Δείγμα οδηγού αυτοματοποίησης ασφαλούς εκκίνησης E2E
Ισχύει για
Αρχική ημερομηνία δημοσίευσης: 16 Μαρτίου 2026
KB ID: 5084567
Σε αυτό το άρθρο
Επισκόπηση
Αυτός ο οδηγός περιγράφει το αυτοματοποιημένο σύστημα ανάπτυξης για ενημερώσεις πιστοποιητικών DB ασφαλούς εκκίνησης των Windows με χρήση Πολιτική ομάδας και προοδευτικών κυμάτων παράδοσης.
Η Αυτοματοποίηση κυκλοφορίας πιστοποιητικών ασφαλούς εκκίνησης είναι ένα σύστημα που βασίζεται στο PowerShell και αναπτύσσει ενημερώσεις πιστοποιητικών Ασφαλούς εκκίνησης DB των Windows σε υπολογιστές που συμμετέχουν σε τομέα με ελεγχόμενο, διαβαθμισμένο τρόπο.
Βασικές δυνατότητες
|
Δυνατότητα |
Περιγραφή |
|
Σταδιακή κυκλοφορία |
1 > 2 > 4 > 8... συσκευές ανά κάδο |
|
Αυτόματος αποκλεισμός |
Οι κάδοι με μη εύχρηστες συσκευές εξαιρούνται |
|
Αυτοματοποιημένη ανάπτυξη GPO |
Η δέσμη ενεργειών ενός ενορχηστρωτή χειρίζεται τα πάντα |
|
Προγραμματισμένη εκτέλεση εργασιών |
Δεν απαιτούνται αλληλεπιδραστικές οδηγίες |
|
Παρακολούθηση σε πραγματικό χρόνο |
Πρόγραμμα προβολής κατάστασης με γραμμή προόδου |
Αναφορά ρυθμίσεων πιστοποιητικού Ενημερώσεις
Σε αυτή την ενότητα
Πολιτική ομάδας AvailableUpdatesPolicy
|
Θέση μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|
Όνομα |
AvailableUpdatesPolicy |
|
Τιμή |
0x5944 (DWORD) |
Αυτό είναι το κλειδί με έλεγχο GPO/ADMX που:
-
Διατηρείται σε επανεκκινήσεις
-
Ορίζεται από Πολιτική ομάδας / MDM
-
Δεν προκαλεί βρόχους επανάληψης (διαγράφεται μέσω ClearRolloutFlags)
-
Είναι το σωστό κλειδί για ανάπτυξη βάσει πολιτικής
επιστροφή στην επιλογή "Αναφορά ρυθμίσεων πιστοποιητικού Ενημερώσεις"
WinCSFlags - Σημαίες συστήματος ρύθμισης παραμέτρων των Windows
Οι διαχειριστές τομέα μπορούν εναλλακτικά να χρησιμοποιήσουν το σύστημα ρύθμισης παραμέτρων των Windows (WinCS) που κυκλοφορεί με ενημερώσεις λειτουργικού συστήματος Windows για την ανάπτυξη των ενημερώσεων ασφαλούς εκκίνησης σε προγράμματα-πελάτες και διακομιστές Windows που συνδέονται με τομέα. Αποτελείται από ένα βοηθητικό πρόγραμμα διασύνδεσης γραμμής εντολών (CLI) για την υποβολή ερωτημάτων και την εφαρμογή ρυθμίσεων παραμέτρων ασφαλούς εκκίνησης τοπικά σε έναν υπολογιστή.
|
Όνομα δυνατότητας |
Πλήκτρο WinCS |
Περιγραφή |
|
Feature_AllKeysAndBootMgrByWinCS |
F33E0C8E002 |
Η ενεργοποίηση αυτού του κλειδιού επιτρέπει την εγκατάσταση των ακόλουθων νέων πιστοποιητικών Ασφαλούς εκκίνησης που παρέχονται από τη Microsoft στη συσκευή σας.
