Esimerkki suojatun käynnistyksen E2E-automaatio-oppaasta

Käytetään kohteeseen
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Huomautus

Alkuperäinen julkaisupäivä: Maaliskuussa 16, 2026
Päivitetty viimeksi: 12. toukokuuta 2026
KB-tunnus: 5084567

Tämän artikkelin sisältö

Yleiskatsaus

Tässä oppaassa kuvataan Windowsin suojatun käynnistyksen tietokannan varmennepäivitysten automaattinen käyttöönottojärjestelmä ryhmäkäytännön ja progressiivisten käyttöönottoaaltojen avulla.

Secure Boot Certificate Rollout Automation on PowerShell-pohjainen järjestelmä, joka ottaa Windowsin suojatun käynnistyksen tietokannan varmennepäivitykset käyttöön toimialueeseen liitetyissä koneissa valvotulla ja asteittaisella tavalla.

alkuun

Tärkeimmät ominaisuudet

Ominaisuus Kuvaus
Asteittainen käyttöönotto 1 > 2 > 4 > 8... Laitteita säilöä kohti
Automaattinen esto Säilöt, joissa on saavuttamattomat laitteet, eivät ole käytettävissä
Ryhmäkäytäntöobjektin automatisoitu käyttöönotto Yksi orkestrointikomentosarja käsittelee kaiken
Ajoitettu tehtävän suorittaminen Vuorovaikutteisia kehotteita ei tarvita
Reaaliaikainen seuranta Tilan katseluohjelma ja tilanneilmaisin

alkuun

Varmenteen Päivitykset -asetusten opas

Sisältö

AvailableUpdatesPolicy-ryhmäkäytäntö

Rekisterin sijainti HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nimi Käytettävissä olevat päivitykset Käytäntö
Arvo 0x5944 (DWORD)

Tämä on ryhmäkäytäntöobjektin tai ADMX:n hallitsema avain, joka:

  • Jatkuu uudelleenkäynnistyksissä
  • Määritetään ryhmäkäytännössä / MDM:ssä
  • Ei aiheuta uudelleenyrityssilmukoita (tyhjennetty ClearRolloutFlags-toiminnon avulla)
  • on oikea avain käytäntöpohjaiseen käyttöönottoon

Viite: Ryhmäkäytäntö-objektit (GPO) -menetelmä suojatussa käynnistyksessä Windows-laitteille IT-hallittujen päivitysten avulla

takaisin kohtaan "Certificate Päivitykset -asetushakemisto"

WinCSFlags – Windowsin määritysjärjestelmän merkinnät

Toimialueen järjestelmänvalvojat voivat ottaa suojatun käynnistyksen päivitykset käyttöön toimialueeseen liitetyissä Windows-asiakasohjelmissa ja -palvelimissa käyttämällä Windows-käyttöjärjestelmäpäivitysten mukana julkaistua Windowsin määritysjärjestelmää (WinCS). Se koostuu komentoriviliittymä (CLI) -apuohjelmasta, jonka avulla voit kysellä suojatun käynnistyksen määrityksiä ja ottaa niitä käyttöön paikallisesti koneessa.

Ominaisuuden nimi WinCS-avain Kuvaus
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Tämän avaimen käyttöönotto sallii seuraavien Microsoftin toimittamien Secure Boot -varmenteiden asentamisen laitteeseesi.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Windowsin määritysjärjestelmä (WinCS) -ohjelmointirajapinnat suojattua käynnistystä varten

takaisin kohtaan "Certificate Päivitykset -asetushakemisto"

alkuun

Arkkitehtuuri

Arkkitehtuurin työnkulku

alkuun

Vaihe 1: tunnistamisen ja tilan valvonta yritystasolla

Sisältö

Vaiheessa 1 tarvittavat komentosarjat

Esimerkki suojatun käynnistyksen varastotietojen keräämisen komentosarjoista

Huomautus

TÄRKEÄÄ Seuraavat esimerkkikomentosarjat sisältävät artikkelit on poistettu käytöstä. Jos olet asentanut Windows-päivityksen, joka on julkaistu 12. toukokuuta 2026 tai sen jälkeen, komentosarjat löytyvät laitteesi kansiosta %systemroot%\SecureBoot\ExampleRolloutScripts .

