Biztonságos rendszerindítási E2E-automatizálási útmutató minta

Hatókör
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Megjegyzés

Eredeti közzétételi dátum: Március 16, 2026
Legutóbbi frissítés dátuma: 2026. május 12.
Tudásbáziscikk azonosítója: 5084567

A témakör tartalma

Áttekintés

Ez az útmutató a Windows biztonságos rendszerindítási adatbázis tanúsítványfrissítéseinek automatizált központi telepítési rendszerét ismerteti Csoportházirend és progresszív bevezetési hullámok használatával.

A Secure Boot Certificate Rollout Automation egy PowerShell-alapú rendszer, amely szabályozott, fokozatos módon telepíti a Windows Secure Boot DB tanúsítványfrissítéseket a tartományhoz csatlakoztatott gépekre.

a lap tetejére

Főbb jellemzők

Funkció Leírás:
Fokozatos bevezetés 1 > 2 > 4 > 8... eszközök gyűjtőnként
Automatikus letiltás Az elérhetetlen eszközökkel rendelkező gyűjtők nem tartoznak ide
A csoportházirend-objektum automatizált üzembe helyezése Egyetlen vezénylési parancsfájl kezel mindent
Ütemezett feladat végrehajtása Nincs szükség interaktív parancsokra
Valós idejű monitorozás Állapotmegjelenítő folyamatjelzővel

a lap tetejére

A tanúsítványok Frissítések beállításainak részletes ismertetése

A szakasz tartalma

AvailableUpdatesPolicy csoportházirend

Beállításjegyzék helye HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Név AvailableUpdatesPolicy
Érték 0x5944 (DWORD)

Ez az a GPO/ADMX által vezérelt kulcs, amely:

  • Az újraindítások során is megmarad
  • Csoportházirend/MDM állítja be.
  • Nem okoz újrapróbálkozási hurkokat (a ClearRolloutFlags segítségével törölve)
  • Helyes-e a kulcs a házirenden alapuló telepítéshez?

Hivatkozás: Csoportházirend-objektumok (GPO) módszer a biztonságos rendszerindításhoz informatikai részleg által felügyelt frissítésekkel rendelkező windowsos eszközökhöz

vissza a "Tanúsítvány-Frissítések beállításainak referenciájához"

WinCSFlags – Windows konfigurációs rendszer jelzői

A tartományi rendszergazdák a Windows operációs rendszer frissítéseivel kiadott Windows konfigurációs rendszer (WinCS) segítségével is üzembe helyezhetik a biztonságos rendszerindítási frissítéseket a tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Ez egy parancssori felület (CLI) segédprogramból áll, amely lekérdezi és helyileg alkalmazza a biztonságos rendszerindítási konfigurációkat a gépen.

Funkció neve WinCS-kulcs Leírás:
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Ennek a kulcsnak az engedélyezése lehetővé teszi a következő, Microsoft által biztosított biztonságos rendszerindítási új tanúsítványok telepítését az eszközön.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Referencia: Windows konfigurációs rendszer (WinCS) API-k a biztonságos rendszerindításhoz

vissza a "Tanúsítvány-Frissítések beállításainak referenciájához"

a lap tetejére

Architektúra

Architektúra munkafolyamat

a lap tetejére

1. fázis: Észlelés és állapotfigyelés vállalati szinten

A szakasz tartalma

Az 1. fázishoz szükséges parancsfájlok

Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljainak példái

Megjegyzés

FONTOS A minta parancsfájlokat tartalmazó következő cikkek megszűntek. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók.

Példa szkriptnévre Rendeltetés Futtatás időtartama
Minta Detect-SecureBootCertUpdateStatus.ps1 parancsprogram Eszközállapot-adatokat gyűjt Minden végpont (csoportházirend-objektumon keresztül)
Minta Aggregate-SecureBootData.ps1 parancsprogram Jelentéseket és irányítópultokat generál Rendszergazdai munkaállomás
Minta Deploy-GPO-SecureBootCollection.ps1 parancsprogram Automatizálja a csoportházirend-objektumok létrehozását az adatgyűjtéshez Tartományvezérlő
Példakimenet a fenti 1. fázisú szkriptekből

Biztonságos rendszerindítási tanúsítvány állapotjelző irányítópultja

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

Helyi tesztelés

A csoportházirend-objektumon keresztüli üzembe helyezés előtt egyetlen gépen tesztelje a gyűjtési szkriptet a működés ellenőrzéséhez.

