Sample Secure Boot E2E Automation Guide

Групови правила AvailableUpdatesPolicy

Това е контролираният от GPO/ADMX ключ, който:

• Продължава да съществува при рестартирания

• Зададено от групови правила / MDM

• Не предизвиква повторен опит цикли (изчистени чрез ClearRolloutFlags)

• Е правилният ключ за базирано на правила разполагане

Справка: групови правила обекти (GPO) метод за защитено стартиране за устройства с Windows с актуализации, управлявани от ИТ

назад към "Препратка към настройките на Актуализации сертификат" 

WinCSFlags – Системни флагове за конфигурация на Windows

Администраторите на домейни могат също така да използват системата за конфигуриране на Windows (WinCS ), издадена с актуализациите на ОС Windows, за разполагане на актуализациите на защитеното стартиране сред клиенти и сървъри на Windows, присъединени към домейн. Тя се състои от помощна програма за интерфейс на командния ред (CLI) за заявки и локално прилагане на конфигурации на защитено стартиране към компютъра.

Справка: API на системата за конфигуриране на Windows (WinCS) за защитено стартиране

назад към "Препратка към настройките на Актуализации сертификат"

обратно към началото

Скриптове, необходими за фаза 1

Примерни скриптове за събиране на данни за защитено стартиране

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво"

Локално тестване

Преди да разположите чрез GPO, тествайте скрипта за събиране на една машина, за да проверите функционалността. 

• Локално
  
  изпълнение на скрипт на колекция Отворете подкана на PowerShell с администраторски права и изпълнете:

  & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest" 

• Проверка на резултата от JSON

  
  # View the collected data  Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

  Ключови полета за проверка  
  • SecureBootEnabled – трябва да е True или False
  • OverallStatus – завършено, ReadyForUpdate, NeedsData или грешка
  • BucketHash – Набор от устройства за съпоставяне на
  доверителни данни • SecureBootTaskEnabled - Показва състоянието на задачата за актуализация на защитеното стартиране.

• Тестов скрипт за агрегиране

  
  # Generate reports from collected data  & ".\Aggregate-SecureBootData.ps1"
      -InputPath "C:\Temp\SecureBootTest" '
      -OutputPath "C:\Temp\SecureBootReports"
  
  # Отваряне на HTML таблото
  Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"  

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво" 

Настройка на мрежов дял

• Създаване на мрежов дял
  
  На вашия файлов сървър създайте специален дял за събиране на данни:

  
  # Run on file server as Administrator  $SharePath = "D:\SecureBootCollection"
  $ShareName = "SecureBootData$"
  
  # Създаване на папка
  New-Item - ItemType директория – път $SharePath – принудително
  
  # Create hidden share ($ suffix hides from browse list)
  New-SmbShare -Name $ShareName -Path $SharePath '
      -Description "Колекция за състоянието на сертификата за защитено стартиране" '
      -FullAccess "Домейн администратори" '
      -ChangeAccess "Домейн компютри"    

• Конфигуриране на разрешения за NTFS

  
  # Get current ACL  $Acl = Get-Acl $SharePath
  
  # Allow Authenticated Users to write files
  $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
  "Домейн компютри" и
  "Модифициране",
      "ContainerInherit,ObjectInherit",
      "Няма",
      "Позволи"
  )
  $Acl.AddAccessRule($WriteRule)
  
  # Позволяване на пълно управление на администраторите на домейни (за агрегиране)
  $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
      "Администратори на домейни",
      "FullControl",
      "ContainerInherit,ObjectInherit",
      "Няма",
      "Позволи"
  )
  $Acl.AddAccessRule($AdminRule)
  
  # Прилагане на разрешения
  Set-Acl –път $SharePath $Acl AclObject       

• Проверка на споделянето на достъп

  
  # Test from a domain-joined workstation  Test-Path "\\fileserver\SecureBootData$"
  # Трябва да се върне: True

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво" 

Разполагане на GPO

Използвайте скрипта за автоматизация, предоставен от домейнов контролер:

Този скрипт ще изпълни следното:

• Създава нов GPO със зададено име

• Копира скрипта за събиране в SYSVOL за висока достъпност

• Конфигурира скрипта за стартиране на компютъра

• Връзки GPO към целева организаця

• По желание създава планирана задача за периодично събиране

Таблицата по-долу дава указания колко дълго забавянето ще се базира на размера на вашия автомобил.