Komentosarjan nimi Käyttötarkoitus Toimii
Esimerkki Detect-SecureBootCertUpdateStatus.ps1 komentosarjasta Kerää laitteen tilatietoja Kukin päätepiste (ryhmäkäytäntöobjektin kautta)
Esimerkki Aggregate-SecureBootData.ps1 komentosarjasta Luo raportteja ja raporttinäkymiä Hallinnan työasema
Esimerkki Deploy-GPO-SecureBootCollection.ps1 komentosarjasta Automatisoi ryhmäkäytäntöobjektin luomisen tietojen keräämistä varten Toimialueen ohjauskone
Esimerkkitulos yllä mainituista vaiheen 1 komentosarjoista

Suojatun käynnistyksen varmenteen tilan koontinäyttö

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

Paikallinen testaus

Tarkista toiminto testaamalla keräyskomentosarja yhdellä laitteella ennen käyttöönottoa ryhmäkäytäntöobjektin avulla.

  • Suorita kokoelman komentosarja paikallisesti

    Avaa järjestelmänvalvojan oikeuksin suoritettava PowerShell-kehote ja suorita seuraavat komennot:

    Huomautus

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • JSON-tulosteen tarkistaminen

    Huomautus

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Tarkistettavat avainkentät  
    SecureBootEnabled – Pitäisi olla tosi tai epätosi
    OverallStatus – valmis, ReadyForUpdate, NeedsData tai virhe
    BucketHash – Laitesäilö luottamustietojen vastaavuutta varten
    SecureBootTaskEnabled – näyttää suojatun käynnistyksen päivitystehtävän tilan.

  • Test Aggregation Script

    Huomautus

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    HTML-koontinäytön avaaminen

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

Jaetun verkkoresurssin määritys

  • Jaetun verkkoresurssin luominen

    Luo tiedostopalvelimelle erillinen jako kokoelman tiedoille:

    Huomautus

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Luo kansio

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Luo piilotettu jako ($-jälkiliite piilottaa selausluettelosta)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Kuvaus "Secure Boot Certificate Status Collection" '
        -FullAccess "Domain Admins" '
        -ChangeAccess "Toimialueen tietokoneet"

  • NTFS-käyttöoikeuksien määrittäminen

    Huomautus

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Salli todennetuille käyttäjille tiedostojen kirjoittaminen

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Toimialuetietokoneet" ja
    "Muokkaa",
        "ContainerInherit,ObjectInherit",
        "Ei mitään",
        "Salli"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Salli toimialueen järjestelmänvalvojille täydet oikeudet (koostamiseen)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Toimialueen järjestelmänvalvojat",
        "Täydet oikeudet",
        "ContainerInherit,ObjectInherit",
        "Ei mitään",
        "Salli"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Käytä käyttöoikeuksia

    Set-Acl -Path $SharePath -AclObject $Acl

  • Jakokäyttöoikeuden vahvistaminen

    Huomautus

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Pitäisi palauttaa: Tosi

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

Ryhmäkäytäntöobjektin käyttöönotto

Käytä toimialueen ohjauskoneesta saatua automaatiokomentosarjaa:

Huomautus

Suorita toimialueen ohjauskoneessa toimialueen Hallinta vuorovaikutteiselle OU:lle -osa – suositus

Korvaa Contoso.com ja Contoso toimialueen nimellä.