|
Αναφορά: API συστήματος ρύθμισης παραμέτρων των Windows (WinCS) για ασφαλή εκκίνηση
επιστροφή στην επιλογή "Αναφορά ρυθμίσεων πιστοποιητικού Ενημερώσεις"
Αρχιτεκτονική
Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο
Σε αυτή την ενότητα
Δέσμες ενεργειών που απαιτούνται για τη Φάση 1
Δείγμα δεσμών ενεργειών συλλογής δεδομένων αποθέματος ασφαλούς εκκίνησης
|
Δείγμα ονόματος δέσμης ενεργειών |
Σκοπό |
Εκτελείται σε |
|
Δείγμα δέσμης ενεργειών Detect-SecureBootCertUpdateStatus.ps1 |
Συλλέγει δεδομένα κατάστασης συσκευής |
Κάθε τελικό σημείο (μέσω GPO) |
|
Δημιουργεί αναφορές και πίνακες εργαλείων |
Διαχείριση σταθμού εργασίας |
|
|
Αυτοματοποιεί τη δημιουργία GPO για τη συλλογή δεδομένων |
Ελεγκτή |
πίσω στην "Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο"
Τοπικές δοκιμές
Πριν από την ανάπτυξη μέσω GPO, δοκιμάστε τη δέσμη ενεργειών συλλογής σε έναν μόνο υπολογιστή για να επαληθεύσετε τη λειτουργικότητα.
-
Εκτέλεση δέσμης ενεργειών συλλογής τοπικά Ανοίξτε ένα αναβαθμισμένο μήνυμα του PowerShell και εκτελέστε το:
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"
-
Επαλήθευση εξόδου JSON
# View the collected data Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List
Πεδία κλειδιών για επαλήθευση • SecureBootEnabled – Θα πρέπει να είναι true ή false • ΣυνολικόStatus – Ολοκληρώθηκε, ReadyForUpdate, NeedsData ή σφάλμα • BucketHash – Κάδος συσκευής για αντιστοίχιση δεδομένων εμπιστοσύνης • SecureBootTaskEnabled - Εμφανίζει την κατάσταση της εργασίας ενημέρωσης ασφαλούς εκκίνησης.
-
Δέσμη ενεργειών δοκιμής συνάθροισης
# Generate reports from collected data & .\Aggregate-SecureBootCertStatus.ps1" ' -InputPath "C:\Temp\SecureBootTest" ' -OutputPath "C:\Temp\SecureBootReports" # Άνοιγμα του πίνακα εργαλείων HTML
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
πίσω στην "Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο"
Ανάπτυξη GPO
Χρησιμοποιήστε τη δέσμη ενεργειών αυτοματοποίησης που παρέχεται από έναν ελεγκτή τομέα:
# Εκτέλεση σε ελεγκτή τομέα ως Διαχείριση τομέα για διαδραστική ενότητα OU – Συνιστάται # Αντικαταστήστε το "Contoso.com", "Contoso" με το όνομα του τομέα # Αντικαταστήστε τη συνάρτηση FILESERVER με το όνομα του διακομιστή αρχείων. Η δέσμη ενεργειών εμφανίζει μια λίστα των OU για την ανάπτυξη του GPO στις .\Deploy-GPO-SecureBootCollection.ps1 ' -DomainName "contoso.com" ' -AutoDetectOU ' -CollectionSharePath "\\FILESERVER\SecureBootLogs$" ' -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" ' -Προγραμματισμός "Ημερήσια" ' -ScheduleTime "14:00" ' -RandomDelayHours 4
Αυτή η δέσμη ενεργειών θα εκτελέσει τα εξής:
-
Δημιουργεί νέο αντικείμενο πολιτικής ομάδας (GPO) με καθορισμένο όνομα
-
Αντιγράφει τη δέσμη ενεργειών συλλογής στο SYSVOL για υψηλή διαθεσιμότητα
-
Ρυθμίζει τις παραμέτρους της δέσμης ενεργειών εκκίνησης υπολογιστή
-
Σύνδεση GPO με OU προορισμού
-
Προαιρετικά δημιουργεί προγραμματισμένη εργασία για περιοδική συλλογή
Ο παρακάτω πίνακας παρέχει οδηγίες σχετικά με το χρονικό διάστημα για το οποίο θα βασίζεται η καθυστέρηση στο μέγεθος του στόλου σας.
