Käytetään kohteeseen
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 16. maaliskuuta 2026Päivitetty viimeksi: 3. huhtikuuta 2026KB ID: 5084567

Tässä artikkelissa

Yleiskatsaus

Tässä oppaassa kuvataan windowsin suojatun käynnistyksen DB-varmennepäivitysten automaattinen käyttöönottojärjestelmä ryhmäkäytäntö ja vaiheittaisen käyttöönoton aalloilla.

Suojatun käynnistyksen varmenteen käyttöönoton automatisointi on PowerShell-pohjainen järjestelmä, joka ottaa käyttöön Windowsin suojatun käynnistyksen DB-varmennepäivitykset toimialueeseen liitettyihin koneisiin hallitusti ja asteittain.

palaa alkuun

Tärkeimmät ominaisuudet

Ominaisuus

Kuvaus

Asteittainen käyttöönotto

1 > 2 > 4 > 8... laitteet säilöä kohti

Automaattinen esto

Säilöt, joissa ei ole yhteyttä laitteisiin, eivät ole käytettävissä

Automaattinen ryhmäkäytäntöobjektin käyttöönotto

Yksittäinen orkestraattorin komentosarja käsittelee kaiken

Ajoitettu tehtävän suorittaminen

Vuorovaikutteisia kehotteita ei tarvita

Reaaliaikainen seuranta

Tilan katseluohjelma, jossa on tilanneilmaisin

palaa alkuun 

Certificate Päivitykset Settings Reference

Tässä osassa

KäytettävissäUpdatesPolicy-ryhmäkäytäntö

Rekisterin sijainti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Nimi

KäytettävissäUpdatesPolicy

Arvo

0x5944 (DWORD)

Tämä on ryhmäkäytäntöobjekti/ADMX-ohjattu avain, joka:

  • Jatkuu uudelleenkäynnistysten aikana

  • Määrittää ryhmäkäytäntö / MDM

  • Ei aiheuta uudelleenyrityssilmukoita (tyhjennys ClearRolloutFlagsin kautta)

  • On oikea avain käytäntöpohjaiseen käyttöönottoon

Viite: ryhmäkäytäntö objektien (GPO) suojatun käynnistyksen menetelmä Windows-laitteille IT-hallittujen päivitysten avulla

takaisin "Certificate Päivitykset Settings Reference" -kohtaan 

WinCSFlags – Windowsin määritysjärjestelmän merkinnät

Toimialueen järjestelmänvalvojat voivat vaihtoehtoisesti ottaa käyttöön suojatun käynnistyksen päivitykset toimialueeseen yhdistetyissä Windows-asiakasohjelmissa ja -palvelimissa Windowsin määritysjärjestelmän (WinCS) avulla. Se koostuu komentoriviliittymän (CLI) apuohjelmasta , jonka avulla voit tehdä kyselyjä ja käyttää suojatun käynnistyksen määrityksiä paikallisesti tietokoneessa.

Ominaisuuden nimi

WinCS-näppäin

Kuvaus

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Tämän avaimen ottaminen käyttöön mahdollistaa seuraavien Microsoftin tarjoamien suojatun käynnistyksen uusien varmenteiden asentamisen laitteeseesi.

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Viite: Windows configuration System (WinCS) -ohjelmointirajapinnat suojattua käynnistystä varten

takaisin "Certificate Päivitykset Settings Reference" -kohtaan

palaa alkuun

Arkkitehtuuri

Arkkitehtuurin työnkulku

palaa alkuun 

Vaihe 1: Tunnistaminen ja tilan seuranta yritystasolla

Tässä osassa

Vaiheeseen 1 tarvittavat komentosarjat

Esimerkki suojatun käynnistyksen inventaariotietojen keräämisen komentosarsareista

Esimerkkikomentosarjan nimestä

Tarkoitus 

Suoritetaan 

Esimerkki Detect-SecureBootCertUpdateStatus.ps1-komentosarjasta 

Kerää laitteen tilatiedot 

Kukin päätepiste (ryhmäkäytäntöobjektin kautta) 

