Uporabniški vodnik HP Sure Recover
© Copyright 2020 HP Development Company, L.P. Microsoft in Windows sta blagovni znamki ali registrirani blagovni znamki družbe Microsoft Corporation v Združenih državah Amerike in/ali drugih državah. Zaupna računalniška programska oprema. Za posedovanje, uporabo ali kopiranje potrebujete veljavno HP-jevo licenco. Skladno s pravilnikoma FAR 12.211 in 12.
Ključ za skladnjo uporabniških vnosov Za besedilo, ki ga morate vnesti v uporabniški vmesnik, je uporabljena pisava fiksne širine.
iv Ključ za skladnjo uporabniških vnosov
Kazalo 1 Uvod ............................................................................................................................................................. 1 Izvedba obnovitve prek omrežja ........................................................................................................................... 1 Izvedba obnovitve z lokalnega pogona .................................................................................................................
vi
1 Uvod Rešitev HP Sure Recover vam pomaga pri varni namestitvi operacijskega sistema prek omrežja z minimalnim posegom uporabnika. Sistemi, ki uporabljajo rešitev HP Sure Recover s funkcijo vdelane preslikave, podpirajo tudi namestitev iz lokalne shranjevalne naprave. POMEMBNO: Preden uporabite rešitev HP Sure Recover, izdelajte varnostno kopijo podatkov. Ker postopek zajema slike znova formatira pogon, pride do izgube podatkov.
Sistemi s funkcijo vdelane preslikave morajo nastaviti urnik za prenos in uporabiti posrednika za prenos, ki preveri, ali so na voljo posodobitve. Posrednik za prenos je vključen v vtičnik HP Sure Recover za HP Client Security Manager, konfigurirate pa ga lahko tudi v pripomočku MIK. Za navodila za uporabo pripomočka MIK pojdite na spletno mesto https://www.hp.com/go/clientmanagement. Ustvarite lahko tudi načrtovano nalogo za kopiranje posrednika na particijo SR_AED in slike na particijo SR_IMAGE.
2 Ustvarjanje slike podjetja Večina podjetij uporablja za ustvarjanje datotek, ki vsebujejo sliko znotraj arhiva z obliko zapisa datoteke WIM (Windows Imaging), Microsoftova orodja za uvedbo, komplet Windows 10 Assessment and Deployment Kit ali oboje.
zagotoviti, da je za vse ciljne sisteme uporabljena ena specifična izdaja, morate biti prepričani, da namestitvena slika vsebuje samo en indeks. 4. Vsebino namestitvene slike lahko preverite z naslednjim ukazom: dism /Get-ImageInfo /ImageFile:C:\staging\.wim Spodaj so prikazani vzorčni izhodni podatki iz namestitvene slike, ki podpira pet izdaj (ki se uporabijo glede na BIOS posameznega ciljnega sistema): Podrobnosti slike: my-image.
dodelijo. Zato brišite od najvišje do najnižje številka indeksa. Po vsakem brisanju zaženite GetImageInfo, da vizualno preverite, kateri indeks boste izbrisali kot naslednjega. dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:5 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:4 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:2 dism /Delete-Image /ImageFile:C:\staging\my-image.wim /Index:1 Izberite samo en indeks izdaje (v tem primeru »Professional«).
dism /Capture-Image /ImageFile:<\my-image>.wim /CaptureDir:C:\ / Name: 4. Sliko z naslednjim ukazom prekopirajte s pogona USB v izvajalno okolje v svojem delovnem sistemu: robocopy \ C:\staging .wim Imeti morate naslednjo slikovno datoteko: C:\staging\my-image.wim. 5. Glejte Razdelitev slike na strani 6.
Out-File -Encoding UTF8 -FilePath $mftFilename -InputObject $header $swmFiles = Get-ChildItem "." -Filter "*.swm" $ToNatural = { [regex]::Replace($_, '\d*\....$', { $args[0].Value.PadLeft(50) }) } $pathToManifest = (Resolve-Path ".").Path $total = $swmFiles.
Generiranje podpisa manifesta Sure Recover preveri posrednika in sliko s kriptografskimi podpisi. Spodnji primeri uporabljajo par zasebnega/ javnega ključa z obliko zapisa X.509 PEM (s pripono .PEM). Ukaze po potrebi prilagodite tako, da bodo uporabljali dvojiška potrdila DER (s pripono .CER ali .CRT), potrdila PEM, kodirana z BASE-64 (s pripono .CER ali .CRT) ali datoteke PKCS1 PEM (s pripono .PEM). Primer uporablja tudi OpenSSL, ki generira podpise z obliko zapisa big-endian.
