Attiecas uz
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Sākotnējais publicēšanas datums: 2026. gada 16. martsPēdējoreiz atjaunināts: 2026. gada 3. aprīlisKB ID: 5084567

Šajā rakstā

Kopsavilkums

Šajā rokasgrāmatā ir aprakstīta Windows drošās palaišanas DB sertifikātu atjauninājumu automatizētā izvietošanas sistēma, izmantojot grupas politiku un pakāpeniskus izvēršanas viļņus.

Drošās palaišanas sertifikāta ieviešanas automatizācija ir uz PowerShell balstīta sistēma, kas kontrolētā un pakāpeniskā veidā izvieto Windows drošās palaišanas datu bāzes sertifikātu atjauninājumus domēnam pievienotajās ierīcēs.

atpakaļ uz sākumu

Galvenie līdzekļi

Līdzeklis

Apraksts

Pakāpeniska ieviešana

1 > 2 > 4 > 8... Ierīces vienā spainī

Automātiskā bloķēšana

Intervāli ar nesasniedzamām ierīcēm nav iekļauti

Automatizēta GPO izvietošana

Single orchestrator script apstrādā visu

Ieplānota uzdevumu izpilde

Nav nepieciešamas interaktīvas uzvednes

Reāllaika uzraudzība

Status viewer with progress bar

atpakaļ uz sākumu 

Sertifikātu Atjauninājumi Iestatījumu atsauce

Šajā sadaļā

AvailableUpdatesPolicy Grupas politika

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Nosaukums

AvailableUpdatesPolicy

Vērtība

0x5944 (DWORD)

Šī ir GPO/ADMX kontrolētā atslēga, kas:

  • Saglabājas arī pēc atkārtotas palaišanas

  • Ir iestatīts ar grupas politika/MDM

  • Neizraisa atkārtotu mēģinājumu cilpas (notīrītas, izmantojot ClearRolloutFlags)

  • Vai tā ir pareizā atslēga politikas virzītai izvietošanai

Atsauce: grupas politika objektu (GPO) metode drošai palaišanai Windows ierīcēm ar IT pārvaldītiem atjauninājumiem

atpakaļ uz "Sertifikātu Atjauninājumi Iestatījumu atsauce" 

WinCSFlags - Windows konfigurācijas sistēmas karodziņi

Domēna administratori var arī izmantot Windows konfigurācijas sistēmu (WinCS), kas izlaista kopā ar Windows OS atjauninājumiem, lai izvietotu drošās palaišanas atjauninājumus domēnam pievienotos Windows klientos un serveros. Tas sastāv no komandrindas interfeisa (CLI) utilītas, lai veiktu vaicājumus un lietotu drošās palaišanas konfigurācijas lokāli datorā.

Līdzekļa nosaukums

WinCS atslēga

Apraksts

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Šīs atslēgas iespējošana ļauj ierīcē instalēt tālāk norādītos Microsoft nodrošinātos jaunos drošās palaišanas sertifikātus.

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Atsauce: Windows konfigurācijas sistēmas (WinCS) API drošai palaišanai

atpakaļ uz "Sertifikātu Atjauninājumi Iestatījumu atsauce"

atpakaļ uz sākumu

Arhitektūra

Arhitektūras darbplūsma

atpakaļ uz sākumu 

1. posms Noteikšana un statusa uzraudzība uzņēmuma līmenī

Šajā sadaļā

1. posmam nepieciešamie skripti

Drošās palaišanas inventarizācijas datu apkopošanas skriptu paraugi

SVARĪGI Tālāk minētie raksti, kas satur skriptu paraugus, ir izņemti. Ja esat instalējis Windows atjauninājumu, kas izlaists 2026. gada 12. maijā vai vēlāk, skriptu paraugi ir atrodami ierīces mapē %systemroot%\SecureBoot\ExampleRolloutScripts.

