Brugervejledning HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft og Windows er enten registrerede varemærker eller varemærker tilhørende Microsoft Corporation i USA og/eller andre lande. Fortrolig computersoftware. Gyldig licens fra HP påkræves for besiddelse, brug eller kopiering. I overensstemmelse med FAR 12.211 og 12.212 licenseres kommerciel computersoftware, computersoftwaredokumentation og tekniske data for kommercielle varer til USA's regering under leverandørens kommercielle standardlicens.
Syntaksnøgle til brugerinput Tekst, som du skal indtaste på en brugergrænseflade, er angivet med en skrifttype med fast bredde.
iv Syntaksnøgle til brugerinput
Indholdsfortegnelse 1 Sådan kommer du i gang ................................................................................................................................ 1 Udførelse af en netværksgendannelse ................................................................................................................. 1 Sådan gendanner du ved hjælp af et lokalt drev ...................................................................................................
vi
1 Sådan kommer du i gang HP Sure Recover hjælper dig med at installere operativsystemet sikkert fra netværket med minimal brugerinteraktion. Systemer med HP Sure Recover med indbygget geninstallation af systembillede understøtter også installation fra en lokal lagerenhed. VIGTIGT: Sikkerhedskopiér dine data, før du bruger HP Sure Recover. Da billedbehandlingsprocessen omformaterer drevet, kan det medføre datatab.
Systemer med indbygget geninstallation af systembillede skal konfigurere en tidsplan for download og bruge downloadagenten til at søge efter opdateringer. Downloadagenten er inkluderet i HP Sure Recover-plug-inmodulet til HP Client Security Manager og kan også konfigureres i MIK. Du kan se, hvordan du bruger MIK, under https://www.hp.com/go/clientmanagement. Du kan også oprette en planlagt opgave for at kopiere agenten til SR_AED-partitionen og billedet til SR_IMAGE-partitionen.
2 Oprettelse af et virksomhedsbillede De fleste virksomheder bruger Microsoft Deployment Tools, Windows 10 Assessment and Deployment Kit eller begge dele til at oprette filer, der indeholder et billede i WIM-filformat (Windows Imaging).
(Valgfrit) HP Sure Recover indeholder en funktion til at gendanne en bestemt udgave fra et billede med flere indeks, der er baseret på den Windows-udgave, som oprindeligt var licenseret til HPdestinationssystemet på fabrikken. Denne mekanisme fungerer, hvis indeksene er navngivet korrekt. Hvis Windows-installationsbilledet stammer fra et HP OSDVD-billede, har du sandsynligvis et billede med flere redigeringer.
BEMÆRK: Når der kun er ét indeks, bruges billedet til gendannelse, uanset navnet. Din billedfil kan være større, end den var før sletningerne. 5. Hvis du ikke vil have, at multiredigering udføres, skal du slette alle de indekser, du ikke vil bruge. Hvis du kun vil bruge Professional Edition (forudsat at alle destinationssystemer er licenserede), skal du slette indeks 5, 4, 2 og 1 som vist i følgende eksempel. Hver gang du sletter et indeks, tildeles indeksnumrene på ny.
BEMÆRK: Du kan finde yderligere metoder til at optage billedet i ADK-dokumentationen. Sørg for, at der er tilstrækkelig plads på USB-drevet til at lagre det optagne billede fra referencesystemet. 2. Opret et billede på et referencesystem. 3. Tag billedet ved at starte referencesystemet med USB WinPE-mediet, og brug derefter DISM. BEMÆRK: er USB-drevet. Erstat det med det korrekte drevbogstav. Rediger "my-image"-delen af filnavnet og -beskrivelsen efter behov.
CD /D C:\staging 1. Opret et powershell-script ved hjælp af en editor, der kan oprette en tekstfil i UTF-8-format uden BOM, ved hjælp af følgende kommando: notepad C:\staging\generate-manifest.ps1 Opret følgende script: $mftFilename = "custom.mft" $imageVersion = 1907 (Bemærk: Dette kan være et vilkårligt 16-bit heltal) $header = "mft_version=1, image_version=$imageVersion" Out-File -Encoding UTF8 -FilePath $mftFilename -InputObject $header $swmFiles = Get-ChildItem "." -Filter "*.
