Sample Secure Boot E2E Automation Guide

Отнася се за
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Забележка

Първоначална дата на публикуване: 16 март 2026 г.
Последна дата на актуализация: 12 май 2026 г.
ИД на БЗ: 5084567

В тази статия

Общ преглед

Това ръководство описва системата за автоматизирано разполагане за актуализации на сертификати на база данни за защитено стартиране на Windows чрез групови правила и вълни на постепенно внедряване.

Автоматизацията на внедряването на сертификат за защитено стартиране е система, базирана на PowerShell, която разполага актуализации на сертификати на база данни за защитено стартиране на Windows на компютри, присъединени към домейн, по контролиран и градуиран начин.

обратно към началото

Ключови характеристики

Функция Описание
Постепенно внедряване 1 > 2 > 4 > 8... Устройства на набор
Автоматично блокиране Кофите с недостъпни устройства са изключени
Автоматизирано внедряване на GPO Един скрипт на оркестратор обработва всичко
Планирано изпълнение на задача Не са необходими интерактивни подкани
Наблюдение в реално време Визуализатор на състоянието с лента на напредъка

обратно към началото

Справка за настройките за Актуализации на сертификати

В този раздел

НаличниАктуализацииПравила за групови правила

Местоположение на системния регистър HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Име НаличниАктуализацииПравила
Стойност 0x5944 (DWORD)

Това е клавиш, управляван от GPO/ADMX, който:

  • Продължава при рестартирания
  • се задава от групови правила/MDM
  • Не води до цикли за повторен опит (изчистено чрез ClearRolloutFlags)
  • Правилният ключ за внедряване, управлявано от правила

Справка: Метод на обектите с групови правила (GPO) за защитено стартиране за устройства с Windows с актуализации, управлявани от информационни технологии

Обратно към "Справка за настройките на Актуализации на сертификати"

WinCSFlags – флагове на системата за конфигуриране на Windows

Домейновите администратори могат алтернативно да използват системата за конфигуриране на Windows (WinCS), издадена с актуализации за операционната система Windows, за да разположат актуализациите на защитеното стартиране в присъединени към домейна клиенти и сървъри на Windows. Тя се състои от помощна програма за интерфейс за командния ред (CLI) за заявки и локално прилагане на конфигурации на защитеното стартиране към компютър.

Име на функция WinCS ключ Описание
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Разрешаването на този ключ позволява инсталирането на следните нови сертификати за защитено стартиране, предоставени от Microsoft, на вашето устройство.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Справка: API на системата за конфигуриране на Windows (WinCS) за защитено стартиране

Обратно към "Справка за настройките на Актуализации на сертификати"

обратно към началото

Архитектура

Работен поток ''Архитектура''

обратно към началото

Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво

В този раздел

Скриптове, необходими за фаза 1

Примерни скриптове за събиране на данни за инвентар на защитено стартиране

Забележка

ВАЖНО Следните статии, съдържащи примерните скриптове, са оттеглени. Ако сте инсталирали актуализация на Windows, издадена на или след 12 май 2026 г., примерните скриптове могат да бъдат намерени в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.

Примерно име на скрипт Цел Работи в
Примерен скрипт на Detect-SecureBootCertUpdateStatus.ps1 Събира данни за състоянието на устройството Всяка крайна точка (чрез GPO)
Примерен скрипт на Aggregate-SecureBootData.ps1 Генерира отчети и табла Администрация работна станция
Примерен скрипт на Deploy-GPO-SecureBootCollection.ps1 Автоматизира създаването на GPO за събиране на данни Домейнов контролер
Примерен резултат от горните скриптове на Фаза 1

Табло за състояние на сертификата за защитено стартиране

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

Локално тестване

Преди да разположите чрез GPO, тествайте скрипта за събиране на данни на една машина, за да проверите функционалността.

  • Локално изпълнение на скрипт за колекция

    Отворете администраторска подкана на PowerShell и изпълнете:

    Забележка

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Проверка на JSON изхода

    Забележка

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Ключови полета за проверка  
    SecureBootEnabled – трябва да е вярно или грешно
    OverallStatus – Complete, ReadyForUpdate, NeedsData или грешка
    BucketHash – Набор устройства за съвпадение на достоверни данни
    SecureBootTaskEnabled – показва състоянието на задачата за актуализиране на защитеното стартиране.