Skripta nosaukuma piemērs

Mērķis 

Darbojas sistēmā 

Detect-SecureBootCertUpdateStatus.ps1 skripta paraugs 

Apkopo ierīces statusa datus 

Katrs galapunkts (izmantojot GPO) 

Aggregate-SecureBootData.ps1 skripta paraugs 

Ģenerē atskaites un informācijas paneļus 

Administrēšanas darbstacija 

Deploy-GPO-SecureBootCollection.ps1 skripta paraugs

Automatizē GPO izveidi datu vākšanai 

Domēna kontrolleris 

Drošās palaišanas sertifikāta statusa informācijas panelis

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī"

Vietējā testēšana

Pirms izvietošanas, izmantojot GPO, pārbaudiet kolekcijas skriptu vienā datorā, lai pārbaudītu funkcionalitāti. 

  • Palaist kolekcijas skriptu lokāli Atveriet privileģēto PowerShell uzvedni un izpildījiet:

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest" 

  • JSON izvades pārbaudīšana

    # View the collected data  Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Galvenie lauki, ko pārbaudīt  SecureBootEnabled – jābūt patiesam vai aplamam OverallStatus – pabeigts, gatavs atjaunināšanai, NeedsData vai kļūda BucketHash – ierīces intervāls ticamības datu saskaņošanai SecureBootTaskEnabled - parāda drošās palaišanas atjaunināšanas uzdevuma statusu.

  • Testa apkopojuma skripts

    # Generate reports from collected data  & ".\Aggregate-SecureBootData.ps1" '     -InputPath "C:\Temp\SecureBootTest" '     -OutputPath "C:\Temp\SecureBootReports"   # HTML informācijas paneļa atvēršana Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī" 

Tīkla koplietošanas iestatīšana

  • Tīkla koplietojuma izveide Savā failu serverī izveidojiet atvēlētu koplietojumu kolekcijas datiem:

    # Run on file server as Administrator  $SharePath = "D:\SecureBootCollection" $ShareName = "SecureBootData$"   # Izveidot mapi New-Item -ItemType directory -path $SharePath -force   # Izveidot slēpto koplietošanu ($ sufikss slēpjas no pārlūkošanas saraksta) New-SmbShare -Name $ShareName -Path $SharePath '     -Apraksts: "Drošās palaišanas sertifikāta statusa apkopošana" '     -FullAccess "Domēna administratori" '     -ChangeAccess "Domēna datori"

  • NTFS atļauju konfigurēšana

    # Get current ACL  $Acl = Get-Acl $SharePath   # Atļaut autentificētiem lietotājiem rakstīt failus $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule( "domēna datori" un "Modificēt",     "ContainerInherit,ObjectInherit",     "Nav",     "Atļaut" ) $Acl.AddAccessRule($WriteRule)   # Atļaut domēna administratoriem pilnīgu kontroli (apkopošanai) $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(     "Domēna administratori",     "FullControl",     "ContainerInherit,ObjectInherit",     "Nav",     "Atļaut" ) $Acl.AddAccessRule($AdminRule)   # Atļauju lietošana Set-Acl -Path $SharePath -AclObject $Acl 

  • Koplietošanas piekļuves pārbaude

    # Test from a domain-joined workstation  Test-Path "\\fileserver\SecureBootData$" # Jāatgriež: True

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī" 

GPO izvietošana

Izmantojiet automatizācijas skriptu, ko nodrošina domēna kontrolleris:

# Palaist domēna kontrollerī kā domēna Administrēšana interaktīvai OU sadaļai - ieteicams # Aizstājiet "Contoso.com", "Contoso" ar domēna nosaukumu # Aizstājiet FILESERVER ar failu servera nosaukumu.  Skripts parāda sarakstu ar OU, kuros izvietot GPO .\Deploy-GPO-SecureBootCollection.ps1 '     -Domēna nosaukums "contoso.com" '     -AutoDetectOU '     -CollectionSharePath "\\FILESERVER\SecureBootData$"     -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '     -Grafiks "Katru dienu"     -ScheduleTime "14:00" '     -RandomDelayHours 4 

Šis skripts veiks šādas darbības:

  • Izveido jaunu GPO ar norādīto nosaukumu

  • Kopē kolekcijas skriptu uz SYSVOL augstas pieejamības nodrošināšanai

  • Konfigurē datora startēšanas skriptu

  • Saista GPO ar mērķa OU

  • Neobligāti izveido ieplānoto uzdevumu periodiskai apkopošanai

Nākamajā tabulā ir sniegti norādījumi par to, cik ilgi kavēšanās būs atkarīga no jūsu autoparka lieluma.