Korvaa FILESERVER tiedostopalvelimen nimellä.  Komentosarja näyttää luettelon OU:ista, joissa ryhmäkäytäntöobjekti otetaan käyttöön

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Ajoita "päivittäin" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Tämä komentosarja suorittaa seuraavat toimet:

  • Luo uuden ryhmäkäytäntöobjektin määritetyllä nimellä
  • Kopioi kokoelman komentosarjan SYSVOL:iin korkean käytettävyyden varmistamiseksi
  • Määrittää tietokoneen käynnistyskomentosarjan
  • Linkittää ryhmäkäytäntöobjektin kohdeorganisaatioon
  • Luo valinnaisesti ajoitetun tehtävän säännöllistä keräystä varten

Seuraavassa taulukossa on ohjeita viiveen pituudesta ajoneuvosi koon perusteella.

Laivaston koko Viivealue
1–10 tuhatta laitetta 4 tuntia
10K-50K laitteet 8 tuntia
50K+ laitetta 12–24 tuntia

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

Ryhmäkäytäntöobjektin asetusten yhteenveto

Asetus Sijainti Arvo
Käynnistyskomentosarja Tietokoneen määritys → komentosarjat Detect-SecureBootCertUpdateStatus.ps1
Komentosarjan parametrit (sama) -OutputPath "\\server\share$"
Suorituskäytäntö Tietokonemääritys → Hallinta -mallit PowerShellin → Salli paikalliset ja etäallekirjoitetut
Ajoitettu tehtävä Tietokoneen määritys → asetukset → ajoitetut tehtävät Päivittäinen/viikoittainen kokoelma

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

Tarkistaminen

  • Ryhmäkäytäntöobjektin päivityksen pakottaminen testikoneessa

    Huomautus

    ## On a test workstation 
    gpupdate /force
     

    Käynnistä asiakaskoneet uudelleen, jotta komentosarja käynnistyy, tai se käynnistyy seuraavassa aikataulussa.

    Restart-Computer -Pakota

  • Tiedonkeruun vahvistaminen

    Huomautus

    Tarkista, onko tietoja kerätty (tiedostopalvelimesta tai mistä tahansa tietokoneesta)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -laskeva |
        Select-Object - Ensimmäiset 10
     

    JSON-sisällön tarkistaminen

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Tarkista ryhmäkäytäntöobjektisovellus

    Huomautus

    Tarkista, että ryhmäkäytäntöobjekti on käytössä tietokoneessa

    Select-String "SecureBoot"
    Komentosarja tallentaa myös paikallisen kopion vikasietoisuutta varten:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

takaisin vaiheeseen 1: tunnistamisen ja tilan valvonta yritystasolla

alkuun

Vaihe 2: suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat

Tärkeää

Varmista, että vaihe1 on valmis, mukaan lukien tiedonkeruu kustakin päätepisteestä etäpalvelinresursseihin.

Sisältö

Vaiheessa 2 tarvittavat komentosarjat

Esimerkki suojatun käynnistyksen varastotietojen keräämisen komentosarjoista

Huomautus

TÄRKEÄÄ Seuraavat esimerkkikomentosarjat sisältävät artikkelit on poistettu käytöstä. Jos olet asentanut Windows-päivityksen, joka on julkaistu 12. toukokuuta 2026 tai sen jälkeen, komentosarjat löytyvät laitteesi kansiosta %systemroot%\SecureBoot\ExampleRolloutScripts .

Komentosarjan nimen esimerkki Käyttötarkoitus Toimii seuraavissa laitteissa:
Esimerkki Detect-SecureBootCertUpdateStatus.ps1 komentosarjasta Kerää laitteen tilatietoja Kukin päätepiste (ryhmäkäytäntöobjektin kautta)
Esimerkki Aggregate-SecureBootData.ps1 komentosarjasta Luo raportteja ja raporttinäkymiä Hallinnan työasema
Esimerkki Deploy-GPO-SecureBootCollection.ps1 komentosarjasta Automatisoi ryhmäkäytäntöobjektin luomisen tietojen keräämistä varten Toimialueen ohjauskone
Esimerkki Start-SecureBootRolloutOrchestrator.ps1 komentosarjasta Täysin automatisoitu, jatkuva orkestrointi ja automatisoitu ryhmäkäytäntöobjektin käyttöönotto varmenteiden asennuksessa Hallinnan työasema
Esimerkki Deploy-OrchestratorTask.ps1 komentosarjasta Ottaa käyttöön Orkestrointikomentosarjan ajoitettuna tehtävänä automaattista käyttöönottoa varten Toimialueen ohjauskone
Esimerkki Get-SecureBootRolloutStatus.ps1 komentosarjasta Näytä suojatun käynnistyksen varmenteen käyttöönoton tila miltä tahansa työasemalta Hallinta-työasema
Esimerkki Enable-SecureBootUpdateTask.ps1 komentosarjasta Ottaa käyttöön suojatun käynnistyksen päivitystehtävän Päätepisteissä, joissa tehtävä on poistettu käytöstä (ota tehtävä käyttöön suorittamalla vain kerran, jos se ei ole käytössä)