Esimerkki Aggregate-SecureBootData.ps1-komentosarjasta 

Luo raportteja ja raporttinäkymiä 

Hallinta työasema 

Esimerkki Deploy-GPO-SecureBootCollection.ps1-komentosarjasta

Automatisoi ryhmäkäytäntöobjektin luomisen tietojen keräämistä varten 

Toimialueen ohjauskone 

Suojatun käynnistysvarmenteen tilan koontinäyttö

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla

Paikallinen testaus

Ennen kuin otat käyttöön ryhmäkäytäntöobjektin kautta, testaa kokoelmakomentosarja yhdessä tietokoneessa toimintojen tarkistamista varten. 

  • Suorita kokoelmakomentosarja paikallisesti Avaa järjestelmänvalvojan powershell-kehote ja suorita:

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest" 

  • JSON-tulosteen tarkistaminen

    # View the collected data  Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Tarkistettavat   avainkentät • SecureBootEnabled – Pitäisi olla Tosi tai Epätosi OverallStatus – Valmis, ReadyForUpdate, NeedsData tai Virhe BucketHash – Laitesäilö luottamustietojen vastaavuutta varten • SecureBootTaskEnabled – Näyttää suojatun käynnistyksen päivitystehtävän tilan.

  • Koostekomentosarjan testaaminen

    # Generate reports from collected data  & ".\Aggregate-SecureBootData.ps1" '     -InputPath "C:\Temp\SecureBoottest" '     -OutputPath "C:\Temp\SecureBootReports" # Avaa HTML-koontinäyttö Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"  

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla 

Verkkojaon määritys

  • Verkkoresurssin luominen Luo tiedostopalvelimessa erillinen jako keräystietoja varten:

    # Run on file server as Administrator  $SharePath = "D:\SecureBootCollection" $ShareName = SecureBootData$ # Luo kansio New-Item -ItemType Directory -Path $SharePath -Force # Luo piilotettu jako ($-jälkiliite piilottaa selausluettelosta) New-SmbShare -Name $ShareName -Path $SharePath '     -Description "Secure Boot Certificate Status Collection" '     -FullAccess "Domain Admins" '     -ChangeAccess "Domain Computers"    

  • NTFS-käyttöoikeuksien määrittäminen

    # Get current ACL  $Acl = Get-Acl $SharePath # Salli todennettujen käyttäjien kirjoittaa tiedostoja $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule( "Domain Computers" ja "Muokkaa",     "ContainerInherit,ObjectInherit",     "Ei mitään",     "Salli" ) $Acl.AddAccessRule($WriteRule) # Salli toimialueen järjestelmänvalvojille täydet oikeudet (koostamista varten) $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(     "Toimialueen järjestelmänvalvojat",     "FullControl",     "ContainerInherit,ObjectInherit",     "Ei mitään",     "Salli" ) $Acl.AddAccessRule($AdminRule) # Käytä käyttöoikeuksia Set-Acl -Path $SharePath -AclObject $Acl       

  • Jaa käyttö -toiminnolla tarkistaminen

    # Test from a domain-joined workstation  Test-Path "\\fileserver\SecureBootData$" # Pitäisi palauttaa: Tosi

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla 

Ryhmäkäytäntöobjektin käyttöönotto

Toimialueen ohjauskoneen automaatiokomentosarjan käyttäminen:

# Suorita toimialueen ohjauskoneessa toimialueen Hallinta vuorovaikutteiselle OU-osalle – suositus # Korvaa "Contoso.com", "Contoso" toimialueen nimellä # Korvaa FILESERVER tiedostopalvelimen nimellä.  Komentosarja näyttää luettelon alkuperäisistä laitevalmistajista, jotka ottavat ryhmäkäytäntöobjektin käyttöön .\Deploy-GPO-SecureBootCollection.ps1 '     -DomainName "contoso.com" '     -AutoDetectOU '     -CollectionSharePath "\\FILESERVER\SecureBootData$"     -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '     -Ajoita "Päivittäin" '     -ScheduleTime "14:00" '     -RandomDelayHours 4 