Autoparka lielums 

Aizkaves diapazons 

1–10K ierīces 

4 stundas 

10K-50K ierīces 

8 stundas 

50K+ ierīces 

12–24 stundas

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī" 

GPO iestatījumu kopsavilkums

Iestatījums 

Atrašanās vieta 

Vērtība 

Startēšanas skripts 

Datora konfigurācijas → skripti 

Detect-SecureBootCertUpdateStatus.ps1 

Skripta parametri 

(tas pats) 

-OutputPath "\\server\share$" 

Izpildes politika 

Datora konfigurācija → Administrēšana veidnes → PowerShell 

Atļaut lokālu un attāli parakstītu 

Ieplānotais uzdevums 

Datora konfigurācija → preferences → ieplānotie uzdevumi 

Ikdienas/iknedēļas kolekcija

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī" 

Pārbaude

  • Piespiedu GPO atjaunināšana testa datorā

    ## On a test workstation  gpupdate /force   # Reboot klienta mašīnas, lai startētu skriptu, vai tas tiks aktivizēts nākamajā grafikā.Restart-Computer — spēks

  • Datu vākšanas pārbaude

    # Pārbaudiet, vai dati tika savākti (failu serverī vai no jebkura datora) Get-ChildItem "\\fileserver\SecureBootData$" |       Sort-Object LastWriteTime — dilstošā secībā |       Select-Object -Pirmie 10   # JSON satura pārbaude Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json 

  • Pārbaudīt GPO lietojumprogrammu

    # Pārbaudiet, vai datoram tiek lietots GPO Select-String "SecureBoot" Skripts arī saglabā lokālu kopiju dublēšanai: Get-ChildItem "C:\ProgramData\SecureBootCollection\" 

atpakaļ uz "1. posms: noteikšana un statusa uzraudzība uzņēmuma līmenī"

atpakaļ uz sākumu 

2. posms Drošās palaišanas sertifikāta atjaunināšanas orķestra skripti

Svarīgi!: Pārliecinieties, vai 1. fāze ir pabeigta, ietverot datu apkopošanu katrā galapunktā attālajiem servera koplietojumiem.

Šajā sadaļā

2. posmam nepieciešamie skripti

Drošās palaišanas inventarizācijas datu apkopošanas skriptu paraugi

SVARĪGI Tālāk minētie raksti, kas satur skriptu paraugus, ir izņemti. Ja esat instalējis Windows atjauninājumu, kas izlaists 2026. gada 12. maijā vai vēlāk, skriptu paraugi ir atrodami ierīces mapē %systemroot%\SecureBoot\ExampleRolloutScripts.

Skripta nosaukuma piemērs

Mērķis 

Darbojas sistēmā 

Detect-SecureBootCertUpdateStatus.ps1 skripta paraugs  

Apkopo ierīces statusa datus 

Katrs galapunkts (izmantojot GPO) 

Aggregate-SecureBootData.ps1 skripta paraugs

Ģenerē atskaites un informācijas paneļus 

Administrēšanas darbstacija 

Deploy-GPO-SecureBootCollection.ps1 skripta paraugs

Automatizē GPO izveidi datu vākšanai 

Domēna kontrolleris 

Start-SecureBootRolloutOrchestrator.ps1 skripta paraugs

Pilnībā automatizēta, nepārtraukta orķestrēšana ar automatizētu GPO izvietošanu sertifikātu instalēšanai

Administrēšanas darbstacija 

Deploy-OrchestratorTask.ps1 skripta paraugs

Izvieto Orchestrator skriptu kā ieplānotu uzdevumu automātiskai ieviešanai

Domēna kontrolleris

Get-SecureBootRolloutStatus.ps1 skripta paraugs

Skatīt drošās palaišanas sertifikātu Izvēršanas statusu no jebkuras darbstacijas

Administrēšanas darbstacija

Enable-SecureBootUpdateTask.ps1 skripta paraugs

 Iespējo drošās sāknēšanas atjaunināšanas uzdevumu

Galapunktos, kuros uzdevums ir atspējots (izpildīt tikai vienu reizi, lai iespējotu uzdevumu, ja tas ir atspējots)

atpakaļ uz "2. posms: drošās palaišanas sertifikāta atjaunināšanas orķestra skripti" 

Start-SecureBootRolloutOrchestrator.ps1

  • Mērķis: Pilnībā automatizēta, nepārtraukta orķestrēšana ar automatizētu GPO izvietošanu.

