设备重置和恢复
设备重置
设备重置是将设备恢复到其初始状态(删除所有用户数据)的过程。 当你要擦除用户数据/企业预配数据并将设备恢复到其原始状态时,这非常有用。
设备重置包括以下关键操作:
- 设置数据分区的格式(所有存储的数据都将丢失)
- 如果 OEM 自定义包要使用设备重置,则它们不应将文件/数据存储在数据分区中。
- 将所有注册表设置还原为打包中指定的初始值
- 删除主 OS 分区中的无关文件,不包括打包中指定的文件
- 将 Microsoft Store 应用恢复到映像中打包的版本(通过 PPKG)
- 通过 Microsoft Store 执行的应用商店应用更新将被还原
- 在运行时对 BCD 设置进行的所有更改都将保持不变
- 所有应用到设备的 OS/OEM 更新都将保持不变
备注
恢复过程还将回滚更新,并将设备恢复到出厂状态。
恢复出厂设置
恢复出厂设置 将设备的状态连同任何更新程序包一起还原回其首次启动状态。 此项重置不会使设备返回到原始出厂状态。 若要将设备返回到原始出厂状态,必须使用原始出厂映像对设备进行刷机。 企业应用于设备的所有预配都将丢失,需要根据具体情况重新应用。
使用移动设备管理进行重置
可使用 RemoteWipe CSP 触发设备重置
使用 Azure 设备管理进行重置
也可通过使用远程擦除 API的 Azure 设备管理来触发设备重置。
注意
通过此 API 重置会执行其他功能,例如重置 TPM。
设备恢复
设备恢复是指对由于存储状态不正确而无法使用的设备进行恢复的过程。 这是通过启动到已知的安全 OS 或恢复 OS 并重新刷写存储媒体来完成的。
恢复的三个关键要素是:
- 安全 OS:此 OS 可配置为在没有 UI 的情况下在启动时启动。 在此状态下,它可运行刷写应用,从预定义的位置应用恢复映像。
- 恢复 SW:用于重新刷写设备的 SW 映像
- 恢复设计选择:根据安全 OS 和恢复软件的位置,有多种设计可供选择,请参阅下面的各种选项。
备注
此过程不会从存储的硬件故障(例如灾难性媒体故障)中恢复。
使用可启动的 USB 进行恢复
在此方法中,从 USB 启动设备(使用可启动的安全 OS 和 FFU),并使用 USB 中的 FFU 刷写设备。
- “WinPE:创建 USB 可启动的驱动器”提供有关创建可启动的 U 盘的信息。
- “使用完整闪存更新 (FFU) 部署 Windows”提供了有关在 USB 中存储 FFU 文件的信息。
硬件要求:
- 要求设备具有 USB 端口
- 可能需要硬件密钥(或密钥组合)来触发此操作
BSP 更改:
- 需要更改以响应 HW 触发器(密钥/密钥组合),从而从 USB 启动
- 备用设计选择可以是始终优先从 USB 启动,这样就没有要触发此项的显式需求。 然而,这也意味着,只要检测到可启动的 USB,设备就会进入此状态。
使用内置安全 OS 进行恢复
在此方法中,设备在单独的分区中包含一个安全 OS。 根据恢复 SW 的位置,可能有几个选项。 下面将详细介绍。
USB 设备/SD 卡中的恢复 SW
在此选项中,恢复 SW 从连接的 USB 设备/SD 卡中提取。
硬件要求:
- 需要 SD 卡接口或 USB 端口(大容量存储)
- 可能需要硬件密钥(或密钥组合)来触发
BSP 更改:
- 需要更改以响应 HW 触发器(密钥/密钥组合),从而在单独的分区中启动至安全 OS
- USB 设备/SD 卡接口的驱动程序可能需要添加到安全 OS
- 设备布局更改以存储安全 OS(大小可以更小以仅容纳安全 OS)
- 刷写工具,仅更新主 OS 和数据分区,并跳过更新安全 OS 分区。 对于保持安全 OS 能够在恢复过程中出现断电时重试恢复,这点至关重要。
恢复分区中的恢复 SW
此选项与之前的选项类似,区别仅在于将恢复 SW 存储在恢复分区本身。 此方法的设备布局在恢复分区的大小上可能有所不同(更大的大小可容纳恢复 SW 和可能的备份恢复 SW)。
提示
设备上存在的恢复 SW 将随着时间的推移而过时,并且在恢复后,OS 版本可能会脱离更新序列。 缓解此问题的一种方法是使用 BSP 更新路径,以每年一次的频率刷新设备上的恢复 SW 映像。
云中的恢复 SW
在此选项中,恢复 SW 从预定义的云服务/网络位置下载。 需要对云服务进行设置,使其能够安全地向设备提供恢复 SW。 若要实现此选项,安全 OS 必须支持网络连接,因此需要将 Wi-Fi 驱动程序添加到安全 OS 中,除此之外,主 OS 中的 Wi-Fi 配置文件也应该可供安全 OS 用于连接到网络。