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво" 

Резюме на настройките на GPO

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво" 

Потвърждаване

• Принудително актуализиране на GPO на Test Machine

  
  ## On a test workstation  gpupdate /force
  
  # Рестартирайте клиентските машини за стартиране на скрипт или той ще се задейства при следващ график.  
  Restart-Computer -Force

• Проверка на събирането на данни

  # Проверете дали са събрани данни (на файловия сървър или от който и да е компютър)
  Get-ChildItem "\\fileserver\SecureBootData$" |  
      Sort-Object LastWriteTime -Descending |  
      Select-Object -първи 10
   
  # Проверка на JSON съдържание
  Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json 

• Проверка на GPO приложение

  # Проверка дали GPO е приложено към компютъра
  Select-String "SecureBoot"
  Скриптът записва и локално копие за излишък:
  Get-ChildItem "C:\ProgramData\SecureBootCollection\" 

обратно към "Фаза 1: Откриване и мониторинг на състоянието на корпоративно ниво"

обратно към началото 

Скриптове, необходими за фаза 2

Примерни скриптове за събиране на данни за защитено стартиране

обратно към "Фаза 2: Скриптове за организиране на актуализация на сертификат за защитено стартиране" 

Start-SecureBootRolloutOrchestrator.ps1

• Цел: Напълно автоматизирана, непрекъсната организиране с автоматизирано GPO разполагане.

• Какво прави

  • Повиквания Aggregate-SecureBootData.ps1 за състоянието на устройството

  • Генерира вълни на внедряване с помощта на прогресивно удвояване

  • Създава GPO за разполагане на сертификат с помощта на един от следните методи

    • Групови правила за защитено стартиране AvailableUpdatesPolicy = 0x5944 (по подразбиране)

    • Метод WinCS (Параметър –UseWinCS)

  • Създава групи за защита на AD за насочване

  • Добавя компютърни акаунти към групи за защита

  • Конфигурира филтриране на защитата на GPO

  • Връзки GPO към целева организаця

  • Монитори за блокирани кофи (недостъпни устройства)

  • Автоматично разблокира, когато устройствата се възстановят

• Употреба

  
  # Interactive (testing) "\Start-SecureBootRolloutOrchestrator.ps1"
      -AggregationInputPath "\\fileserver\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -PollIntervalMinutes 30

  
  # Interactive (testing), leveraging WinCS method "\Start-SecureBootRolloutOrchestrator.ps1"
      -AggregationInputPath "\\fileserver\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -PollIntervalMinutes 30 '
      -ИзползвайтеWinCS

• команди на Администрация

  
  # List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 – ReportBasePath "C:\SecureBootReports" – ListBlockedBuckets

  
  # Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Географска ширина5520|BIOS1,2"

  
  # Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 - ReportBasePath "C:\SecureBootReports" – Деблокиране на всички

• Параметри

  Параметър	По подразбиране	Описание
  AggregationInputPath	Задължително	UNC път до JSON файлове на крайна точка
  ReportBasePath	Задължително	Локален път за отчети и състояние
  TargetOU	Корен на домейн	OU за свързване на GPO
  WavePrefix	SecureBoot-Rollout	Префикс за наименуване на GPO/група
  MaxWaitHours	72	Часове преди проверка на достъпността на устройството
  Индикатори за анкета	1440	Минути между проверките на състоянието
  DryRun	False	Показване на това, което ще се случи без промени

  Бележка за анкетаIntervalMinutes: Когато организирате директно, стойността по подразбиране е 1440 минути (24 часа). Когато се разположи чрез Deploy-OrchestratorTask.ps1, стойността по подразбиране е 30 минути. Скриптът за разполагане предава собствен скрипт по подразбиране на оркестъра. Използвайте 30 минути за активно внедряване, 1440 за мониторинг на поддръжката.