  • Funkcija

    • Zvanu Aggregate-SecureBootData.ps1 ierīces statusam

    • Ģenerē ieviešanas viļņus, izmantojot pakāpenisku dubultošanu

    • Izveido GPO sertifikātu izvietošanai, izmantojot kādu no tālāk norādītajām metodēm

      • Drošās palaišanas grupas politika: AvailableUpdatesPolicy = 0x5944 (noklusējums)

      • WinCS metode (parametrs –UseWinCS)

    • Izveido AD drošības grupas mērķauditorijas atlasei

    • Pievieno datoru kontus drošības grupām

    • Konfigurē GPO drošības filtrēšanu

    • Saista GPO ar mērķa OU

    • Bloķēto intervālu (nesasniedzamu ierīču) monitori

    • Automātiskā atbloķēšana pēc ierīču atkopšanas

  • Lietošana

    # Interactive (testing) .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 30

    # Interactive (testing), leveraging WinCS method .\Start-SecureBootRolloutOrchestrator.ps1 '     -AggregationInputPath "\\fileserver\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -PollIntervalMinutes 30 '     -UseWinCS

  • Administrēšanas komandas

    # List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Platums5520|BIOS1.2"

    # Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametri

    Parametrs

    Noklusējums

    Apraksts

    AggregationInputPath

    Obligāts

    UNC ceļš uz galapunkta JSON failiem

    ReportBasePath

    Obligāts

    Atskaišu un stāvokļa lokālais ceļš

    TargetOU

    Domēna sakne

    OU, lai saistītu GPO

    WavePrefix

    SecureBoot-Rollout

    GPO/grupas nosaukumdošanas prefikss

    Maksimālais gaidīšanas laiks

    72

    Stundas pirms ierīces sasniedzamības pārbaudes

    PollIntervalMinutes

    1440

    Minūtes starp statusa pārbaudēm

    DryRun

    False

    Rādīšana, kas notiktu bez izmaiņām

    Piezīme par PollIntervalMinutes: Ja vadības modulis darbojas tieši, noklusējuma ilgums ir 1440 minūtes (24 stundas). Izvietojot, izmantojot Deploy-OrchestratorTask.ps1, noklusējuma ilgums ir 30 minūtes. Izvietošanas skripts nodod vadības modelim savu noklusējumu. Aktīvai ieviešanai izmantojiet 30 minūtes, bet uzturēšanas pārraudzībai — 1440 minūtes.

    Neobligātie parametri

    Parametrs

    Noklusējums

    Apraksts

    UseWinCS

    False

    AvailableUpdatesPolicy GPO vietā izmantot WinCS metodi

    WinCSKey

    F33E0C8E002

    WinCS atslēga drošas palaišanas konfigurācijai

    AllowListPath

    (nav)

    Ceļš uz failu ar resursdatoru nosaukumiem, lai ATĻAUTU mērķētajai/izmēģinājuma ieviešanai. Atbalsta .txt vai .csv.

    AllowADGroup

    (nav)

    AD drošības grupa datora kontiem, lai atļautu. Piemērs: "SecureBoot-Pilot-Computers"

    ExclusionListPath

    (nav)

    Ceļš uz failu ar resursdatoru nosaukumiem, kurus IZSLĒGT no ieviešanas (VIP/izpildes ierīces)

    IzslēgtsADGroup

    (nav)

    Izslēdzamo datoru kontu AD drošības grupa. Piemērs: "VIP datori"

    ListBlockedBuckets

    False

    Rādīt pašlaik bloķētos ierīču intervālus

    Atbloķēt kausu

    (nav)

    Atbloķējiet konkrētu intervālu. Formāts: "Ražotājs|Modelis|BIOS"

    Atbloķēt visu

    False

    Visu bloķēto ierīču intervālu atbloķēšana

atpakaļ uz "2. posms: drošās palaišanas sertifikāta atjaunināšanas orķestra skripti"  

Deploy-OrchestratorTask.ps1

  • Mērķis: Izvieto vadības moduli kā Windows ieplānoto uzdevumu.