  • Скрипт за тестово агрегиране

    Забележка

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Отваряне на HTML таблото

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

Настройка на мрежов дял

  • Създаване на мрежовия дял

    На вашия файлов сървър създайте специален дял за събиране на данни:

    Забележка

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Създаване на папка

    New-Item -ItemType Directory -Път $SharePath -Force
     

    Създаване на скрит дял (суфиксът $ се скрива от списъка за разглеждане)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Описание: "Колекция за състояние на сертификат за защитено стартиране" '
        -FullAccess "Domain Admins" '
        -ChangeAccess "Domain Computers"

  • Конфигуриране на разрешения за NTFS

    Забележка

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Позволяване на удостоверени потребители да записват файлове

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Домейнови компютри" и
    "Modify",
        "ContainerInherit,ObjectInherit",
        "Няма",
        "Allow" (Разрешаване)
    )
    $Acl.AddAccessRule($WriteRule)
     

    Разрешаване на пълен контрол (за агрегиране) на администраторите на домейни

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Domain Admins",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Няма",
        "Allow" (Разрешаване)
    )
    $Acl.AddAccessRule($AdminRule)
     

    Прилагане на разрешения

    Set-Acl -Path $SharePath -AclObject $Acl

  • Проверка на достъпа за споделяне

    Забележка

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Трябва да се върне: True

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

Внедряване на GPO

Използвайте скрипта за автоматизация, предоставен от домейнов контролер:

Забележка

Изпълнение на домейнов контролер като домейнов Администрация за интерактивна секция "OU" – препоръчва се

Заменете "Contoso.com", "Contoso" с името на домейна

Заместете FILESERVER с името на файловия сървър.  Скриптът показва списък с OU за разполагане на GPO

.\Deploy-GPO-SecureBootCollection.ps1 '
    -Име на домейн "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Планирайте "Ежедневно" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Този скрипт ще извърши следното:

  • Създава нов GPO със зададено име
  • Копира скрипта за колекция в SYSVOL за висока достъпност
  • Конфигурира скрипта за стартиране на компютъра
  • Свързва GPO с целеви OU
  • По желание създава планирана задача за периодично събиране

Следващата таблица предоставя насоки за това колко дълго ще бъде закъснението в зависимост от размера на вашия автопарк.

Размер на флота Диапазон на забавяне
1-10K устройства 4 часа
10K-50K устройства 8 часа
50K+ устройства 12 – 24 часа

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

Обобщение на настройките на GPO

Настройка Местоположение Стойност
Стартиране на скрипт Computer Config → Scripts Detect-SecureBootCertUpdateStatus.ps1
Параметри на скрипт (същото) -OutputPath "\\server\share$"
Правила за изпълнение Шаблони за конфигурация на компютъра → Администрация → PowerShell Позволяване на локално и отдалечено влизане
Планирана задача Предпочитания за конфигурацията на компютъра → → планираните задачи Ежедневна/седмична колекция

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

Потвърждаване

  • Force GPO Update on Test Machine

    Забележка

    ## On a test workstation 
    gpupdate /force
     

    Рестартирайте машините клиенти, за да стартирате скрипт или той ще се задейства по следващия график.

    Restart-Computer -Force

  • Проверка на събирането на данни

    Забележка

    Проверка дали са събрани данни (на файлов сървър или от компютър)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime – низходящо |
        Select-Object – първите 10
     

    Проверка на JSON съдържание

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Проверка на GPO приложение

    Забележка

    Проверете дали GPO е приложен към компютъра

    Select-String "SecureBoot"
    Скриптът записва също и локално копие за излишък:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

обратно към "Фаза 1: Откриване и наблюдение на състоянието на корпоративно ниво"

обратно към началото

Фаза 2: Скриптове за оркестрация на актуализация на сертификат за защитено стартиране

Важно

Уверете се, че Фаза 1 е завършена, включително събиране на данни за всяка крайна точка за отдалечените споделяния на сървъра.

В този раздел

Скриптове, необходими за фаза 2

Примерни скриптове за събиране на данни за инвентар на защитено стартиране

Забележка

ВАЖНО Следните статии, съдържащи примерните скриптове, са оттеглени. Ако сте инсталирали актуализация на Windows, издадена на или след 12 май 2026 г., примерните скриптове могат да бъдат намерени в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.

Примерно име на скрипт Цел Изпълнява се на
Примерен скрипт на Detect-SecureBootCertUpdateStatus.ps1 Събира данни за състоянието на устройството Всяка крайна точка (чрез GPO)
Примерен скрипт на Aggregate-SecureBootData.ps1 Генерира отчети и табла Администрация работна станция
Примерен скрипт на Deploy-GPO-SecureBootCollection.ps1 Автоматизира създаването на GPO за събиране на данни Домейнов контролер
Примерен скрипт на Start-SecureBootRolloutOrchestrator.ps1 Напълно автоматизирана, непрекъсната оркестрация с автоматизирано внедряване на GPO за инсталиране на сертификати Администрация работна станция
Примерен скрипт на Deploy-OrchestratorTask.ps1 Разполага скрипт на Orchestrator като планирана задача за автоматизирано внедряване Домейнов контролер
Примерен скрипт на Get-SecureBootRolloutStatus.ps1 Преглед на сертификата за защитено стартиране Състояние на пускане от която и да е работна станция Администрация на работна станция
Примерен скрипт на Enable-SecureBootUpdateTask.ps1 Разрешава задача за актуализиране на защитеното стартиране В крайните точки, където задачата е забранена (изпълнете само веднъж, за да разрешите задачата, ако е забранена)

обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"

Start-SecureBootRolloutOrchestrator.ps1

  • Предназначение: Напълно автоматизирана, непрекъсната оркестрация с автоматизирано GPO внедряване.