  Незадължителни параметри

  Параметър	По подразбиране	Описание
  Използване наWinCS	False	Използване на метода WinCS вместо AvailableUpdatesPolicy GPO
  WinCSKey	F33E0C8E002	Ключ за WinCS за конфигурация на защитено стартиране
  AllowListPath	(няма)	Път до файла с имена на хостове до ALLOW за целево/пилотно внедряване. Поддържа .txt или .csv.
  Група AllowAD	(няма)	AD група за защита на компютърни акаунти на ALLOW. Пример: "SecureBoot-Pilot-Computers"
  ExclusionListPath	(няма)	Път до файла с имена на хостове, които да се изключат от внедряването (VIP/executive устройства)
  ExcludeADGroup	(няма)	AD група от компютърни акаунти за изключване. Пример: "VIP-Computers"
  ListBlockedBuckets	False	Показване на блокирани в момента набори устройства
  Разблокиране на разблокиране на разблокиране	(няма)	Деблокиране на определен набор. Формат: "Производител|Модел|"BIOS"
  Разблокиране на всички	False	Разблокиране на всички блокирани набори устройства

обратно към "Фаза 2: Скриптове за организиране на актуализация на сертификат за защитено стартиране"  

Deploy-OrchestratorTask.ps1

• Цел: Разполага оркестъра като планирана задача на Windows.

• Предимства

  • Няма подкани за защитата на PowerShell (ExecutionPolicy Bypass)

  • Непрекъснато изпълнява се във фонов режим

  • Не се изисква взаимодействие с потребителя

  • Оцелява при рестартиране

• Употреба

  • Разполагане с акаунт на услугата за домейни (препоръчително)

    • Използване на групови правила AvailableUpdates (метод по подразбиране)

      "\Deploy-OrchestratorTask.ps1"
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" '
          -ServiceAccount "DOMAIN\svc_secureboot"

    • Използване на метода WinCS

      "\Deploy-OrchestratorTask.ps1"
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" '
          -ServiceAccount "DOMAIN\svc_secureboot" – UseWinCS

  • Разполагане със СИСТЕМЕН акаунт

    • Използване на групови правила AvailableUpdates (метод по подразбиране)

      "\Deploy-OrchestratorTask.ps1"
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports"

    • Използване на WinCS method.\Deploy-OrchestratorTask.ps1

          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" – UseWinCS

    • Изисквания към акаунта на услугата

      • Домейн Администрация (за New-GPO, New-ADGroup, Add-ADGroupMember)

      • Четене на достъпа до споделяне на JSON файлове

      • Достъп за писане в ReportBasePath

обратно към "Фаза 2: Скриптове за организиране на актуализация на сертификат за защитено стартиране"  

Get-SecureBootRolloutStatus.ps1

• Цел: Преглед на напредъка на внедряване от всяка работна станция.

• Какво показва

  • Състояние на планирана задача (изпълняваща/готова/спряна)

  • Номер на текущата вълна

  • Устройства, към които е насочена, срещу актуализирани

  • Лента за визуален напредък

  • Резюме на блокирани набори

  • Връзка към най-новото HTML табло

• Употреба

  
  # Quick status check .\Get-SecureBootRolloutStatus.ps1 - ReportBasePath "C:\SecureBootReports"

  
  # Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

  
  # View blocked buckets .\Get-SecureBootRolloutStatus.ps1 - ReportBasePath "C:\SecureBootReports" – ShowBlocked

  
  # View wave history .\Get-SecureBootRolloutStatus.ps1 - ReportBasePath "C:\SecureBootReports" – ShowWaves

  
  # View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" - ShowLog

  
  # Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 - ReportBasePath "C:\SecureBootReports" – OpenDashboard

• Параметри

  Параметър	Изисква?	По подразбиране	Описание
  ReportBasePath	Задължително	—	Локален път до отчети и файлове за състояние
  Дневник на слайдшоуто	Опционално	False	Показване на последните записи в регистрационния файл на orchestrator
  ShowBlocked	Опционално	False	Показване на подробности за блокирани набори
  Шоувиви домакини	Опционално	False	Показване на хронологията на вълните
  Гледане	Опционално	0 (забранено)	Интервал на автоматично обновяване в секунди. Пример: -Watch 30 се обновява на всеки 30 секунди.
  OpenDashboard	Опционално	False	Отваряне на най-новото HTML табло в браузъра по подразбиране