Tämä komentosarja suorittaa seuraavat toimet:

  • Luo uuden ryhmäkäytäntöobjektin määritetyllä nimellä

  • Kopioi kokoelmakomentosarjan SYSVOL:iin, jotta se on erittäin käytettävyys

  • Määrittää tietokoneen käynnistyskomentosarjan

  • Linkittää ryhmäkäytäntöobjektin kohde-OU:han

  • Voit myös luoda ajoitetun tehtävän säännölliseen keräämiseen

Seuraavassa taulukossa on ohjeita siitä, kuinka kauan viive perustuu kalustosi kokoon.

Kaluston koko 

Viivealue 

1–10 000 laitetta 

4 tuntia 

10K-50K-laitteet 

8 tuntia 

Yli 50 000 laitetta 

12–24 tuntia

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla 

Ryhmäkäytäntöobjektin asetusten yhteenveto

Asetus 

Sijainti 

Arvo 

Käynnistyskomentosarjan 

Computer Config → Scripts 

Detect-SecureBootCertUpdateStatus.ps1 

Komentosarjan parametrit 

(sama) 

-OutputPath "\\server\share$" 

Suorituskäytäntö 

Computer Config → Hallinta Templates → PowerShell 

Salli paikallinen ja etä allekirjoitettu 

Ajoitettu tehtävä 

Computer Config → Preferences → Scheduled Tasks 

Päivittäinen/viikoittainen kokoelma

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla 

Tarkistaminen

  • Pakota ryhmäkäytäntöobjektin päivitys testityöstössäe

    ## On a test workstation  gpupdate /force # Käynnistä asiakaskoneet uudelleen käynnistyskomentosarjaksi, tai se käynnistyy seuraavassa aikataulussa.  Restart-Computer -Force

  • Tietojen keräämisen tarkistaminen

    # Tarkista, kerättiinkö tietoja (tiedostopalvelimesta tai mistä tahansa koneesta) Get-ChildItem "\\fileserver\SecureBootData$" |       Sort-Object LastWriteTime -Laskeva |       Select-Object -Ensimmäinen 10   # Vahvista JSON-sisältö Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json 

  • Tarkista ryhmäkäytäntöobjektisovellus

    # Varmista, että ryhmäkäytäntöobjekti on käytössä tietokoneessa Select-String SecureBoot Komentosarja tallentaa myös paikallisen kopion vikasietoja varten: Get-ChildItem "C:\ProgramData\SecureBootCollection\" 

takaisin vaiheeseen 1: Tunnistaminen ja tilan seuranta yritystasolla

palaa alkuun 

Vaihe 2: Suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat

Tärkeää: Varmista, että vaihe1 on valmis, mukaan lukien tietojen kerääminen kunkin päätepisteen osalta etäpalvelimen jakoihin.

Tässä osassa

Vaiheeseen 2 tarvittavat komentosarjat

Esimerkki suojatun käynnistyksen inventaariotietojen keräämisen komentosarsareista

Esimerkkikomentosarjan nimestä

Tarkoitus 

Tuetut käyttöjärjestelmät 

Esimerkki Detect-SecureBootCertUpdateStatus.ps1-komentosarjasta  

Kerää laitteen tilatiedot 

Kukin päätepiste (ryhmäkäytäntöobjektin kautta) 

Esimerkki Aggregate-SecureBootData.ps1-komentosarjasta

Luo raportteja ja raporttinäkymiä 

Hallinta työasema 

Esimerkki Deploy-GPO-SecureBootCollection.ps1-komentosarjasta

Automatisoi ryhmäkäytäntöobjektin luomisen tietojen keräämistä varten 

Toimialueen ohjauskone 

Esimerkki Start-SecureBootRolloutOrchestrator.ps1-komentosarjasta

Täysin automatisoitu, jatkuva orkestrointi automaattisella ryhmäkäytäntöobjektin käyttöönotolla varmenteen asentamista varten