$content = Get-Content $mftFilename $encoding = New-Object System.Text.UTF8Encoding $False [System.IO.File]::WriteAllLines($pathToManifest + '\' + $mftFilename, $content, $encoding) 2. Gem scriptet. 3. Kør scriptet. powershell .\generate-manifest.ps1 Generering af manifestsignatur Sure Recover validerer agenten og billedet ved hjælp af kryptografiske signaturer. Følgende eksempler bruger et privat/offentligt nøglepar i X.509 PEM-format (.PEM-filtype).
● *.swm ● custom.mft (eller det filnavn, du valgte til manifestfilen) ● custom.sig (eller det tilsvarende filnavn, som du valgte til signaturfilen) BEMÆRK: Hvis du bruger IIS som din hosting-løsning, skal du konfigurere MIME-posterne, så de omfatter følgende filtypenavne, der alle er konfigureret som "application/octet-stream:" ● .mft ● .sig ● .swm ● .wim Klargøring af dine destinationssystemer Du kan oprette dine destinationssystemer vha.
3 Brug af HP Sure Recover-agent i en virksomhedsfirewall HP Sure Recover-agenten kan hostes på et firmaintranet. Når du har installeret HP Sure Recover SoftPaq, skal du kopiere agentfilerne fra HP Sure Recover-agentmappen fra installationsplaceringen til et HTTP- eller FTPdistributionspunkt. Klargør derefter klientsystemet med URL-adressen på distributionspunktet og den offentlige HP-nøgle med navnet hpsr_agent_public_key.pem, som fordeles med HP Sure Recoveragentens SoftPaq.
Indtast URL-adressen fra it-administratoren i feltet URL-adresse til agentens placering. Indtast den offentlige nøgle hpsr_agent_public_key.pem i feltet Agentbekræftelsesnøgle. BEMÆRK: Medtag ikke filnavnet på agentmanifestet i URL-adressen, da BIOS kræver, at den kaldes recovery.mft. 7. Når politikken anvendes på klientsystemet, skal du genstarte den. 8. Under første klargøring vises der en prompt, hvor du kan indtaste en sikkerhedskode på 4 cifre for at fuldføre HP Sure Recover-aktiveringen.
4 Arbejde med HP Client Management Script Library (CMSL) HP Client Management Script Library giver dig mulighed for at administrere HP Sure Recover-indstillinger med PowerShell. Følgende eksempelscript viser, hvordan du klargør, fastslår status, ændrer konfiguration og fjerner klargørelsen af HP Sure Recover. BEMÆRK: Flere af kommandoerne overskrider denne vejlednings linjelængde, men skal indtastes som en enkelt linje. $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = "" Get-HPS
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Opret en kommandosigneringsnøgle openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.
A Fejlfinding Partitionering af drev mislykkedes Fejl ved partitionering af drev kan forekomme, hvis SR_AED- eller SR_IMAGE-partitionen er krypteret med BitLocker. Disse partitioner oprettes normalt med en GPT-attribut, der forhindrer BitLocker i at kryptere dem, men hvis en bruger sletter og genopretter partitionerne eller opretter dem manuelt på et drev til genoprettelse fra bunden, kan den sikrede gendannelsesagent ikke slette dem og afslutter med en fejl ved genpartitionering af drevet.
Du kan hente firmware-overvågningsloggen ved hjælp af Get-HPFirmwareAuditLog i HP Client Management Script Library, som findes på http://www.hp.com/go/clientmanagement. HP Secure Platform Managementhændelses-ID'erne 40, 41 og 42 returnerer hændelsesspecifikke koder i datafeltet, som angiver resultatet af Sure Recovers operationer. F.eks.
Tabel A-2 Hændelsesspecifikke koder (fortsat) 18 Hændelsesbeskrivelse Hændelseskode AwsDownloadUnattendedFailed 0xC3F16000 UnableToConnectToNetwork 0xC3F17000 CatalogNotAuthenticated 0xC3F21000 FtpHttpDownloadHashFailed 0xC3F22000 ManifestDoesNotAuthenticate 0xC3F23000 CatalogVersionMismatch 0xC3F31000 CatalogLoadFailed 0xC3F32000 OsDvdDidNotResolvedToOneComponent 0xC3F33000 DriversDvdDidNotResolvedToOneComponent 0xC3F34000 ManifestFileEmptyOrInvalid 0xC3F41000 ListedFileInManifestNo