  • Priekšrocības

    • Nav PowerShell drošības uzvedņu (executionPolicy apiešana)

    • Darbojas fonā nepārtraukti

    • Nav nepieciešama lietotāja mijiedarbība

    • Izdzīvo pēc atkārtotas palaišanas

  • Lietošana

    • Izvietot, izmantojot domēna pakalpojuma kontu (ieteicams)

      • Izmantot AvailableUpdates grupas politika (noklusējuma metode)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMĒNS\svc_secureboot"

      • WinCS metodes izmantošana

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMĒNS\svc_secureboot" -UseWinCS

    • Izvietot ar kontu SYSTEM

      • Izmantot AvailableUpdates grupas politika (noklusējuma metode)

        .\Deploy-OrchestratorTask.ps1 '     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports"

      • WinCS method.\Deploy-OrchestratorTask.ps1 izmantošana

            -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Prasības pakalpojuma kontam

        • Domēna Administrēšana (New-GPO, New-ADGroup, Add-ADGroupMember)

        • Lasīšanas piekļuve JSON failu koplietošanai

        • Rakstīšanas piekļuve ReportBasePath

atpakaļ uz "2. posms: drošās palaišanas sertifikāta atjaunināšanas orķestra skripti"  

Get-SecureBootRolloutStatus.ps1

  • Mērķis: Skatiet ieviešanas norisi no jebkuras darbstacijas.

  • Rāda

    • Ieplānotā uzdevuma statuss (darbojas/gatavs/apturēts)

    • Pašreizējā viļņa numurs

    • Atlasītās ierīces salīdzinājumā ar atjauninātajām ierīcēm

    • Vizuālās norises josla

    • Bloķēto intervālu kopsavilkums

    • Saite uz jaunāko HTML informācijas paneli

  • Lietošana

    # Quick status check .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    # Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    # View blocked buckets .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    # View wave history .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    # View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    # Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametri

    Parametrs

    Vai obligāts?

    Noklusējums

    Apraksts

    ReportBasePath

    Obligāts

    Lokālais ceļš uz atskaitēm un stāvokļa failiem

    ShowLog

    Neobligāts

    False

    Parādīt jaunākos vadības moduļa žurnāla ierakstus

    ShowBlocked

    Neobligāts

    False

    Rādīt bloķēto intervālu detalizēto informāciju

    ShowWaves

    Neobligāts

    False

    Rādīt viļņu vēsturi

    Skatīties

    Neobligāts

    0 (atspējots)

    Automātiskās atsvaidzināšanas intervāls sekundēs. Piemērs: -Watch 30 atsvaidzinās ik pēc 30 sekundēm.

    OpenDashboard

    Neobligāts

    False

    Atveriet jaunāko HTML informācijas paneli noklusējuma pārlūkprogrammā

  • Parauga izvade

    ==============================================================    DROŠĀS PALAIŠANAS IZVĒRŠANAS STATUSS    2026-02-17 19:30:00 ======================================================

    Scheduled Task: Running

    ROLLOUT PROGRESS ---------------------------------------- Statuss: Notiek izpilde Pašreizējais vilnis: 5 Kopējais mērķis: 1250 Kopā atjaunināts: 847

    Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%

    BLOCKED BUCKETS: 2 buckets need attention   Lai iegūtu detalizētu informāciju, palaidiet ar -ShowBlocked

    LATEST DASHBOARD C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________

atpakaļ uz "2. posms: drošās palaišanas sertifikāta atjaunināšanas orķestra skripti"

atpakaļ uz sākumu 

E2E izvietošanas darbības (ātrās uzziņas rokasgrāmata)

Šajā sadaļā

1. posms Atklāšanas infrastruktūra

  • 1. darbība. Kolekcijas kopīgošanas izveide

    # On file server $sharePath = "D:\SecureBootData" New-Item -ItemType directory -Path $sharePath -Force New-SmbShare -nosaukums "SecureBootData$" -Path $sharePath -FullAccess "Domēna administratori" -ChangeAccess "Domēna datori"