  • Gyűjteményparancsfájl helyi futtatása

    Nyisson meg egy rendszergazda jogú PowerShell-parancssort, és hajtsa végre a következőket:

    Megjegyzés

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • JSON kimenet ellenőrzése

    Megjegyzés

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Ellenőrizendő kulcsmezők  
    SecureBootEnabled – Igaznak vagy hamisnak kell lennie
    OverallStatus – kész, Ready for Update, NeedsData vagy Error
    BucketHash – Eszköz gyűjtő a megbízhatósági adatok egyeztetéséhez
    SecureBootTaskEnabled - A biztonságos rendszerindítási frissítési feladat állapotát mutatja.

  • Tesztelési összesítő parancsfájl

    Megjegyzés

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    A HTML-irányítópult megnyitása

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

Hálózati megosztás beállítása

  • A hálózati megosztás létrehozása

    A fájlkiszolgálón hozzon létre egy külön megosztást az adatgyűjtési adatok számára:

    Megjegyzés

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Mappa létrehozása

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Rejtett megosztás létrehozása (a $ utótag elrejt a tallózási listából)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Leírás: "Secure Boot Certificate Status Collection" '
        -FullAccess "Domain Admins" '
        -ChangeAccess "Tartományi számítógépek"

  • NTFS-engedélyek konfigurálása

    Megjegyzés

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Fájlok írásának engedélyezése hitelesített felhasználók számára

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Tartományi számítógépek" és
    "Módosítás",
        "ContainerInherit,ObjectInherit",
        "Nincs",
        "Engedélyezés"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Teljes hozzáférés megadása a tartományi rendszergazdáknak (az összesítéshez)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Tartományi rendszergazdák",
        "TeljesHozzáférés",
        "ContainerInherit,ObjectInherit",
        "Nincs",
        "Engedélyezés"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Engedélyek alkalmazása

    Set-Acl -Path $SharePath -AclObject $Acl

  • A megosztáshoz való hozzáférés ellenőrzése

    Megjegyzés

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Eredmény: Igaz

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

A csoportházirend-objektum üzembe helyezése

Használja a tartományvezérlő által biztosított automatizálási parancsfájlt:

Megjegyzés

Futtatás tartományvezérlőn tartományi rendszergazdaként az interaktív szervezeti egység szakaszhoz – ajánlott

Cserélje le a "Contoso.com" és a "Contoso" karaktereket a tartomány nevére

A FILESERVER szót cserélje le a fájlkiszolgáló nevével.  A parancsfájl megjeleníti azon szervezeti egységek listáját, amelyeken üzembe helyezheti a csoportházirend-objektumot

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    - Ütemezés "naponta" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

A parancsprogram a következőket hajtja végre:

  • Létrehoz egy új csoportházirend-objektumot megadott névvel.
  • Gyűjteményparancsfájl másolása a SYSVOL-ba a magas rendelkezésre állás érdekében
  • Konfigurálja a számítógép-indítási parancsfájlt
  • A csoportházirend-objektum összekapcsolása a célszervezettel
  • Opcionálisan rendszeres gyűjtéshez szükséges ütemezett feladat létrehozása

Az alábbi táblázat útmutatást ad arra vonatkozóan, hogy a flotta méretétől függően mennyi ideig lesz a késés.

Flotta mérete Késleltetési tartomány
1–10 ezres eszköz 4 óra
10K-50K eszközök 8 óra
50K+ eszköz 12–24 óra

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

A csoportházirend-objektum beállításainak összegzése

Beállítás Hely: Érték
Indítási parancsfájl Számítógép-konfiguráció → parancsfájlok Detect-SecureBootCertUpdateStatus.ps1
Parancsfájl paraméterei (ugyanaz) -OutputPath "\\server\share$"
Végrehajtási házirend Számítógépes konfigurációs → Rendszergazda sablonok → PowerShell Helyi és távoli aláírt engedélyezése
Ütemezett tevékenység Számítógép-konfiguráció → beállítások → ütemezett feladatok Napi/heti gyűjtés

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

Ellenőrzés

  • A csoportházirend-objektum frissítésének kényszerítése a Test Machine esetében

    Megjegyzés

    ## On a test workstation 
    gpupdate /force
     

    Indítsa újra az ügyfélgépeket indítási parancsfájllal, különben a következő ütemezés szerint fog elindulni.