takaisin vaiheeseen 2: suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat.

Start-SecureBootRolloutOrchestrator.ps1

  • Tarkoitus: Täysin automatisoitu, jatkuva orkestrointi ja ryhmäkäytäntöobjektin automatisoitu käyttöönotto.

  • Toiminto

    • Puhelut Aggregate-SecureBootData.ps1 laitteen tilaa varten

    • Luo käyttöönottoaaltoja asteittaisen kaksinkertaistamisen avulla

    • Luo ryhmäkäytäntöobjektin varmenteen käyttöönottoa varten jollakin seuraavista tavoista

      • Suojatun käynnistyksen ryhmäkäytäntö AvailableUpdatesPolicy = 0x5944 (oletus)
      • WinCS-menetelmä (parametri –UseWinCS)
    • Luo AD-käyttöoikeusryhmiä kohdentamista varten

    • Lisää tietokonetilejä käyttöoikeusryhmiin

    • Määrittää ryhmäkäytäntöobjektin suojaussuodatuksen

    • Linkittää ryhmäkäytäntöobjektin kohdeorganisaatioon

    • Valvoo tukossa olevia säilöjä (ulkopuoliset laitteet)

    • Poistaa eston automaattisesti, kun laitteet palautuvat

  • Käyttö

    Huomautus

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Huomautus

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Hallinta-komennot

    Huomautus

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Huomautus

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"

    Huomautus

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametrit

    Parametri Oletus Kuvaus
    AggregationInputPath Pakollinen UNC-polku päätepisteen JSON-tiedostoihin
    ReportBasePath Pakollinen Raporttien ja tilan paikallinen polku
    TargetOU Toimialueen päätaso Organisaatioyksikkö ryhmäkäytäntöobjektien linkittämiseen
    WavePrefix SecureBoot-Rollout Ryhmäkäytäntöobjektin tai ryhmän nimeämisen etuliite
    MaxWaitHours 72 Tunteja ennen laitteen saavutettavuuden tarkistamista
    PollIntervalMinutes 1440 Minuutit tilatarkistusten välillä
    DryRun epätosi Näytä, mitä tapahtuisi ilman muutoksia

    Huomautus

    Huomautus PollIntervalMinutes-toiminnosta: Kun orkestrointitoiminto suoritetaan suoraan, oletusarvo on 1 440 minuuttia (24 tuntia). Kun käyttöönotto otetaan Deploy-OrchestratorTask.ps1:n kautta, oletusarvo on 30 minuuttia. Käyttöönottokomentosarja välittää oman oletuskomentosarjansa orkestrointitoiminnolle. Käytä 30 minuuttia aktiiviseen käyttöönottoon ja 1440 huoltoon.

    Valinnaiset parametrit

    Parametri Oletus Kuvaus
    UseWinCS epätosi Käytä WinCS-menetelmää ryhmäkäytäntöobjektin AvailableUpdatesPolicy sijaan
    WinCSKey F33E0C8E002 WinCS-avain suojatun käynnistyksen määritykseen
    Sallittujen luettelon polku (ei mitään) Polku tiedostoon, jonka isäntänimet SALLIVAT kohdennetun käyttöönoton/pilottikäyttöönoton. Tukee .txt tai .csv.
    AllowADGroup (ei mitään) AD-suojausryhmä tietokonetilit, jotka sallitaan. Esimerkki: "SecureBoot-pilot-Computers"
    ExclusionListPath (ei mitään) Polku tiedostoon, jossa on isäntänimiä, jotka JÄTETÄÄN pois käyttöönotosta (VIP-/Executive-laitteet)
    Jätä pois ADGroup (ei mitään) AD-suojausryhmä tietokonetilit, jotka haluat jättää pois. Esimerkki: "VIP-tietokoneet"
    ListBlockedBuckets epätosi Näytä tällä hetkellä estettyjen laitteiden säilöt
    UnblockBucket (ei mitään) Poista tietyn säilön esto. Muoto: "Valmistaja|Malli|BIOS"
    Poista kaikkien esto epätosi Poista kaikkien estettyjen laitesäilön esto

takaisin vaiheeseen 2: suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat.

Deploy-OrchestratorTask.ps1

  • Tarkoitus: Orkestrointitoiminto otetaan käyttöön Windowsin ajoitettuna tehtävänä.

  • Edut

    • Ei PowerShellin suojauskehotteita (ExcecutionPolicyn ohittaminen)
    • Toimii taustalla jatkuvasti
    • Käyttäjän toimia ei tarvita
    • Selviää uudelleenkäynnistyksistä
  • Käyttö

    • Käyttöönotto toimialueen palvelutilillä (suositus)

      • Käytä AvailableUpdates-ryhmäkäytäntöä (oletusmenetelmä)

        Huomautus

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Käytä WinCS-menetelmää

        Huomautus

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Ota käyttöön käyttäen SYSTEM-tiliä

      • Käytä AvailableUpdates-ryhmäkäytäntöä (oletusmenetelmä)

        Huomautus

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Käytä WinCS method.\Deploy-OrchestratorTask.ps1

        Huomautus

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Palvelutilin vaatimukset

        • Toimialueen Hallinta (New-GPO, New-ADGroup, Add-ADGroupMember)
        • Lukuoikeus JSON-tiedostoresurssiin
        • ReportBasePathin kirjoitusoikeudet

takaisin vaiheeseen 2: suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat.

Get-SecureBootRolloutStatus.ps1

  • Tarkoitus: Tarkastele käyttöönoton edistymistä mistä tahansa työasemasta.

  • Mitä näytetään

    • Ajoitettujen tehtävien tila (käynnissä/valmis/pysäytetty)
    • Nykyinen aallon numero
    • Kohdennetut ja päivitetyt laitteet
    • Visuaalinen edistymispalkki
    • Estettyjen säilöjen yhteenveto
    • Linkki uusimpaan HTML-koontinäyttöön
  • Käyttö

    Huomautus

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Huomautus

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Huomautus

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Huomautus

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Huomautus

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Huomautus

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametrit

    Parametri Pakollinen? Oletus Kuvaus
    ReportBasePath Pakollinen Paikallinen polku raportteihin ja tilatiedostoihin
    ShowLog Valinnainen epätosi Viimeaikaisten orkestrointilokimerkintöjen näyttäminen
    ShowBlocked Valinnainen epätosi Estettyjen säilöjen tietojen näyttäminen
    ShowWaves Valinnainen epätosi Aaltohistorian näyttäminen
    Katso Valinnainen 0 (ei käytössä) Automaattisen päivityksen väli sekunteina. Esimerkki: -Watch 30 päivittyy 30 sekunnin välein.
    OpenDashboard Valinnainen epätosi Avaa uusin HTML-koontinäyttö oletusselaimessa
  • Esimerkki

    Huomautus

    • ==============================================================
         SUOJATUN KÄYNNISTYKSEN KÄYTTÖÖNOTON TILA
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Tila: Käynnissä
    Nykyinen aalto: 5
    Kohde yhteensä: 1250
    Päivitetty yhteensä: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Suorita komennolla -ShowBlocked saadaksesi lisätietoja
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

takaisin vaiheeseen 2: suojatun käynnistyksen varmenteen päivityksen orkestrointikomentosarjat.