    # Set NTFS permissions $acl = Get-Acl $sharePath $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domēna datori","Modificēt","Atļaut") $acl. AddAccessRule($rule) Set-Acl $sharePath $acl

  • 2. darbība. Atklāšanas GPO izvietošana

    .\Deploy-GPO-SecureBootCollection.ps1 `     -Domēna nosaukums "contoso.com" '     -OUPath "OU=Workstations,DC=contoso,DC=com" '     -CollectionSharePath "\\server\SecureBootData$"

  • 3. darbība. Uzgaidiet, līdz galapunkti tiek ziņoti (24–48 stundas)

    # Pārbaudiet kolekcijas norisi (Get-ChildItem "\\server\SecureBootData$" -filter "*.json"). Skaits

atpakaļ uz "E2E izvietošanas darbības (ātrā uzziņas rokasgrāmata)" 

2. posms Orķestra ieviešana

  • 4. solis. Priekšnosacījumu pārbaude

    • Izvietots noteikšanas GPO (2. darbība)

    • Vismaz 50+ galapunkti, kas ziņo par JSON

    • Pakalpojuma konts ar domēna Administrēšanas tiesībām

    • Pārvaldības serveris ar PowerShell 5.1+

  • 5. darbība. Vadības moduļa izvietošana kā ieplānots uzdevums

    .\Deploy-OrchestratorTask.ps1 `     -AggregationInputPath "\\server\SecureBootData$" '     -ReportBasePath "C:\SecureBootReports" '     -ServiceAccount "DOMĒNS\svc_secureboot"

  • 6. darbība. Norises uzraudzība

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • 7. darbība. Informācijas paneļa skatīšana

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • 8. darbība. Bloķēto intervālu pārvaldība

    # List blocked .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    # Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Ražotājs|Modelis|BIOS"

  • 9. darbība. Pabeigtības pārbaude

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Statusam jābūt redzamam "Pabeigts"

atpakaļ uz "E2E izvietošanas darbības (ātrā uzziņas rokasgrāmata)"  

State Files

Vadības modulis uztur stāvokli ReportBasePath\RolloutState\:

Fails

Apraksts

RolloutState.json

Viļņu vēsture, mērķa ierīces, statuss

BlockedBuckets.json

Intervāli, kam nepieciešama izmeklēšana

DeviceHistory.json

Ierīces izsekošana pēc resursdatora nosaukuma

Orchestrator_YYYYMMDD.log

Ikdienas darbību žurnāli

atpakaļ uz "E2E izvietošanas darbības (ātrā uzziņas rokasgrāmata)" 

atpakaļ uz sākumu 

Problēmu novēršana

Šajā sadaļā

Orchestrator nevirzās uz priekšu

  1. Ieplānotā uzdevuma pārbaude

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Pārbaudīt žurnālus

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. JSON datu svaiguma pārbaudīšana

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

atpakaļ uz "Problēmu novēršana" 

Bloķētie intervāli

  1. Saraksts bloķēts.

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Izpētiet ierīces sasniedzamību.

  3. Pārbaudiet, vai nav programmaparatūras problēmu.

  4. Atbloķēt pēc izmeklēšanas.

atpakaļ uz "Problēmu novēršana"  

GPO netiek lietots

  1. Pārbaudiet, vai GPO pastāv.

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Pārbaudiet drošības filtrēšanu.

    Get-GPPermission -Name "GPO-Name" -All

  3. Pārbaudiet, vai dators ir drošības grupā.

  4. Mērķim jālieto GPO.

    gpupdate /force

atpakaļ uz "Problēmu novēršana"

atpakaļ uz sākumu 

Izmaiņu žurnāls

Mainīt datumu

Izmaiņu apraksts

2026. gada 12. maijs

Iepriekš katrs skripta faila paraugs tika publicēts kā atsevišķs raksts, no kuriem jūs kopējāt un ielīmēt skriptu. Sākot ar Windows atjauninājumiem, kas izlaisti 2026. gada 12. maijā un vēlāk, skriptu paraugi atrodas ierīces mapē %systemroot%\SecureBoot\ExampleRolloutScripts .

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs