Korisnički priručnik HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft i Windows registrirani su žigovi ili žigovi tvrtke Microsoft Corporation u SAD-u i/ili drugim zemljama. Povjerljivi računalni softver. Za posjedovanje, korištenje ili kopiranje potrebna je valjana licenca tvrtke HP. U skladu s odredbama FAR 12.211 i 12.212, komercijalni računalni softver, dokumentacija računalnog softvera i tehnički podaci za komercijalne stavke licencirani su na američku vladu u sklopu dobavljačeve standardne komercijalne licence.
Sintaksa podataka koje korisnik mora unijeti Tekst koji je potrebno unijeti u korisničko sučelje označen je fontom fiksne širine.
iv Sintaksa podataka koje korisnik mora unijeti
Sadržaj 1 Početak rada ................................................................................................................................................. 1 Oporavak putem mreže ......................................................................................................................................... 1 Oporavak s lokalnog pogona .................................................................................................................................
vi
1 Početak rada HP Sure Recover omogućuje sigurnu instalaciju operacijskog sustava putem mreže uz minimalnu korisničku interakciju. Sustavi sa softverom HP Sure Recover s ugrađenom značajkom ponovnog stvaranja slika podržavaju instalaciju i s lokalnog uređaja za pohranu. VAŽNO: prije korištenja softvera HP Sure Recover sigurnosno kopirajte podatke. Budući da se postupkom stvaranja slika ponovno formatira pogon, doći će do gubitka podataka.
Sustavi s ugrađenom značajkom ponovnog stvaranja slika moraju konfigurirati raspored preuzimanja i koristiti agent za preuzimanje za provjeru ažuriranja. Agent za preuzimanje dostupan je u sklopu dodatka HP Sure Recover za HP Client Security Manager, a može se konfigurirati i u MIK-u. Upute za korištenje MIK-a potražite na adresi https://www.hp.com/go/clientmanagement. Možete i stvoriti zakazani zadatak da biste agent kopirali na particiju SR_AED, a sliku poslali na particiju SR_IMAGE.
2 Stvaranje korporacijske slike Većina tvrtki koristi Microsoft Deployment Tools i/ili Windows 10 Assessment and Deployment Kit za stvaranje datoteka koje sadrže sliku unutar arhive u obliku datoteke WIM (Windows Imaging).
vjerojatno imate sliku s više izdanja. Ako ne želite to, već da se jedno određeno izdanje koristi za sve ciljne sustave, u instalacijskoj se slici mora nalaziti samo jedan indeks. 4. Provjerite sadržaj instalacijske slike pomoću sljedeće naredbe: dism /Get-ImageInfo /ImageFile:C:\staging\.wim U nastavku je prikazan ogledni izlaz iz instalacijske slike koja podržava pet izdanja (koja je potrebno upariti na temelju BIOS-a svakog ciljnog sustava): Detalji slike: my-image.
najnižim. Nakon svakog brisanja pokrenite naredbu Get-ImageInfo da biste vizualno provjerili koji ćete indeks sljedeći izbrisati. dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:5 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:4 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:2 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:1 Odaberite samo jedan indeks izdanja (Professional za ovaj primjer).
NAPOMENA: predstavlja USB pogon. Zamijenite odgovarajućim slovom pogona. Po potrebi uredite "my-image" dio naziva datoteke i opis. dism /Capture-Image /ImageFile:<\my-image>.wim /CaptureDir:C:\ / Name: 4. Kopirajte sliku s USB pogona u područje za postupni uvoz na radnom sustavu pomoću sljedeće naredbe: robocopy \ C:\staging .wim Trebali biste dobiti sljedeću datoteku slike: C:\staging\my-image.wim. 5. Idite na Podjela slike na stranici 6.
$imageVersion = 1907 (Napomena: to može biti bilo koji 16-bitni cijeli broj) $header = "mft_version=1, image_version=$imageVersion" Out-File -Encoding UTF8 -FilePath $mftFilename -InputObject $header $swmFiles = Get-ChildItem "." -Filter "*.swm" $ToNatural = { [regex]::Replace($_, '\d*\....$', { $args[0].Value.PadLeft(50) }) } $pathToManifest = (Resolve-Path ".").Path $total = $swmFiles.
[System.IO.File]::WriteAllLines($pathToManifest + '\' + $mftFilename, $content, $encoding) 2. Spremite skriptu. 3. Izvršite skriptu. powershell .\generate-manifest.ps1 Generiranje potpisa manifesta Sure Recover provjerava valjanost agenta i slike pomoću kriptografskih potpisa. Sljedeći primjeri koriste par privatnog/javnog ključa u obliku X.509 PEM (s nastavkom .PEM). Po potrebi prilagodite naredbe tako da koriste DER binarne certifikate (s nastavkom .CER ili .
NAPOMENA: ako kao rješenje za hostiranje koristite IIS, morate konfigurirati MIME stavke tako da sadrže sljedeće nastavke, koji su svi konfigurirani kao "application/octet-stream:" ● .mft ● .sig ● .swm ● .wim Dodjela resursa ciljnim sustavima Ciljnim sustavima resurse možete dodijeliti uz HP Client Management Script Library, HP Client Security Manager (CSM)/Sure Recover ili Manageability Integration Kit (MIK) (https://www.hp.com/go/ clientmanagement). Za dodjelu resursa navedite sljedeće podatke: 1.
3 Korištenje agenta za HP Sure Recover unutar korporacijskog vatrozida Agent za HP Sure Recover može se hostirati u korporacijskom intranetu. Nakon instalacije alata SoftPaq za HP Sure Recover kopirajte datoteke agenta iz direktorija agenta za HP Sure Recover s mjesta instalacije na HTTP ili FTP distribucijsku točku. Zatim klijentskom sustavu dodijelite URL distribucijske točke i HP-ov javni ključ pod nazivom hpsr_agent_public_key.pem, koji se distribuira uz SoftPaq agenta za HP Sure Recover.
NAPOMENA: u URL nemojte uvrštavati naziv datoteke manifesta agenta URL jer BIOS traži da mu naziv bude recovery.mft. 7. Ponovno pokrenite klijentski sustav nakon što se pravilnik primijeni na njega. 8. Tijekom početne dodjele resursa zatražit će se da unesete četveroznamenkasti sigurnosni kod da biste dovršili aktivaciju softvera HP Sure Recover. Za dodatne informacije posjetite hp.com i potražite tehničku dokumentaciju za HP Manageability Integration Kit (MIK) za Microsoft System Center Manager.
4 Rad s komponentom HP Client Management Script Library (CMSL) HP Client Management Script Library omogućuje upravljanje postavkama softvera HP Sure Recover pomoću komponente PowerShell. Sljedeća ogledna skripta pokazuje kako softveru HP Sure Recover dodijeliti resurse, utvrditi njegov status, promijeniti mu konfiguraciju i poništiti dodjelu resursa tom softveru. NAPOMENA: nekoliko naredbi prekoračuje maksimalnu duljinu redaka iz ovog vodiča, ali potrebno ih je unijeti u jednom retku.
$p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Write-Host 'Deprovisioning Sure Recover' Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key CAcreateserial -out kek.crt openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Stvaranje ključa za potpisivanje naredbe openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.
A Otklanjanje poteškoća Stvaranje particija na pogonu nije uspjelo Do neuspjelog stvaranja particija na pogonu može doći ako je particija SR_AED ili SR_IMAGE šifrirana pomoću značajke Bitlocker. Te se particije inače stvaraju uz atribut GPT, koji sprječava Bitlocker da ih šifrira, ali ako korisnik izbriše pa ponovno stvori particije ili ih ručno stvori na fizičkom pogonu, agent za Sure Recover ne može ih izbrisati i zatvara se uz pogrešku prilikom ponovnog stvaranja particija na pogonu.
Tablica A-1 HP Secure Platform Management (Nastavak) ID događaja Broj uređaja (svi/DaaS) Broj događaja (svi/DaaS) Opis Napomene 41 221/147 588/332 Postupak oporavka operacijskog sustava platforme uspješno je dovršen. Dovršen je oporavak platforme 42 54/42 252/156 Postupak oporavka operacijskog sustava platforme nije uspješno dovršen.
HP Sure Recover koristi sljedeće specifične kodove događaja.