|
Μέγεθος στόλου |
Εύρος καθυστέρησης |
|
Συσκευές 1-10K |
4 ώρες |
|
Συσκευές 10K-50K |
8 ώρες |
|
50K+ συσκευές |
Από 12 έως 24 ώρες |
πίσω στην "Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο"
Σύνοψη ρυθμίσεων GPO
|
Ρύθμιση |
Τοποθεσία |
Τιμή |
|
Δέσμη ενεργειών εκκίνησης |
Δέσμες ενεργειών → ρύθμισης παραμέτρων υπολογιστή |
Detect-SecureBootCertUpdateStatus.ps1 |
|
Παράμετροι δέσμης ενεργειών |
(ίδιο) |
-OutputPath "\\server\share$" |
|
Πολιτική εκτέλεσης |
Πρότυπα ρύθμισης παραμέτρων υπολογιστή → Διαχείριση → PowerShell |
Να επιτρέπεται η τοπική και η απομακρυσμένη υπογραφή |
|
Προγραμματισμένη εργασία |
Προτιμήσεις ρύθμισης παραμέτρων υπολογιστή → → προγραμματισμένες εργασίες |
Ημερήσια/Εβδομαδιαία συλλογή |
πίσω στην "Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο"
Επαλήθευσης
-
Επιβολή ενημέρωσης GPO στο Test Machine
## On a test workstation gpupdate /force # Επανεκκινήστε τη δέσμη ενεργειών εκκίνησης των υπολογιστών-πελατών, διαφορετικά θα ενεργοποιηθεί στο επόμενο χρονοδιάγραμμα. Restart-Computer -Επιβολή
-
Επαλήθευση συλλογής δεδομένων
# Ελέγξτε εάν έχουν συλλεχθεί δεδομένα (στο διακομιστή αρχείων ή από οποιονδήποτε υπολογιστή) Get-ChildItem "\\fileserver\SecureBootData$" | Sort-Object LastWriteTime -Φθίνουσα | Select-Object -Πρώτα 10 # Επαλήθευση περιεχομένου JSON Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
-
Έλεγχος εφαρμογής GPO
# Επαλήθευση ότι το αντικείμενο πολιτικής ομάδας (GPO) έχει εφαρμοστεί στον υπολογιστή gpresult /r /scope:υπολογιστής | Select-String "SecureBoot" S Η δέσμη ενεργειών αποθηκεύει επίσης ένα τοπικό αντίγραφο για πλεονασμό: Get-ChildItem "C:\ProgramData\SecureBootCollection\"
πίσω στην "Φάση 1: Εντοπισμός και παρακολούθηση κατάστασης σε εταιρικό επίπεδο"
Φάση 2: Δέσμες ενεργειών ενορχήστρωσης ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης
Σημαντικό: Βεβαιωθείτε ότι η Φάση1 έχει ολοκληρωθεί, συμπεριλαμβανομένης της συλλογής δεδομένων σε κάθε τελικό σημείο για απομακρυσμένα κοινόχρηστα στοιχεία διακομιστή.