alkuun

E2E-käyttöönoton vaiheet (pikaopas)

Sisältö

Vaihe 1: tunnistusinfrastruktuuri

  • Vaihe 1: Kokoelman jakamisen luominen

    Huomautus

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Huomautus

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Toimialueen tietokoneet","Muokkaa","Salli")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Vaihe 2: Ota tunnistuksen ryhmäkäytäntöobjekti käyttöön

    Huomautus

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Vaihe 3: Odota, että päätepisteet raportoidaan (24–48 tuntia)

    Huomautus

    Tarkistaa perintäprosessin edistymisen

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Määrä

takaisin kohtaan "E2E-käyttöönoton vaiheet (pikaopas)"

Vaihe 2: Järjestetty käyttöönotto

  • Vaihe 4: Edellytysten tarkistus

    • Tunnistuksen ryhmäkäytäntöobjekti käyttöön (vaihe 2)
    • Vähintään 50+ päätepistettä, jotka raportoivat JSON-sisältöä
    • Palvelutili ja toimialueen Hallinta-oikeudet
    • Hallintapalvelin, jossa on PowerShell 5.1+
  • Vaihe 5: Ota Orchestrator käyttöön ajoitettuna tehtävänä

    Huomautus

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Vaihe 6: Seuraa edistymistä

    Huomautus

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Vaihe 7: Tarkastele koontinäyttöä

    Huomautus

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Vaihe 8: Estettyjen säilöjen hallinta

    Huomautus

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Huomautus

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Valmistaja|Malli|BIOS"

  • Vaihe 9: Valmistumisen vahvistaminen

    Huomautus

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Tilana pitäisi näkyä "Valmis"

takaisin kohtaan "E2E-käyttöönoton vaiheet (pikaopas)"

State Files

Orkestrointi ylläpitää tilaa kohteessa ReportBasePath\RolloutState\:

Tiedosto Kuvaus
RolloutState.json Aaltohistoria, kohdelaitteet, tila
BlockedBuckets.json Säilöt, jotka kaipaavat tutkimista
DeviceHistory.json Laitteen seuranta isäntänimen mukaan
Orchestrator_YYYYMMDD.log Päivittäiset toimintalokit

takaisin kohtaan "E2E-käyttöönoton vaiheet (pikaopas)"

alkuun

Vianmääritys

Sisältö

Orkestrointitoiminto ei edisty

  1. Tarkista ajoitetut tehtävät

    Huomautus

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Tarkista lokit

    Huomautus

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. JSON-tietojen tuoreuden tarkistaminen

    Huomautus

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

takaisin vianmääritykseen.

Estetyt säilöt

  1. Luettelo estetty.

    Huomautus

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Tutki laitteen tavoitettavuutta.

  3. Tarkista laiteohjelmisto-ongelmat.

  4. Poista esto tutkimisen jälkeen.

takaisin vianmääritykseen.

Ryhmäkäytäntöobjekti ei sovellu

  1. Varmista, että ryhmäkäytäntöobjekti on olemassa.

    Huomautus

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Tarkista suojaussuodatus.

    Huomautus

    Get-GPPermission -Name "GPO-Name" -All

  3. Tarkista, että tietokone kuuluu käyttöoikeusryhmään.

  4. Käytä ryhmäkäytäntöobjektia kohteessa.

    Huomautus

    gpupdate /force

takaisin vianmääritykseen.

alkuun

Muutosloki

Muuta päivämäärää Muutoksen kuvaus
12. toukokuuta 2026 Aiemmin kukin komentosarjamallitiedosto julkaistiin erillisinä artikkeleina, joista voit kopioida ja liittää komentosarjan. 12. toukokuuta 2026 ja sen jälkeen julkaistuista Windows-päivityksistä alkaen komentosarjat sijaitsevat laitteesi kansiossa %systemroot%\SecureBoot\ExampleRolloutScripts .