Hallinta työasema 

Esimerkki Deploy-OrchestratorTask.ps1-komentosarjasta

Ottaa orkestraattorin komentosarjan käyttöön automaattisen käyttöönoton ajoitettuna tehtävänä

Toimialueen ohjauskone

Esimerkki Get-SecureBootRolloutStatus.ps1-komentosarjasta

Näytä suojatun käynnistyksen varmenteen käyttöönoton tila mistä tahansa työasemasta

Hallinta Workstation

Esimerkki Enable-SecureBootUpdateTask.ps1-komentosarjasta

 Ottaa käyttöön suojatun käynnistyksen päivitystehtävän

Päätepisteissä, joissa tehtävä on poistettu käytöstä (Ota tehtävä käyttöön vain kerran, jos se on poistettu käytöstä)

takaisin vaiheeseen 2: Suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat 

Start-SecureBootRolloutOrchestrator.ps1

  • Tarkoitus: Täysin automatisoitu, jatkuva orkestrointi automaattisella ryhmäkäytäntöobjektien käyttöönotolla.

  • Toiminto

    • Puhelut Aggregate-SecureBootData.ps1 laitteen tilaa varten

    • Luo käyttöönottoaaltoja progressiivisen kaksinkertaistamisen avulla

    • Luo ryhmäkäytäntöobjektin varmenteen käyttöönottoa varten jollakin seuraavista tavoista

      • Suojatun käynnistyksen ryhmäkäytäntö KäytettävissäUpdatesPolicy = 0x5944 (oletus)

      • WinCS-menetelmä (parametri – UseWinCS)

    • Luo AD-käyttöoikeusryhmiä kohdentamista varten

    • Lisää tietokonetilejä käyttöoikeusryhmiin

    • Määrittää ryhmäkäytäntöobjektin suojaussuodatuksen

    • Linkittää ryhmäkäytäntöobjektin kohde-OU:han

    • Estettyjen säilöjen näytöt (tavoittamattomat laitteet)

    • Eston poistaminen automaattisesti, kun laitteet palautuvat

  • Käyttö

    # Interactive (testing) .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 30

    # Interactive (testing), leveraging WinCS method .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 30 '     -UseWinCS

  • Hallinta komennot

    # List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Leveyspiiri5520|BIOS1.2"

    # Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametrit

    Parametri

    Oletus

    Kuvaus

    AggregationInputPath

    Pakollinen

    UNC-polku päätepisteen JSON-tiedostoihin

    ReportBasePath

    Pakollinen

    Raporttien ja tilan paikallinen polku

    TargetOU

    Toimialueen pääkansio

    OU, jos haluat linkittää ryhmäkäytäntöobjektit

    WavePrefix

    SecureBoot-Rollout

    Ryhmäkäytäntöobjektin/ryhmän nimeämisen etuliite

    MaxWaitHours

    72

    Tunteja ennen laitteen saavutettavuuden tarkistamista

    PollIntervalMinutes

    1440

    Tilatarkistusten väliset minuutit

    DryRun

    False

    Näytä, mitä tapahtuisi ilman muutoksia

    PollIntervalMinutes-huomautus: Kun orkestraattoria suoritetaan suoraan, oletusarvona on 1 440 minuuttia (24 tuntia). Kun toiminto otetaan käyttöön Deploy-OrchestratorTask.ps1 kautta, oletusarvo on 30 minuuttia. Käyttöönottokomentosarja välittää oman oletusarvonsa orkestraattorille. Käytä 30 minuuttia aktiiviseen käyttöönottoon ja 1440 ylläpitotarkkailuun.

    Valinnaiset parametrit

    Parametri

    Oletus

    Kuvaus

    KäytäWinCS-menetelmiä

    False

    WinCS-menetelmän käyttäminen AvailableUpdatesPolicy-ryhmäkäytäntöobjektin sijaan

    WinCSKey

    F33E0C8E002

    WinCS-näppäin suojatun käynnistyksen määritykseen

    AllowListPath

    (ei mitään)

    Polku tiedostoon, jossa on isäntänimet, salli kohdennetun/pilotin käyttöönottoa varten. Tukee .txt tai .csv.