Omogočanje ciljnih sistemov Za omogočenje ciljnih sistemov lahko uporabite pripomočke HP Client Management Script Library, HP Client Security Manager (CSM)/Sure Recover ali Manageability Integration Kit (MIK) (https://www.hp.com/go/ clientmanagement). Za to omogočenje vnesite naslednje informacije: 1. Naslov URL datoteke z manifestom, ki ste jo gostili v prejšnjem razdelku (http://your_server.domain/ path/custom.mft). 2.
3 Uporaba posrednika HP Sure Recover znotraj požarnega zidu podjetja Posrednik HP Sure Recover lahko gostuje v intranetu podjetja. Ko namestite SoftPaq za HP Sure Recover, prekopirajte datoteke posrednika iz imenika posrednika HP Sure Recover z namestitvenega mesta na distribucijsko točko HTTP ali FTP. Nato omogočite odjemalski sistem z URL-jem distribucijske točke in HPjevim javnim ključem, imenovanim hpsr_agent_public_key.pem, ki je poslan skupaj s paketom SoftPaq posrednika HP Sure Recover.
posrednika vnesite URL, ki ga dobite pri skrbniku za informacijsko tehnologijo. V polje Ključ za preverjanje posrednika vnesite javni ključ hpsr_agent_public_key.pem. OPOMBA: V URL ne vključite imena datoteke za manifest posrednika, ker BIOS zahteva, da se imenuje recovery.mft. 7. Ko za odjemalski sistem uveljavite pravilnik, ga znova zaženite. 8. Med začetnim omogočanjem se prikaže poziv za vnos štirimestne varnostne kode, s katero dokončate aktiviranje rešitve HP Sure Recover.
4 Delo s pripomočkom HP Client Management Script Library (CMSL) Pripomoček HP Client Management Script Library omogoča upravljanje nastavitev za rešitev HP Sure Recover z lupino PowerShell. Spodnji vzorčni skript prikazuje, kako omogočiti rešitev HP Sure Recover, določiti njeno stanje, spremeniti konfiguracijo in jo onemogočiti. OPOMBA: Več ukazov presega dolžino vrstice tega vodnika, vendar jih je treba vnesti v eni vrstici. $ErrorActionPreference = "Stop" $path = 'C:\test_keys' $ekpw = "" $skpw = ""
-SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image OS ` -ImageKeyFile "$path\os.pfx" ` -username test -password test ` -url "http://www.hp.com/custom/image.mft" $p | Set-HPSecurePLatformPayload $p = New-HPSureRecoverImageConfigurationPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" ` -Image agent ` -ImageKeyFile "$path\re.pfx" ` -username test -password test ` -url "http://www.hp.
Start-Sleep -Seconds 3 $p = New-HPSureRecoverDeprovisionPayload ` -SigningKeyPassword $skpw ` -SigningKeyFile "$path\sk.pfx" $p | Set-HPSecurePlatformPayload Start-Sleep -Seconds 3 Write-host 'Deprovisioning P21' $p = New-HPSecurePlatformDeprovisioningPayload ` -verbose ` -EndorsementKeyPassword $pw ` -EndorsementKeyFile "$Path\kek.
openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: # Create a command signing key openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key CAcreateserial -out sk.crt openssl pkcs12 -inkey sk.key -in sk.crt -export -out sk.
A Odpravljanje težav Pogona ni bilo mogoče particionirati Do napake pri particioniranju pogona lahko pride, če je particija SR_AED ali SR_IMAGE šifrirana s storitvijo Bitlocker. Te particije so običajno ustvarjene z atributom gpt, ki storitvi Bitlocker preprečuje, da bi jih šifrirala, toda če uporabnik particije izbriše in poustvari ali če jih ustvari ročno na pogonu za popolno obnovo, jih posrednik Sure Recover ne more izbrisati, zato se pri vnovičnem particioniranju pogona zapre in sporoči napako.
Tabela A-1 HP Secure Platform Management (Se nadaljuje) ID dogodka Število naprav (vse/DaaS) Število dogodkov (vsi/ DaaS) Opis Opombe 41 221/147 588/332 Postopek obnovitve operacijskega sistema platforme se je uspešno končal. Obnovitev platforme je končana. 42 54/42 252/156 Postopka obnovitve operacijskega sistema platforme ni bilo mogoče uspešno končati. Obnovitev platforme ni uspela.
description: The platform OS recovery process failed to complete successfully. data: 00:00:00:00 HP Sure Recover uporablja naslednje specifične kode dogodkov.
