Windows 10 Upgrade auf PCs mit McAfee Drive Encryption

Moderator: MVogt

Post Reply
d.schl.
Posts: 2
Joined: 27. May 2019, 11:26
Contact:

Windows 10 Upgrade auf PCs mit McAfee Drive Encryption

Post by d.schl. » 29. May 2019, 09:58

Hallo zusammen,

ich versuch nun schon seit geraumer Zeit unsere Clients auf die neueste Windows 10 Version zu aktualisieren.

Zu unserer Umgebung:

Wir haben knapp 600 Windows 10 Enterprise und Pro Rechner in den Versionen 1703,1709,1803 und 1809 im Einsatz.
Als Grundinstallation benutzen wir die Englische Version und packen dann noch eine von 7 Sprachpaketen, je nach bedarf, oben drauf.
Zu allem Überfluss, sind unsere Laptop mit der McAfee Drive Encryption in der Version 7.2.8.4 verschlüsselt, Desktop Rechner sind unverschlüsselt...
Per Gruppenrichtlinie haben wir die Upgrades zurückgestellt, damit diese nicht einfach irgendwann unkontrolliert über das Windows Update installiert werden. Wir haben das aktuelle Patch Management im Einsatz um unsere Clients mit Updates zu versorgen.

Folgendes habe ich schon versucht:

- Empirum Patch Managment: ISO laut Matrix42 Hilfe Artikel eingebunden. Direkt nach dem dem ersten Neustart, startet der Windows Wiederherstellungsmodus. Wenn ich hier auf Windows starten gehe, erfolgt der Rollback auf die aktuell installierte Windows 10 Version.

- Inplace Upgrade Paket von Matrix42: mithilfe des Assistenten kann man sich zwar ein Paket erstellen, allerdings läuft das nicht ohne größere Modifikationen am Paket durch.
Dank der Verschlüsselung muss man einen Befehl bei der Installation mitgeben (siehe: https://kc.mcafee.com/corporate/index?p ... id=KB89000). Falls der Rechner nicht verschlüsselt ist, schlägt der Aufruf fehl... Das heißt, es muss eine zusätzliche Überprüfung eingebaut werden. Aufwendig wird auch das korrekte zuweisen der jeweiligen Inplace Upgrade Pakete .
Interessant ist auch, dass teilweise das Paket auf einem Rechner installiert wird und auf dem anderen fehlschlägt, weil er meint, das die installierte Sprachversion nicht passen würde. Dabei sind beide Rechner auf die gleiche Art und Weise mit einem deutschen Sprachpaket installiert worden :roll:
Das Ganze dann mal 14 und dazu 2 mal im Jahr bei jedem Release, um alle Varianten abzudecken die wir im Einsatz haben... Da kommt Freude auf.
Ich habe auch schon versucht die Sprachpakete und die Drive Encryption Treiber in die Install.wim zu integrieren, leider bringt das auch keine Besserung.

- Inplace Upgrade Paket von Neo42: Die Probleme sind die gleichen wir bei dem Matrix42 Paket...

- WSUS Client von Neo42: in dem verlinktem KB Artikel von McAfee steht, das der WSUS oder das Update über die Windows Update Funktion ohne weiteres zutun unterstützt wird, was ich auch bestätigen kann. Meine Idee war nun, das Patch Management weiter für die Windows Updates zu verwenden und das WSUS Client Paket um die Inplace Upgrades einzuspielen.
Leider macht da Microsoft einen Strich durch die Rechnung, da laut Neo42 die Kategorie Upgrades in der API vom WSUS nicht unterstützt wird. :evil:

Ich bin so langsam wirklich am verzweifeln... Gibt es vielleicht jemanden, der eine ähnliche Umgebung hat und das Problem in den Griff bekommen hat?

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Windows 10 Upgrade auf PCs mit McAfee Drive Encryption

Post by MaMa82 » 29. May 2019, 10:30

Hallo!

Ganz doofe Frage - ist die Funktion des Upgrades bei unverschlüsselten System ohne AntiViren Software überprüft worden?
Ist sonstige Security Software (EgoSecure oder Konsorten) im Einsatz?

Ich meine nicht ohne Grund hält das Feature Upgrade beispielsweise die Bitlocker Verschlüsselung an.