Σε αυτή την ενότητα
Δέσμες ενεργειών που απαιτούνται για τη Φάση 2
Δείγμα δεσμών ενεργειών συλλογής δεδομένων αποθέματος ασφαλούς εκκίνησης
|
Δείγμα ονόματος δέσμης ενεργειών |
Σκοπό |
Λειτουργεί σε |
|
Δείγμα δέσμης ενεργειών Detect-SecureBootCertUpdateStatus.ps1 |
Συλλέγει δεδομένα κατάστασης συσκευής |
Κάθε τελικό σημείο (μέσω GPO) |
|
Δημιουργεί αναφορές και πίνακες εργαλείων |
Διαχείριση σταθμού εργασίας |
|
|
Αυτοματοποιεί τη δημιουργία GPO για τη συλλογή δεδομένων |
Ελεγκτή |
|
|
Δείγμα δέσμης ενεργειών Start-SecureBootRolloutOrchestrator.ps1 |
Πλήρως αυτοματοποιημένη, συνεχής ενορχήστρωση με αυτοματοποιημένη ανάπτυξη GPO για εγκατάσταση πιστοποιητικών |
Διαχείριση σταθμού εργασίας |
|
Αναπτύσσει τη δέσμη ενεργειών Orchestrator ως προγραμματισμένη εργασία για αυτοματοποιημένη κυκλοφορία |
Ελεγκτή |
|
|
Προβολή κατάστασης κυκλοφορίας πιστοποιητικού ασφαλούς εκκίνησης από οποιονδήποτε σταθμό εργασίας |
Διαχείριση Workstation |
|
|
Ενεργοποιεί την εργασία ενημέρωσης ασφαλούς εκκίνησης |
Στα τελικά σημεία όπου η εργασία είναι απενεργοποιημένη (Εκτέλεση μόνο μία φορά για ενεργοποίηση της εργασίας εάν είναι απενεργοποιημένη) |
επιστροφή στη "Φάση 2: Δέσμες ενεργειών Ενορχήστρωσης ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης"
Start-SecureBootRolloutOrchestrator.ps1
-
Σκοπό: Πλήρως αυτοματοποιημένη, συνεχής ενορχήστρωση με αυτοματοποιημένη ανάπτυξη GPO.
-
Τι κάνει
-
Κλήσεις Aggregate-SecureBootData.ps1 για την κατάσταση της συσκευής
-
Δημιουργεί κύματα κυκλοφορίας χρησιμοποιώντας προοδευτικό διπλασιασμό
-
Δημιουργεί το αντικείμενο πολιτικής ομάδας (GPO) για ανάπτυξη πιστοποιητικών με μία από τις παρακάτω μεθόδους
-
Πολιτική ομάδας ασφαλούς εκκίνησης AvailableUpdatesPolicy = 0x5944 (Προεπιλογή)
-
Μέθοδος WinCS (Παράμετρος –UseWinCS)
-
-
Δημιουργεί ομάδες ασφαλείας AD για στόχευση
-
Προσθέτει λογαριασμούς υπολογιστή σε ομάδες ασφαλείας
-
Ρυθμίζει τις παραμέτρους του φιλτραρίσματος ασφαλείας GPO
-
Σύνδεση GPO με OU προορισμού
-
Οθόνες για αποκλεισμένους κάδους (μη αναγνώσιμες συσκευές)
-
Αυτόματη κατάργηση αποκλεισμού κατά την αποκατάσταση συσκευών
-
-
Χρήση
# Interactive (testing) .\Start-SecureBootRolloutOrchestrator.ps1 ' -AggregationInputPath "\\fileserver\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" ' -PollIntervalMinutes 30
# Interactive (testing), leveraging WinCS method .\Start-SecureBootRolloutOrchestrator.ps1 ' -AggregationInputPath "\\fileserver\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" ' -PollIntervalMinutes 1440 -UseWinCS
-
εντολές Διαχείριση
# List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets
# Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Γεωγραφικό πλάτος5520|BIOS1.2"
# Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -Κατάργηση αποκλεισμού
-
Παραμέτρους
Παράμετρος
Προεπιλογή
Περιγραφή
AggregationInputPath
Υποχρεωτικό
Διαδρομή UNC σε αρχεία JSON τελικού σημείου
ReportBasePath
Υποχρεωτικό
Τοπική διαδρομή για αναφορές και κατάσταση
TargetOU
Ρίζα τομέα
OU για σύνδεση GPO
WavePrefix
SecureBoot-Rollout
Πρόθεμα ονομασίας GPO/ομάδας
MaxWaitHours
72
Ώρες πριν από τον έλεγχο της δυνατότητας επικοινωνίας της συσκευής
PollIntervalMinutes
1440
Λεπτά μεταξύ ελέγχων κατάστασης
DryRun
False
Δείξτε τι θα συνέβαινε χωρίς αλλαγές
επιστροφή στη "Φάση 2: Δέσμες ενεργειών Ενορχήστρωσης ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης"
Deploy-OrchestratorTask.ps1
-
Σκοπό: Αναπτύσσει τον ενορχηστρωτή ως προγραμματισμένη εργασία των Windows.