    Restart-Computer -Force

  • Az adatgyűjtés ellenőrzése

    Megjegyzés

    Annak ellenőrzése, hogy történt-e adatgyűjtés (a fájlkiszolgálón vagy bármely gépről)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime – csökkenő |
        Select-Object – Első 10
     

    JSON-tartalom ellenőrzése

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • A csoportházirend-objektum alkalmazásának ellenőrzése

    Megjegyzés

    A csoportházirend-objektum alkalmazásának ellenőrzése a számítógépen

    Select-String "SecureBoot"
    A parancsfájl a redundancia végett menti a helyi másolatot is:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

vissza az "1. fázishoz: Észlelés és állapotfigyelés vállalati szinten"

a lap tetejére

2. fázis: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai

Fontos

Győződjön meg arról, hogy az 1. fázis befejeződött, beleértve az adatgyűjtést a távoli kiszolgálómegosztások minden egyes végpontján.

A szakasz tartalma

A 2. fázishoz szükséges parancsfájlok

Biztonságos rendszerindítási leltár adatgyűjtési parancsfájljainak példái

Megjegyzés

FONTOS A minta parancsfájlokat tartalmazó következő cikkek megszűntek. Ha 2026. május 12-én vagy azt követően kiadott Windows-frissítést telepített, a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók.

Példa parancsprogram nevére Rendeltetés A következőkön futtatható
Minta Detect-SecureBootCertUpdateStatus.ps1 parancsprogram Eszközállapot-adatokat gyűjt Minden végpont (csoportházirend-objektumon keresztül)
Minta Aggregate-SecureBootData.ps1 parancsprogram Jelentéseket és irányítópultokat generál Rendszergazdai munkaállomás
Minta Deploy-GPO-SecureBootCollection.ps1 parancsprogram Automatizálja a csoportházirend-objektumok létrehozását az adatgyűjtéshez Tartományvezérlő
Minta Start-SecureBootRolloutOrchestrator.ps1 parancsprogram Teljesen automatizált, folyamatos vezénylés a tanúsítványok telepítéséhez szükséges csoportházirend-objektum automatizált üzembe helyezésével Rendszergazdai munkaállomás
Minta Deploy-OrchestratorTask.ps1 parancsprogram Vezénylési parancsfájlt üzembe helyez ütemezett feladatként az automatikus kibocsátáshoz Tartományvezérlő
Minta Get-SecureBootRolloutStatus.ps1 parancsprogram A biztonságos rendszerindítási tanúsítvány kibocsátási állapotának megtekintése bármelyik munkaállomásról Rendszergazdai munkaállomás
Minta Enable-SecureBootUpdateTask.ps1 parancsprogram Engedélyezi a biztonságos rendszerindítási frissítési feladatot Végpontokon, ahol a feladat le van tiltva (csak egyszer futtassa, hogy a feladat engedélyezve legyen, ha le van tiltva)

vissza a "2. fázishoz: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai"

Start-SecureBootRolloutOrchestrator.ps1

  • Cél: Teljesen automatizált, folyamatos vezénylés a csoportházirend-objektumok automatikus üzembe helyezésével.

  • Funkció

    • Hívások Aggregate-SecureBootData.ps1 az eszköz állapotához

    • Bevezetési hullámokat hoz létre progresszív duplázással

    • Csoportházirend-objektum létrehozása egy tanúsítvány telepítéséhez az alábbi módszerek egyikével

      • Biztonságos rendszerindítás csoportházirend AvailableUpdatesPolicy = 0x5944 (alapértelmezett)
      • WinCS metódus (paraméter –UseWinCS)
    • AD biztonsági csoportokat hoz létre a célzáshoz

    • Számítógépfiókokat ad hozzá a biztonsági csoportokhoz

    • A csoportházirend-objektum biztonsági szűrésének konfigurálása

    • A csoportházirend-objektum összekapcsolása a célszervezettel

    • A blokkolt gyűjtők (elérhetetlen eszközök) monitorozása

    • Automatikusan feloldja a letiltásokat az eszközök helyreállításakor

  • Használat

    Megjegyzés

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Megjegyzés

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Rendszergazdai parancsok

    Megjegyzés

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Megjegyzés

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"

    Megjegyzés

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Paraméterek

    Paraméter Alapértelmezett Leírás:
    AggregationInputPath Kötelező A végpont JSON-fájljainak UNC elérési útja
    ReportBasePath Kötelező A jelentések és az állapot helyi elérési útja
    TargetOU Tartomány gyökere Szervezeti egység a csoportházirend-objektumok összekapcsolásához
    WavePrefix SecureBoot-Rollout Csoportházirend-objektumok/csoportelnevezési előtagok
    MaxWaitHours 72 Órákkal az eszköz elérhetőségének ellenőrzése előtt
    PollIntervalMinutes 1440 Állapotellenőrzések közötti percek száma
    Száraz futtatás Hamis Annak megjelenítése, mi történne módosítások nélkül

    Megjegyzés

    Megjegyzés a PollIntervalMinutes kapcsán: Ha közvetlenül futtatja a vezénylési számítógépet, az alapértelmezett érték 1440 perc (24 óra). A Deploy-OrchestratorTask.ps1-on keresztüli üzembe helyezés esetén az alapértelmezett idő 30 perc. A telepítési szkript átadja a saját alapértelmezett parancsfájlját a vezénylésnek. Használjon 30 percet az aktív bevezetésre, 1440 a karbantartás figyelésére.

    Választható paraméterek

    Paraméter Alapértelmezett Leírás:
    UseWinCS Hamis A WinCS metódus használata az AvailableUpdatesPolicy csoportházirend-objektum helyett
    WinCSKey F33E0C8E002 WinCS-kulcs a biztonságos rendszerindítás konfigurációjához
    AllowListPath (Engedélyezési lista) (nincs) A célzott/próbaüzemi bevezetést engedélyező állomásneveket tartalmazó fájl elérési útja. Támogatja a .txt vagy .csv.
    AllowADGroup (nincs) A számítógépfiókok AD biztonsági csoportja az ENGEDÉLYEZENDŐ. Példa: "SecureBoot-Pilot-Computers"
    ExclusionListPath (nincs) A kibocsátásból kizárandó állomásneveket tartalmazó fájl elérési útja (VIP-/vezetői eszközök)
    ADGroup kizárása (nincs) A kizárandó számítógépfiókok AD biztonsági csoportja. Példa: "VIP-számítógépek"
    ListBlockedBuckets Hamis Az aktuálisan letiltott eszközgyűjtők megjelenítése
    UnblockBucket (nincs) Adott gyűjtő tiltásának feloldása. Formátum: "Gyártó|Modell|BIOS"
    Összes tiltásának feloldása Hamis Az összes letiltott eszközgyűjtő tiltásának feloldása

vissza a "2. fázishoz: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai"

Deploy-OrchestratorTask.ps1

  • Cél: A vezénylési számítógép üzembe helyezése Windows ütemezett feladatként.

  • Előnyök

    • Nincsenek PowerShell-biztonsági üzenetek (ExecutionPolicy Bypass)
    • Folyamatosan fut a háttérben
    • Nincs szükség felhasználói beavatkozásra
    • Túléli az újraindításokat
  • Használat

    • Üzembe helyezés tartományi szolgáltatásfiókkal (ajánlott)

      • Az AvailableUpdates Csoportházirend használata (alapértelmezett módszer)

        Megjegyzés

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • WinCS metódus használata

        Megjegyzés

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Üzembe helyezés SYSTEM-fiókkal

      • Az AvailableUpdates Csoportházirend használata (alapértelmezett módszer)

        Megjegyzés

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • A WinCS method.\Deploy-OrchestratorTask.ps1használata

        Megjegyzés

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • A szolgáltatásfiókokra vonatkozó követelmények

        • Domain Rendszergazda (új csoportházirend-objektum, új ADGroup, Add-ADGroupMember esetén)
        • Olvasási hozzáférés a JSON-fájlmegosztáshoz
        • Írási hozzáférés a ReportBasePath eszközhöz

vissza a "2. fázishoz: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai"

Get-SecureBootRolloutStatus.ps1

  • Cél: Bármely munkaállomásról megtekintheti a bevezetés előrehaladását.

  • Amit megjelenít

    • Ütemezett feladat állapota (Fut/Kész/Leállítva)
    • Aktuális hullámszám
    • Megcélzott és frissített eszközök
    • Vizuális folyamatjelző sáv
    • Letiltott gyűjtők összefoglalása
    • Hivatkozás a legújabb HTML-irányítópultra
  • Használat

    Megjegyzés

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Megjegyzés

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Megjegyzés

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Megjegyzés

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Megjegyzés

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Megjegyzés

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Paraméterek

    Paraméter Kötelező? Alapértelmezett Leírás:
    ReportBasePath Kötelező A jelentések és állapotfájlok helyi elérési útja
    ShowLog Nem kötelező Hamis A legutóbbi vezénylési naplóbejegyzések megjelenítése
    ShowBlocked Nem kötelező Hamis A letiltott gyűjtők részleteinek megjelenítése
    ShowWaves Nem kötelező Hamis Hullámelőzmények megjelenítése
    Megtekintés Nem kötelező 0 (letiltva) Az automatikus frissítés időköze másodpercben megadva. Példa: A Watch 30 30 30 másodpercenként frissül.
    OpenDashboard Nem kötelező Hamis A legújabb HTML-irányítópult megnyitása az alapértelmezett böngészőben
  • Példa a kimenetre

