Manuel de l'utilisateur HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft et Windows sont des marques commerciales déposées ou des marques commerciales de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Logiciel d'ordinateur confidentiel. Une licence HP est requise pour la possession, l'utilisation ou la copie. En accord avec les articles FAR 12.211 et 12.
Clé de syntaxe du langage d'entrée utilisateur Le texte que vous devez entrer dans une interface utilisateur est indiqué par Police à espacement fixe.
iv Clé de syntaxe du langage d'entrée utilisateur
Sommaire 1 Mise en route ................................................................................................................................................ 1 Exécution d’une récupération réseau .................................................................................................................... 1 Exécution d’une récupération du disque local ......................................................................................................
vi
1 Mise en route HP Sure Recover vous permet d’installer le système d’exploitation en toute sécurité à partir du réseau avec une interaction minimale de l’utilisateur. Les systèmes dotés de HP Sure Recover avec génération d’images Embedded prennent également en charge l’installation à partir d’un périphérique de stockage local. IMPORTANT : Sauvegardez vos données avant d’utiliser HP Sure Recover. Étant donné que le processus de génération d’images reformate le disque, une perte de données se produit.
Les systèmes dotés de la régénération intégrée doivent configurer une planification de téléchargement et utiliser l’agent de téléchargement pour rechercher des mises à jour. L’agent de téléchargement est inclus dans l’extension HP Sure Recover pour HP Client Security Manager et peut également être configuré dans MIK. Reportez-vous à https://www.hp.com/go/clientmanagement pour obtenir les instructions d’utilisation de MIK.
2 Création d’une image corporative La plupart des entreprises utilisent les outils de déploiement Microsoft, le kit d’évaluation et de déploiement de Windows 10 ou les deux, pour produire des fichiers contenant une image dans une archive de format de fichier WIM (Windows Imaging).
3. Renommez install.wim en un nom de fichier image ("my-image" pour cet exemple), à l’aide de la commande suivante : ren C:\staging\install.wim .wim En option, HP Sure Recover comprend une fonction qui permet de récupérer une édition spécifique à partir d’une image multi-index, basée sur l’édition Windows qui a été attribuée à l’origine pour le système cible HP en usine. Ce mécanisme fonctionne si les index sont nommés correctement.
Description : Mise à jour Windows 10 mai 2019 - Mise à jour station de travail professionnelle Taille : 19 758 023 576 octets REMARQUE : Lorsqu’il n’y a qu’un seul index, l’image est utilisée pour la récupération, quel que soit le nom. La taille de votre fichier d’image peut être supérieure après les suppressions. 5. Si vous ne souhaitez pas le comportement de la multiédition, supprimez chaque index que vous ne voulez pas.
Le fichier d’image résultant est le suivant : C:\staging\my-image.wim. d. Ouvrez la page Fractionnement de l’image à la page 6. Exemple 2 : Création d’une image basée sur un système de référence 1. Créez un support USB WinPE amorçable. REMARQUE : Des méthodes supplémentaires pour capturer l’image sont disponibles dans la documentation ADK. Assurez-vous que le lecteur USB possède suffisamment d’espace libre pour contenir l’image capturée du système de référence. 2.
image_version sert à déterminer si une version plus récente de l’image est disponible et à empêcher l’installation d’anciennes versions. Les deux valeurs doivent être des nombres entiers 16 bits non signés et le séparateur de ligne dans le manifeste doit être ‘\r\n’ (CR + LF). Génération d’un manifeste Dans la mesure où plusieurs fichiers peuvent être associés à votre image fractionnée, utilisez un script PowerShell pour générer un manifeste.
$manifestContent = "$fileHash $filePath $fileSize" Out-File -Encoding utf8 -FilePath $mftFilename -InputObject $manifestContent -Append $current = $current + 1 } REMARQUE : Les manifestes pour HP Sure Recover ne peuvent pas inclure un BOM, donc les commandes suivantes réécrivent le fichier en UTF8 sans BOM. $content = Get-Content $mftFilename $encoding = New-Object System.Text.UTF8Encoding $False [System.IO.File]::WriteAllLines($pathToManifest + '\' + $mftFilename, $content, $encoding) 2.
REMARQUE : ● Si vous avez besoin de créer un fichier de signature uniquement, les étapes requises sont les 1 et 3. ● Pour HP Sure Recover, les étapes minimales requises sont les 1, 2 et 3. Vous avez besoin de la clé publique de l’étape 2 pour configurer votre système cible. ● L’étape 4 est facultative mais recommandée afin que votre fichier de signature et fichier manifeste se valident correctement. Hébergement des fichiers Hébergez les fichiers suivants sur votre serveur à partir du dossier C:\stagin
10 4. Les types MIME Server IIS doivent être application/octet-stream. 5. Les chemins d’accès au fichier dans le manifeste doivent inclure le chemin d’accès complet au répertoire tout en haut contenant l’image, tel qu’il est vu à partir d’un système client. Ce chemin d’accès n’est pas le chemin d’accès complet où les fichiers sont enregistrés au point de distribution.
3 Utilisation de l’agent HP Sure Recover au sein d’un pare-feu d’entreprise L’agent HP Sure Recover peut être hébergé sur un intranet d’entreprise. Après l’installation du SoftPaq HP Sure Recover, copiez les fichiers de l’agent à partir du répertoire de l’agent HP Sure Recover à partir de l’emplacement d’installation vers un point de distribution HTTP ou FTP. Ensuite, configurez le système client avec l’URL du point de distribution et la clé publique HP nommée hpsr_agent_public_key.
l’URL fournie par l’administrateur informatique dans la zone de saisie URL d’emplacement de l’agent. Entrez la clé publique hpsr_agent_public_key.pem dans le champ de saisie Clé de vérification de l’agent. REMARQUE : N’incluez pas le nom de fichier du manifeste de l’agent dans l’URL car le BIOS exige qu’il soit nommé recovery.mft. 7. Une fois que la stratégie est appliquée au système client, redémarrez-le. 8.
4 Utilisation de la bibliothèque de scripts HP Client Management (CMSL) La bibliothèque de scripts HP Client Management vous permet de gérer les paramètres de HP Sure Recover avec PowerShell. L’exemple de script suivant montre comment configurer, déterminer l’état, modifier la configuration et annuler HP Sure Recover. REMARQUE : Plusieurs commandes dépassent la longueur de ligne de ce guide mais doivent être saisies comme une seule ligne. $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = ""
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Créer une commande clé de signature openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.
A Résolution des problèmes Échec du partitionnement du disque Un échec de partitionnement du disque peut se produire si la partition SR_AED ou SR_IMAGE est cryptée avec Bitlocker. Ces partitions sont normalement créées avec un attribut gpt qui empêche Bitlocker de les chiffrer, mais si un utilisateur supprime et recrée les partitions ou les crée manuellement sur un disque complet, alors l’agent Sure Recover ne peut pas les supprimer et les quitte avec une erreur lors du repartitionnement du disque.
Tableau A-1 HP Secure Platform Management (suite) ID de l'événement Nombre d’appareils (Tous/DaaS) Nombre d’événements (Tous/DaaS) Description Remarques 41 221/147 588/332 Le processus de récupération du système d’exploitation de la plate-forme s’est terminé avec succès. Récupération de la plateforme terminée 42 54/42 252/156 Le processus de récupération du système d’exploitation de la plateforme n’a pas abouti.
description: Le processus de récupération du système d’exploitation de la plateforme n’a pas abouti. data: 00:00:00:00 HP Sure Recover utilise les codes spécifiques à l’événement suivants.