  • Как работи

    • Обаждания Aggregate-SecureBootData.ps1 за състоянието на устройството

    • Генерира вълни за внедряване с помощта на прогресивно удвояване

    • Създава GPO за разполагане на сертификат, като използва един от следните методи

      • Защитено стартиране Групови правила AvailableUpdatesPolicy = 0x5944 (по подразбиране)
      • Метод на WinCS (параметър –UseWinCS)
    • Създава AD защитни групи за насочване

    • Добавя акаунти на компютър към групи за защита

    • Конфигурира филтрирането на защитата от GPO

    • Свързва GPO с целеви OU

    • Следи за блокирани набори (недостъпни устройства)

    • Автоматично се деблокира, когато устройствата се възстановяват

  • Използване

    Забележка

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Забележка

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Административни команди

    Забележка

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Забележка

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockBucket "Dell|Географска ширина5520|BIOS1.2"

    Забележка

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockAll

  • Параметри

    Параметър По подразбиране Описание
    AggregationInputPath Задължителен UNC път до JSON файлове на крайна точка
    ReportBasePath Задължителен Локален път за отчети и състояние
    TargetOU Корен на домейн OU за свързване на GPO
    WavePrefix SecureBoot-Rollout Префикс за наименуване на групи от GPO/групи
    MaxWaitHours 72 Часове преди да проверите достъпността на устройството
    PollIntervalMinutes 1440 Минути между проверки на състоянието
    Пробег на суша False Показване какво би се случило без промени

    Забележка

    Бележка за PollIntervalMinutes: При директно стартиране на Orchestrator настройката по подразбиране е 1440 минути (24 часа). Когато се разположи чрез Deploy-OrchestratorTask.ps1, настройката по подразбиране е 30 минути. Скриптът за разполагане предава свои собствени настройки по подразбиране на оркестратора. Използвайте 30 минути за активно внедряване, 1440 за наблюдение на поддръжката.

    Незадължителни параметри

    Параметър По подразбиране Описание
    UseWinCS False Използване на метод WinCS вместо AvailableUpdatesPolicy GPO
    WinCSKey F33E0C8E002 WinCS ключ за конфигуриране на защитено стартиране
    AllowListPath (няма) Път до файл с имена на хостове, за да ПОЗВОЛИТЕ целево/пилотно внедряване. Поддържа .txt или .csv.
    AllowADGroup (няма) Група за защита на AD от акаунти на компютъра, които да РАЗРЕШИТЕ. Пример: "SecureBoot-pilot-computers"
    ExclusionListPath (няма) Път до файл с имена на хостове, които да се ИЗКЛЮЧАТ от внедряването (VIP/executive устройства)
    ИзключваADGroup (няма) Група за защита на AD от компютърни акаунти, които трябва да се изключат. Пример: "VIP-компютри"
    ListBlockedBuckets False Показване на блокираните в момента набори устройства
    UnblockBucket (няма) Разблокиране на определен набор. Формат: "Производител|Модел|BIOS"
    Разблокиране на всички False Разблокирайте всички блокирани набори от устройства

обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"

Deploy-OrchestratorTask.ps1

  • Предназначение: Разполага Orchestrator като планирана задача в Windows.

  • Предимства

    • Няма подкани за защита на PowerShell (заобикаляне на ExecutionPolicy)
    • Изпълнява се непрекъснато във фонов режим
    • Не се изисква взаимодействие с потребителя
    • Оцелява след рестартирания
  • Използване

    • Разполагане с акаунт за домейнова услуга (препоръчва се)

      • Използване на групови правила AvailableUpdates (метод по подразбиране)

        Забележка

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Използване на метод WinCS

        Забележка

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "ДОМЕЙН\svc_secureboot" -UseWinCS

    • Разполагане със СИСТЕМЕН акаунт

      • Използване на групови правила AvailableUpdates (метод по подразбиране)

        Забележка

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Използване на WinCS method.\Deploy-OrchestratorTask.ps1

        Забележка

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Изисквания към акаунта за услуга

        • Администрация на домейн (за New-GPO, New-ADGroup, Add-ADGroupMember)
        • Достъп за четене до споделяне на файлове JSON
        • Достъп за писане в ReportBasePath

обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"

Get-SecureBootRolloutStatus.ps1

  • Предназначение: Виждате напредъка на внедряването от всяка работна станция.

  • Какво показва

    • Състояние на планираната задача (изпълнявана/готова/спряна)
    • Текущ номер на вълната
    • Устройства, които са набелязани спрямо актуализирани
    • Визуална лента на напредъка
    • Резюме на блокираните набори
    • Връзка към последното HTML табло
  • Използване

    Забележка

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Забележка

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Забележка

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Забележка

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Забележка

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Забележка

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Параметри

    Параметър Задължително? По подразбиране Описание
    ReportBasePath Задължително Локален път до отчети и файлове за състояние
    ShowLog Незадължително False Показване на последните записи в регистрационния файл на Orchestrator
    ShowBlocked Незадължително False Показване на подробна информация за блокирани набори
    ShowWaves Незадължително False Показване на хронологията на вълните
    Гледане Незадължително 0 (забранено) Интервал на автоматично обновяване в секунди. Пример: -Гледайте 30 обновявания на всеки 30 секунди.
    OpenDashboard Незадължително False Отваряне на последното HTML табло в браузъра по подразбиране
  • Примерен резултат

    Забележка

    • ==============================================================
         СЪСТОЯНИЕ НА ВНЕДРЯВАНЕТО НА ЗАЩИТЕНОТО СТАРТИРАНЕ
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Състояние: В ход на изпълнение
    Текуща вълна: 5
    Общо целеви: 1250
    Общо актуализирани: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        За подробности изпълнете с -ShowBlocked
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

обратно към "Фаза 2: Скриптове за актуализиране на оркестрация на сертификат за защитено стартиране"

обратно към началото

Стъпки за разполагане на E2E (ръководство за бърза справка)

В този раздел

Фаза 1: Инфраструктура за откриване

  • Стъпка 1: Създаване на споделяне на колекция

    Забележка

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Забележка

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers";"Modify";"Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Стъпка 2: Разполагане на GPO за откриване

    Забележка

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Име на домейн "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Стъпка 3: Изчакайте крайните точки да докладват (24 – 48 часа)

    Забележка

    Проверка на напредъка на събирането

    (Get-ChildItem "\\server\SecureBootData$" -filter "*.json"). Брой

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"

Фаза 2: Оркестрирано внедряване

  • Стъпка 4: Проверка на задължителните компоненти

    • Внедряване на GPO за откриване (стъпка 2)
    • Най-малко 50+ JSON за отчитане на крайни точки
    • Акаунт за услуга с права на Администрация на домейна
    • Сървър за управление с PowerShell 5.1+
  • Стъпка 5: Разполагане на Orchestrator като планирана задача

    Забележка

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Стъпка 6: Наблюдавайте напредъка

    Забележка

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Стъпка 7: Преглед на таблото

    Забележка

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Стъпка 8: Управление на блокирани набори

    Забележка

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Забележка

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -unblockBucket "Manufacturer|Модел|BIOS"

  • Стъпка 9: Проверка на изпълнението

    Забележка

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Състоянието трябва да показва "Завършено"

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"

State Files

Оркестраторът поддържа състояние в ReportBasePath\RolloutState\:

Файл Описание
RolloutState.json История на вълните, целеви устройства, състояние
BlockedBuckets.json Кофи, които се нуждаят от проучване
DeviceHistory.json Проследяване на устройство по име на хост
Orchestrator_YYYYMMDD.log Дневници на ежедневната дейност

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"

обратно към началото

Отстраняване на неизправности

В този раздел

Orchestrator не напредва

  1. Проверка на планирана задача

    Забележка

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Проверка на регистрационните файлове

    Забележка

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Проверка на актуалността на JSON данните

    Забележка

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

обратно към "Отстраняване на неизправности"

Блокирани набори

  1. Списъкът е блокиран.

    Забележка

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Проучете дали устройството е достъпно.

  3. Проверете за проблеми с фърмуера.

  4. Деблокиране след разследване.

обратно към "Отстраняване на неизправности"

Не се прилага GPO

  1. Проверете дали GPO съществува.

    Забележка

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Проверете филтрирането на защитата.

    Забележка

    Get-GPPermission -Name "GPO-Name" -All

  3. Проверете дали компютърът е в групата за защита.

  4. Приложете GPO към целта.

    Забележка

    gpupdate /force

обратно към "Отстраняване на неизправности"

обратно към началото

Регистър на промените

Промяна на датата Описание на промяната
12 май 2026 г. Преди това всеки примерен скриптов файл се публикуваше като отделни статии, от които копирате и поставяте скрипта. Започвайки с актуализациите на Windows, издадени на и след 12 май 2026 г., примерните скриптове се намират в папката %systemroot%\SecureBoot\ExampleRolloutScripts на вашето устройство.