    AllowADGroup

    (ei mitään)

    Salli tietokonetilien AD-käyttöoikeusryhmä. Esimerkki: SecureBoot-Pilot-Computers

    ExclusionListPath

    (ei mitään)

    Polku tiedostoon, jossa on isäntänimet, ja jätä pois käyttöönotosta (VIP/executive-laitteet)

    ExcludeADGroup

    (ei mitään)

    Suljettavien tietokonetilien AD-käyttöoikeusryhmä. Esimerkki: "VIP-computers"

    ListBlockedBuckets

    False

    Näyttää tällä hetkellä estetyt laitesäilöt

    Poista estoBucket

    (ei mitään)

    Poista tietyn säilön esto. Muoto: "Valmistaja|Malli|BIOS"

    Poista estoKaikki

    False

    Kaikkien estettyjen laitesäilöjen eston poistaminen

takaisin vaiheeseen 2: Suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat  

Deploy-OrchestratorTask.ps1

  • Tarkoitus: Ottaa orkestraattorin käyttöön Windowsin ajoitettuna tehtävänä.

  • Edut

    • Ei PowerShellin suojauskehotteita (ExecutionPolicy Bypass)

    • Toimii taustalla jatkuvasti

    • Käyttäjän toimia ei tarvita

    • Selviytyy uudelleenkäynnistymisestä

  • Käyttö

    • Käyttöönotto toimialueen palvelutilillä (suositus)

      • AvailableUpdates-ryhmäkäytäntö (oletusmenetelmä)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot"

      • WinCS-menetelmän käyttäminen

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Käyttöönotto SYSTEM-tilillä

      • AvailableUpdates-ryhmäkäytäntö (oletusmenetelmä)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports"

      • WinCS-method.\Deploy-OrchestratorTask.ps1 käyttäminen

            -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Palvelutilivaatimukset

        • Toimialueen Hallinta (Uusi ryhmäkäytäntöobjekti, New-ADGroup, Add-ADGroupMember)

        • JSON-tiedostoresurssin käytön lukeminen

        • ReportBasePathin kirjoitusoikeus

takaisin vaiheeseen 2: Suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat  

Get-SecureBootRolloutStatus.ps1

  • Tarkoitus: Tarkastele käyttöönoton edistymistä mistä tahansa työasemasta.

  • Mitä se näyttää

    • Ajoitettu tehtävän tila (käynnissä/valmis/pysäytetty)

    • Nykyinen aaltonumero

    • Kohdennetut ja päivitetyt laitteet

    • Visuaalinen edistymispalkki

    • Estettyjen säilöjen yhteenveto

    • Linkki uusimpaan HTML-koontinäyttöön

  • Käyttö

    # Quick status check .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    # Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    # View blocked buckets .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    # View wave history .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    # View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    # Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametrit

    Parametri

    Onko pakollinen?

    Oletus

    Kuvaus

    ReportBasePath

    Pakollinen

    Raporttien ja tilatiedostojen paikallinen polku

    ShowLog

    Valinnainen

    False

    Näytä viimeisimmät orkestraattorin lokimerkinnät

    ShowBlocked

    Valinnainen

    False

    Estettyjen säilöjen tietojen näyttäminen

    ShowWaves

    Valinnainen

    False

    Näytä aaltohistoria

    Katso

    Valinnainen

    0 (poistettu käytöstä)

    Automaattinen päivitysväli sekunneissa. Esimerkki: -Watch 30 päivittuu 30 sekunnin välein.