• Примерен резултат

  
  ==============================================================    СЪСТОЯНИЕ НА ВНЕДРЯВАНЕ НА
  ЗАЩИТЕНО СТАРТИРАНЕ    2026-02-17 19:30:00
  ======================================================

  Scheduled Task: Running

  
  ROLLOUT PROGRESS
  ---------------------------------------- Състояние: InProgress
  Текуща вълна: 5
  Общо целеви: 1250
  Обща актуализация: 847

  Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%

  
  BLOCKED BUCKETS: 2 buckets need attention   Изпълнение с -ShowBlocked за подробни данни

  
  LATEST DASHBOARD
  C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________

обратно към "Фаза 2: Скриптове за организиране на актуализация на сертификат за защитено стартиране"

обратно към началото 

Етап 1: Инфраструктура за откриване

• Стъпка 1: Създаване на споделяне на колекция

  
  # On file server $sharePath = "D:\SecureBootData"
  New-Item - ItemType директория – път $sharePath – принудително
  New-SmbShare -Name "SecureBootData$" - Път $sharePath -FullAccess "Администратори на домейни" -ChangeAccess "Компютри с домейн"

  
  # Set NTFS permissions $acl = Get-Acl $sharePath
  $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
  $acl е. AddAccessRule($rule)
  Set-Acl $sharePath $acl

• Стъпка 2: Разполагане на GPO за откриване

  
  .\Deploy-GPO-SecureBootCollection.ps1 `     -DomainName "contoso.com" '
      -OUPath "OU=Workstations,DC=contoso,DC=com" '
      -CollectionSharePath "\\server\SecureBootData$"

• Стъпка 3: Изчакайте крайните точки да се докладват (24 – 48 часа)

  # Проверка на напредъка на събирането
  (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Брой

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)" 

Фаза 2: Организирано внедряване

• Стъпка 4: Проверка на предварителните изисквания

  • Разполагане на GPO за откриване (стъпка 2)

  • JSON за отчитане на най-малко 50+ крайни точки

  • Акаунт на услуга с права за домейн Администрация

  • Сървър за управление с PowerShell 5.1+

• Стъпка 5: Разполагане на Orchestrator като планирана задача

  
  .\Deploy-OrchestratorTask.ps1 `     -AggregationInputPath "\\server\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -ServiceAccount "DOMAIN\svc_secureboot"

• Стъпка 6: Наблюдаване на напредъка

  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

• Стъпка 7: Преглед на таблото

  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

• Стъпка 8: Управление на блокирани набори

  
  # List blocked .\Start-SecureBootRolloutOrchestrator.ps1 – ReportBasePath "C:\SecureBootReports" – ListBlockedBuckets

  
  # Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Модел|"BIOS"

• Стъпка 9: Проверка на завършването

  
  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Състоянието трябва да показва "Завършена"

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)"  

Щат Files

Orchestrator поддържа състояние в ReportBasePath\RolloutState\:

обратно към "Стъпки за разполагане на E2E (ръководство за бърза справка)" 

обратно към началото 

Orchestrator Not Progressing

1. Проверка на планирана задача

   Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

2. Проверка на регистрационните файлове

   Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

3. Проверка на актуалността на данните от JSON

   (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

обратно към "Отстраняване на неизправности" 

Блокирани набори

1. Списъкът е блокиран.

   .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

2. Проучете достъпността на устройството.

3. Проверете за проблеми с фърмуера.

4. Деблокиране след проучване.

обратно към "Отстраняване на неизправности"  

GPO не се прилага

1. Проверете дали съществува GPO.

   Get-GPO -Name "SecureBoot-Rollout-Wave*"

2. Проверете филтрирането на защитата.

   Get-GPPermission -Name "GPO-Name" -All

3. Проверете дали компютърът е в група за защита.

4. Приложете GPO върху целта.

   gpupdate /force

обратно към "Отстраняване на неизправности"

обратно към началото