Erfahrungsgemäß ist das Thema Feature Upgrade bei verschlüsselten / 'sicheren' Systemen nicht ganz so trivial.

Beim Thema mehrsprachiger Feature Upgrades muss ich leider passen. :(
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

d.schl.
Posts: 2
Joined: 27. May 2019, 11:26
Contact:

Re: Windows 10 Upgrade auf PCs mit McAfee Drive Encryption

Post by d.schl. » 29. May 2019, 11:01

Danke für die schnelle Antwort.

Auf unverschlüsselten Systemen funktionieren die Varianten Empirum Patch Managment und die Inplace Upgrade Pakete von Neo42 und Matrix42 Problemlos, mit Ausnahme der Sprachproblematik.
Der Stolperstein ist ganz klar die McAfee Drive Encryption.
Wie schon beschrieben kann Microsoft selber ohne weiteres zutun damit umgehen über Windows Update oder WSUS ein mit McAfee Drive Encryption verschlüsseltes System auf die neueste Version zu aktualisieren. Auch das Upgrade Tool von Microsoft funktioniert absolut Problemlos. Das habe ich hier auch schon mehrfach benutzt um einzelne Rechner zu aktualisieren.
Sobald man versucht das Ganze zu automatisieren per 3rd party tools, bekommt man Steine in den Weg gelegt...
Ein vorheriges entschlüsseln und anschließendes verschlüsseln kommt von Security Seite nicht in Frage.
Außerdem könnte ich den Zustand der Festplatte sowieso nicht per Paket auslesen.

Wenn es trivial wäre, würde ich nicht Fragen :wink:
Ich habe mittlerweile auch schon mehrfach mit dem Neo42 und dem Matrix42 Support darüber gesprochen. Leider gab es dort auch bis jetzt noch keine Lösung.

Deshalb versuche ich auch über diesem Weg jemanden zu finden, der das Problem hatte und lösen konnte.
Ich kann mir nicht vorstellen, dass wir die einzigen mit diesem Problem sind?

MarcW
Posts: 283
Joined: 09. Jan 2008, 08:57
Contact:

Re: Windows 10 Upgrade auf PCs mit McAfee Drive Encryption

Post by MarcW » 03. Jul 2019, 15:24

Hallo,

wir verwenden auch die McAfee Drive Encryption. v7.2.7.8
In Verbindung mit dem McAfee Virusscan 8.8 Patch 12

Erstes Problem war, dass das Feature-Update nur mit Patch 13 funktioniert. Dies kann man als Abhängigkeit, bzw. als "Vorpaket" lösen.

Ich habe in das Feature-Update Script eine Abfrage eingebaut, wo ich nach der benötigten setupconfig.ini suche, und je nach Vorhandensein dieser Datei, den Befehl dazu ausführe oder eben nicht.

Mache jetzt die dritte Testinstallation, bzw. Update und es klappt wunderbar.

Gruß Marc

Code: Select all

[Set:Product]
AddMeter -1
If DoesFileExist ("%systemdrive%\Users\Default\AppData\Local\Microsoft\Windows\WSUS\SetupConfig.ini") == "1" Then "Laptop" Else "Desktop" EndIf

[Desktop]
CallHidden "%Src%\%VM_SourceDir%\Setup.exe" /auto upgrade /DynamicUpdate disable /Telemetry disable /Copylogs "%Temp%\UpgradeLogs" /showoobe none %V_InstParameters% /noreboot
If %Errorlevel% <> "0" Then "Set:UpgradeError" EndIf
SetReboot 1
CallHidden Schtasks.exe /Create /XML "%Src%\Custom\Start Eris.xml" /tn "Start Eris"

[Laptop]
CallHidden "%Src%\%VM_SourceDir%\Setup.exe" /auto upgrade /DynamicUpdate disable /Telemetry disable /Copylogs "%Temp%\UpgradeLogs" /showoobe none %V_InstParameters% /noreboot /ConfigFile "%systemdrive%\Users\Default\AppData\Local\Microsoft\Windows\WSUS\SetupConfig.ini"
If %Errorlevel% <> "0" Then "Set:UpgradeError" EndIf
SetReboot 1
CallHidden Schtasks.exe /Create /XML "%Src%\Custom\Start Eris.xml" /tn "Start Eris"

Post Reply

Return to “Patch Management”

Who is online

Users browsing this forum: No registered users and 5 guests