    OpenDashboard

    Valinnainen

    False

    Uusimman HTML-koontinäytön avaaminen oletusselaimessa

  • Esimerkkitulos

    ==============================================================    SUOJATUN KÄYNNISTYKSEN KÄYTTÖÖNOTON TILA    2026-02-17 19:30:00 ======================================================

    Scheduled Task: Running

    ROLLOUT PROGRESS ---------------------------------------- Tila: InProgress Nykyinen aalto: 5 Kohdennettu yhteensä: 1250 Päivitetty yhteensä: 847

    Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%

    BLOCKED BUCKETS: 2 buckets need attention   Suorita käyttämällä -ShowBlocked lisätietoja

    LATEST DASHBOARD C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________

takaisin vaiheeseen 2: Suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat

palaa alkuun 

E2E-käyttöönottovaiheet (pikaopas)

Tässä osassa

Vaihe 1: Tunnistusinfrastruktuuri

  • Vaihe 1: Kokoelmajaon luominen

    # On file server $sharePath = "D:\SecureBootData" New-Item -ItemType Directory -Path $sharePath -Force New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    # Set NTFS permissions $acl = Get-Acl $sharePath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Toimialuetietokoneet","Muokkaa","Salli") $acl. AddAccessRule($rule) Set-Acl $sharePath $acl

  • Vaihe 2: Ota tunnistuskäytäntöobjekti käyttöön

    .\Deploy-GPO-SecureBootCollection.ps1 `     -DomainName "contoso.com" '     -OUPath "OU=Workstations,DC=contoso,DC=com" '     -CollectionSharePath "\\server\SecureBootData$"

  • Vaihe 3: Odota, että päätepisteet raportoidaan (24–48 tuntia)

    # Tarkista kokoelman edistyminen (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Laskea

takaisin E2E-käyttöönottovaiheisiin (pikaopas)" 

Vaihe 2: Järjestetty käyttöönotto

  • Vaihe 4: Edellytystarkistus

    • Tunnistuskäytäntöobjekti otettu käyttöön (vaihe 2)

    • JSON-raportointi vähintään 50 päätepistettä

    • Palvelutili, jolla on toimialueen Hallinta oikeudet

    • Hallintapalvelin, jossa on PowerShell 5.1+

  • Vaihe 5: Orkestraattorin käyttöönotto ajoitettuna tehtävänä

    .\Deploy-OrchestratorTask.ps1 `     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMAIN\svc_secureboot"

  • Vaihe 6: Seuraa edistymistä

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Vaihe 7: Näytä koontinäyttö

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Vaihe 8: Estettyjen säilöjen hallinta

    # List blocked .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Malli|BIOS"

  • Vaihe 9: Vahvista valmistuminen

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Tilan pitäisi näyttää "Valmis"

takaisin E2E-käyttöönottovaiheisiin (pikaopas)"  

Tilan Files

Orkestraattori säilyttää tilan kohdassa ReportBasePath\RolloutState\:

Tiedosto

Kuvaus

RolloutState.json

Aaltohistoria, kohdennetut laitteet, tila

BlockedBuckets.json

Tutkittavat säilöt

DeviceHistory.json

Laitteen seuranta isäntänimen mukaan

Orchestrator_YYYYMMDD.log

Päivittäiset toimintalokit

takaisin E2E-käyttöönottovaiheisiin (pikaopas)" 

palaa alkuun 

Vianmääritys

Tässä osassa

Orkestrointi ei etene

  1. Ajoitetun tehtävän tarkistaminen

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Tarkista lokit

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. JSON-tietojen tuoreuden tarkistaminen

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

takaisin vianmääritykseen 

Estetyt säilöt

  1. Luettelo estetty.

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Tutki laitteen saavutettavuutta.

  3. Tarkista laiteohjelmisto-ongelmat.

  4. Poista esto tutkinnan jälkeen.

takaisin vianmääritykseen  

Ryhmäkäytäntöobjekti ei ole voimassa

  1. Varmista, että ryhmäkäytäntöobjekti on olemassa.

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Tarkista suojaussuodatus.

    Get-GPPermission -Name "GPO-Name" -All

  3. Varmista, että tietokone kuuluu käyttöoikeusryhmään.

  4. Käytä ryhmäkäytäntöobjektia kohteessa.

    gpupdate /force

takaisin vianmääritykseen

palaa alkuun 

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus