementKeyPassword $ekpw ` -EndorsementKeyFile "$path\kek.
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Get-HPSecurePlatformState } finally { Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
# Create a key endorsement certificate openssl req -sha256 -nodes -newkey rsa:2048 -keyout kek.key -out kek.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Create a command signing key openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.
openssl dgst -sha256 –sign re.key -out agent.sig agent.
A 疑難排解 磁碟機分割失敗 如果使用 Bitlocker 加密 SR_AED 或 SR_IMAGE 分割區,便可能發生磁碟機分割失敗的情形。這些分割區 通常使用 gpt 屬性建立,此屬性會防止 Bitlocker 為其加密,但如果使用者刪除並重建分割區,或在裸機 磁碟機上手動建立分割區,Sure Recover 代理程式就無法刪除分割區,並於分割磁碟機時因發生錯誤而 退出。使用者必須執行 diskpart、選取磁碟區,然後發出 del vol 覆寫指令或類似指令來手動刪除分 割區。 韌體稽核記錄檔 EFI 變數資訊如下: ● GUID:{0xec8feb88, 0xb1d1, 0x4f0f, {0xab, 0x9f, 0x86, 0xcd, 0xb5, 0x3e, 0xa4, 0x45}} ● 名稱:OsRecoveryInfoLog API 存在於 Windows 之下,可用於讀取 EFI 變數,或者您可以使用 UEFI Shell dmpstore 公用程式將變數 內容傾印至檔案。 您可以使用 HP Client Management Script Library 提供的 Get-HPFi
中傳回事件特定代碼,指示 Sure Recover 作業的結果。例如,以下記錄檔項目指示 Sure Recover 無法下 載資訊清單或簽名檔案,錯誤為 event_id 42,資料:00:30:f1:c3,其應解讀為 dword 值 0xC3F13000 = MftOrSigDownloadFailed。 message_number:0 severity:Info system_state_at_event:S0 source_id:HP Secure Platform Management event_id:42 timestamp_is_exact:1 timestamp:5/27/2019 2:44:18 PM description:The platform OS recovery process failed to complete successfully.
表格 A-2 事件特定代碼 (續) 18 事件說明 事件代碼 AwsDownloadUnattendedFailed 0xC3F16000 UnableToConnectToNetwork 0xC3F17000 CatalogNotAuthenticated 0xC3F21000 FtpHttpDownloadHashFailed 0xC3F22000 ManifestDoesNotAuthenticate 0xC3F23000 CatalogVersionMismatch 0xC3F31000 CatalogLoadFailed 0xC3F32000 OsDvdDidNotResolvedToOneComponent 0xC3F33000 DriversDvdDidNotResolvedToOneComponent 0xC3F34000 ManifestFileEmptyOrInvalid 0xC3F41000 ListedFileInManifestNotFound 0xC3F42000 FailedToInstallDrivers 0xC3F5100