-
Πλεονεκτήματα
-
Δεν εμφανίζονται μηνύματα ασφαλείας Του PowerShell (ExecutionPolicy Bypass)
-
Εκτελείται συνεχώς στο παρασκήνιο
-
Δεν απαιτείται αλληλεπίδραση χρήστη
-
Επιζεί από επανεκκινήσεις
-
-
Χρήση
-
Ανάπτυξη με λογαριασμό υπηρεσίας τομέα (συνιστάται)
-
Χρήση της Πολιτική ομάδας AvailableUpdates (Προεπιλεγμένη μέθοδος)
.\Deploy-OrchestratorTask.ps1 ' -AggregationInputPath "\\server\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" ' -ServiceAccount "DOMAIN\svc_secureboot"
-
Χρήση της μεθόδου WinCS
.\Deploy-OrchestratorTask.ps1 ' -AggregationInputPath "\\server\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" ' -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
-
-
Ανάπτυξη με λογαριασμό SYSTEM
-
Χρήση της Πολιτική ομάδας AvailableUpdates (Προεπιλεγμένη μέθοδος)
.\Deploy-OrchestratorTask.ps1 ' -AggregationInputPath "\\server\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports"
-
Χρήση του WinCS method.\Deploy-OrchestratorTask.ps1
-AggregationInputPath "\\server\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" -UseWinCS
-
Απαιτήσεις λογαριασμού υπηρεσίας
-
Διαχείριση τομέα (για new-GPO, New-ADGroup, Add-ADGroupMember)
-
Ανάγνωση πρόσβασης σε κοινή χρήση αρχείων JSON
-
Πρόσβαση σύνταξης στο ReportBasePath
-
-
-
επιστροφή στη "Φάση 2: Δέσμες ενεργειών Ενορχήστρωσης ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης"
Get-SecureBootRolloutStatus.ps1
-
Σκοπό: Προβάλετε την πρόοδο της κυκλοφορίας από οποιονδήποτε σταθμό εργασίας.
-
Τι εμφανίζει
-
Κατάσταση προγραμματισμένης εργασίας (Εκτέλεση/Έτοιμο/Διακόπηκε)
-
Τρέχων αριθμός κύματος
-
Στοχευμένες συσκευές έναντι ενημέρωσης
-
Γραμμή οπτικής προόδου
-
Σύνοψη αποκλεισμένων κάδων
-
Σύνδεση με τον πιο πρόσφατο πίνακα εργαλείων HTML
-
-
Χρήση
# Quick status check .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"
# Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30
# View blocked buckets .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked
# View wave history .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves
# View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog
# Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard
-
Δείγμα εξόδου
============================================================== ΚΑΤΆΣΤΑΣΗ ΚΥΚΛΟΦΟΡΊΑς ΑΣΦΑΛΟΎς ΕΚΚΊΝΗΣΗς 2026-02-17 19:30:00 ======================================================
Scheduled Task: Running
ROLLOUT PROGRESS ---------------------------------------- Κατάσταση: InProgress Τρέχον κύμα: 5 Συνολικός στόχος: 1250 Σύνολο ενημερώθηκε: 847
Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
BLOCKED BUCKETS: 2 buckets need attention Εκτέλεση με -ShowBlocked για λεπτομέρειες
LATEST DASHBOARD C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________
επιστροφή στη "Φάση 2: Δέσμες ενεργειών Ενορχήστρωσης ενημέρωσης πιστοποιητικού ασφαλούς εκκίνησης"
Βήματα ανάπτυξης E2E (Οδηγός γρήγορης αναφοράς)
Σε αυτή την ενότητα
Φάση 1: Υποδομή εντοπισμού
-
Βήμα 1: Δημιουργία κοινής χρήσης συλλογής
# On file server $sharePath = "D:\SecureBootData" New-Item -Κατάλογος ItemType -Διαδρομή $sharePath -Επιβολή New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"
# Set NTFS permissions $acl = Get-Acl $sharePath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify";"Allow") $acl. AddAccessRule($rule) Set-Acl $sharePath $acl
-