    Megjegyzés

    • ==============================================================
         BIZTONSÁGOS RENDSZERINDÍTÁS BEVEZETÉSÉNEK ÁLLAPOTA
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Állapot: Folyamatban
    Jelenlegi hullám: 5
    Megcélzott összesen: 1250
    Frissítve összesen: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Futtatás ezzel: -ShowBlocked a részletekért
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

vissza a "2. fázishoz: Biztonságos rendszerindítási tanúsítvány frissítési vezénylési parancsfájljai"

a lap tetejére

Az E2E üzembe helyezésének lépései (Rövid összefoglalás)

A szakasz tartalma

1. fázis: Észlelési infrastruktúra

  • 1. lépés: Gyűjteménymegosztás létrehozása

    Megjegyzés

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Tartományi számítógépek"

    Megjegyzés

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Tartományi számítógépek","Módosítás","Engedélyezés")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • 2. lépés: Az észlelési csoportházirend-objektum üzembe helyezése

    Megjegyzés

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • 3. lépés: Várakozás a végpontok jelentésére (24–48 óra)

    Megjegyzés

    Begyűjtési állapot ellenőrzése

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Darabszám

vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"

2. fázis: Összehangolt bevezetés

  • 4. lépés: Előfeltételek ellenőrzése

    • Telepített észlelési csoportházirend-objektum (2. lépés)
    • Legalább 50+ végpont jelenti a JSON-t
    • Szolgáltatási fiók tartományi rendszergazdai jogokkal
    • Felügyeleti kiszolgáló PowerShell 5.1+ használatával
  • 5. lépés: A vezénylési számítógép üzembe helyezése ütemezett feladatként

    Megjegyzés

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • 6. lépés: Az előrehaladás figyelése

    Megjegyzés

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • 7. lépés: Irányítópult megtekintése

    Megjegyzés

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • 8. lépés: A letiltott gyűjtők kezelése

    Megjegyzés

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Megjegyzés

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Gyártó|Modell|BIOS"

  • 9. lépés: A befejezés ellenőrzése

    Megjegyzés

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Az állapotnak a "Befejezett" állapotnak kell megjelennie.

vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"

State Files

A vezénylési PC fenntartja az állapotot a ReportBasePath\RolloutState\:

Fájl Leírás:
RolloutState.json Hullámelőzmények, célzott eszközök, állapot
BlockedBuckets.json Vizsgálatot igénylő gyűjtők
DeviceHistory.json Eszközkövetés állomásnév alapján
Orchestrator_YYYYMMDD.log Napi tevékenységnaplók

vissza az "E2E üzembe helyezésének lépései (Rövid összefoglalás)"

a lap tetejére

Hibaelhárítás

A szakasz tartalma

A vezénylési program nem halad

  1. Ütemezett tevékenység ellenőrzése

    Megjegyzés

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Naplók ellenőrzése

    Megjegyzés

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. A JSON-adatok frissességének ellenőrzése

    Megjegyzés

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

vissza a "Hibaelhárítás" lapra

Letiltott gyűjtők

  1. Lista letiltva.

    Megjegyzés

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Vizsgálja meg az eszköz elérhetőségét.

  3. Ellenőrizze, hogy vannak-e problémák a belső vezérlőprogrammal.

  4. Vizsgálat után oldja fel a letiltást.

vissza a "Hibaelhárítás" lapra

A csoportházirend-objektum nem alkalmazható

  1. Ellenőrizze, hogy létezik-e csoportházirend-objektum.

    Megjegyzés

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Ellenőrizze a biztonsági szűrést.

    Megjegyzés

    Get-GPPermission -Name "GPO-Name" -All

  3. Ellenőrizze, hogy a számítógép szerepel-e a biztonsági csoportban.

  4. Alkalmazza a csoportházirend-objektumot a célon.

    Megjegyzés

    gpupdate /force

vissza a "Hibaelhárítás" lapra

a lap tetejére

Módosítási napló

Dátum módosítása Módosítás leírása
2026. május 12. Korábban minden minta parancsfájlt különálló cikkként tettek közzé, amelyekből a vágólapra másolhatta és beillesztheti a parancsfájlt. A 2026. május 12-én és azt követően kiadott Windows-frissítésekkel kezdődően a mintaszkriptek az eszköz %systemroot%\SecureBoot\ExampleRolloutScripts mappájában találhatók.