Βήμα 2: Ανάπτυξη GPO εντοπισμού
.\Deploy-GPO-SecureBootCollection.ps1 ` -DomainName "contoso.com" ' -OUPath "OU=Workstations,DC=contoso,DC=com" ' -CollectionSharePath "\\server\SecureBootData$"
-
Βήμα 3: Αναμονή για την αναφορά τελικών σημείων (24-48 ώρες)
# Έλεγχος προόδου συλλογής (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Αρίθμηση
επιστροφή στην ενότητα "Βήματα ανάπτυξης E2E (Οδηγός γρήγορης αναφοράς)"
Φάση 2: Ενορχηστρωμένη κυκλοφορία
-
Βήμα 4: Έλεγχος προαπαιτούμενων
-
Ανάπτυξη GPO εντοπισμού (Βήμα 2)
-
Αναφορά JSON τουλάχιστον 50+ τελικών σημείων
-
Λογαριασμός υπηρεσίας με δικαιώματα Διαχείριση τομέα
-
Διακομιστής διαχείρισης με PowerShell 5.1+
-
-
Βήμα 5: Ανάπτυξη του Orchestrator ως προγραμματισμένης εργασίας
.\Deploy-OrchestratorTask.ps1 ` -AggregationInputPath "\\server\SecureBootData$" ' -ReportBasePath "C:\SecureBootReports" ' -ServiceAccount "DOMAIN\svc_secureboot"
-
Βήμα 6: Παρακολούθηση προόδου
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"
-
Βήμα 7: Προβολή πίνακα εργαλείων
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard
-
Βήμα 8: Διαχείριση αποκλεισμένων κάδων
# List blocked .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets
# Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Μοντέλο|BIOS"
-
Βήμα 9: Επαλήθευση ολοκλήρωσης
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Η κατάσταση θα πρέπει να εμφανίζει την ένδειξη "Ολοκληρώθηκε"
επιστροφή στην ενότητα "Βήματα ανάπτυξης E2E (Οδηγός γρήγορης αναφοράς)"
Νομός Files
Ο ενορχηστρωτής διατηρεί την κατάσταση στο ReportBasePath\RolloutState\:
|
Αρχείο |
Περιγραφή |
|
RolloutState.json |
Ιστορικό κυμάτων, στοχευμένες συσκευές, κατάσταση |
|
BlockedBuckets.json |
Κάδοι που χρειάζονται έρευνα |
|
DeviceHistory.json |
Παρακολούθηση συσκευής κατά hostname |
|
Orchestrator_YYYYMMDD.log |
Ημερήσια αρχεία καταγραφής δραστηριότητας |
επιστροφή στην ενότητα "Βήματα ανάπτυξης E2E (Οδηγός γρήγορης αναφοράς)"
Αντιμετώπιση προβλημάτων
Σε αυτή την ενότητα
Ο Ενορχηστρωτής δεν εξελίσσεται
-
Έλεγχος προγραμματισμένης εργασίας
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"
-
Έλεγχος αρχείων καταγραφής
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50
-
Επαλήθευση της φρεσκάδας των δεδομένων JSON
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Αποκλεισμένοι κάδοι
-
Η λίστα αποκλείστηκε.
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets
-
Διερεύνηση της δυνατότητας επικοινωνίας με τη συσκευή.
-
Ελέγξτε για προβλήματα υλικολογισμικού.
-
Άρση αποκλεισμού μετά από έρευνα.
Το αντικείμενο πολιτικής ομάδας (GPO) δεν εφαρμόζεται
-
Βεβαιωθείτε ότι υπάρχει το αντικείμενο πολιτικής ομάδας (GPO).
Get-GPO -Name "SecureBoot-Rollout-Wave*"
-
Ελέγξτε το φιλτράρισμα ασφαλείας.
Get-GPPermission -Name "GPO-Name" -All
-
Βεβαιωθείτε ότι ο υπολογιστής είναι σε ομάδα ασφαλείας.
-
Εφαρμόστε το αντικείμενο πολιτικής ομάδας (GPO) στον προορισμό.
gpupdate /force
Χρειάζεστε περισσότερη βοήθεια;
Θέλετε περισσότερες επιλογές;
Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.
Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.
