Drošas sāknēšanas E2E automatizācijas rokasgrāmatas paraugs

AvailableUpdatesPolicy Grupas politika

Šī ir GPO/ADMX kontrolētā atslēga, kas:

• Pastāv pār restartējot

• Iestata grupas politika /MDM

• Nerada atkārtotu mēģinājumu cilpas (notīrītas, izmantojot clearRolloutFlags)

• Vai šī ir pareizā atslēga politikas izvietojumam

Atsauce: grupas politika objektu (GPO) metodi drošai palaišanai Windows ierīcēm ar IT pārvaldītiem atjauninājumiem

atpakaļ uz "Atjauninājumi iestatījumu atsauce" 

WinCSFlags — Windows konfigurācijas sistēmas karodziņi

Domēnu administratori var arī izmantot Windows konfigurācijas sistēmu (WinCS ), kas izlaista ar Windows OS atjauninājumiem, lai izvietotu drošās sāknēšanas atjauninājumus domēnam pievienotos Windows klientos un serveros. To veido komandrindas interfeisa (COMMAND-line interface — CLI) utilīta, kas nodrošina vaicājumus un lokālas drošās sāknēšanas konfigurācijas lietojiet datorā.

Atsauce: Windows konfigurācijas sistēmas (WinCS) API drošai palaišanai

atpakaļ uz "Atjauninājumi iestatījumu atsauce"

atpakaļ uz sākumu

Skripti, kas nepieciešami 1. posmam

Drošas sāknēšanas krājumu datu kolekcijas skriptu paraugi

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī"

Lokālā testēšana

Pirms izvietojat, izmantojot GPO, pārbaudiet kolekcijas skriptu vienā datorā, lai pārbaudītu funkcionalitāti. 

• Palaidiet kolekcijas skriptu lokāli
  
  Atveriet paaugstinātu PowerShell uzvedni un izpildiet:

  & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest" 

• JSON izvades pārbaude

  
  # View the collected data  Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

  Galvenie lauki, kas jāpārbauda  
  • SecureBootEnabled — vērtībai ir jābūt True vai False
  • OverallStatus — complete, ReadyForUpdate, NeedsData, or Error
  • IntervālsJash — ierīces intervāls ticamības datu atbilstībai
  • SecureBootTaskEnabled — parāda drošas sāknēšanas atjaunināšanas uzdevuma statusu;

• Testa apkopojuma skripts

  
  # Generate reports from collected data  & .\Aggregate-SecureBootCertStatus.ps1" '
      -InputPath "C:\Temp\SecureBootTest" '
      -OutputPath "C:\Temp\SecureBootReports"
  
  # Atveriet HTML informācijas paneli   

  Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī" 

Tīkla koplietošanas iestatīšana

• Tīkla koplietojuma izveide
  
  Failu serverī izveidojiet atvēlētu koplietojumu datu apkopošanai:

  
  # Run on file server as Administrator  $SharePath = "D:\SecureBootCollection"
  $ShareName = "SecureBootData$"
  
  # Izveidot mapi
  New-Item -ItemType Directory -Path $SharePath -Force
  
  # Paslēptas koplietošanas izveide ($ sufiksu paslēpumi no pārlūkošanas saraksta)
  New-SmbShare -Name $ShareName -Path $SharePath '
      -Apraksts "Drošas sāknēšanas sertifikāta statusa kolekcija" '
      -FullAccess "Domēna administratori" '
      -ChangeAccess "Autentificēti lietotāji"    

• NTFS atļauju konfigurēšana

  
  # Get current ACL  $Acl = Get-Acl $SharePath
  
  # Atļaut autentificētiem lietotājiem rakstīt failus
  $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
      "Autentificēti lietotāji",
      "CreateFiles,AppendData,WriteAttributes,WriteExtendedAttributes",
      "ContainerInherit,ObjectInherit",
      "Nav",
      "Atļaut"
  )
  $Acl.AddAccessRule($WriteRule)
  
  # Allow Domain Admins full control (for aggregation)
  $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
      "Domēnu administratori",
      "FullControl",
      "ContainerInherit,ObjectInherit",
      "Nav",
      "Atļaut"
  )
  $Acl.AddAccessRule($AdminRule)
  
  # Lietot atļaujas
  Set-Acl -Path $SharePath -AclObject $Acl       

• Pārbaudiet Access koplietošanu

  
  # Test from a domain-joined workstation  Test-Path "\\fileserver\SecureBootData$"
  # Ir jāatgriež: True

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī" 

GPO izvietošana

Izmantojiet domēna kontrollera nodrošināto automatizācijas skriptu:

Šis skripts veiks šādas darbības:

• Izveido jaunu GPO ar norādīto nosaukumu

• SysVOL kopē kolekcijas skriptu, lai nodrošinātu pieejamību ar augstu pieejamību

• Konfigurē datora startēšanas skriptu

• Saites GPO uz mērķa OU

• Neobligāti tiek izveidots ieplānots uzdevums periodiskai kolekcijai

Tālāk esošajā tabulā ir sniegti norādījumi par aizkaves laiku, pamatojoties uz jūsu norādīto lielumu.

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī" 

GPO iestatījumu kopsavilkums

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī" 

Pārbaude

• Force GPO Update on test Machine

  
  ## On a test workstation  gpupdate /force
  
  # Restartējiet klienta datoru startēšanas skriptu, vai arī tas aktivizēs nākamo grafiku.  
  Restart-Computer -Force

• Datu apkopošanas pārbaude

  # Pārbaudiet, vai dati ir apkopoti (failu serverī vai no jebkura datora)
  Get-ChildItem "\\fileserver\SecureBootData$" |  
      Sort-Object LastWriteTime -dilstošā secībā |  
      Select-Object -First 10
   
  # JSON satura pārbaude
  Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json 

• Pārbaudīt GPO lietojumprogrammu

  # Verify GPO is applied to the computer
  gpresult /r /scope:computer | Select-String "SecureBoot"
  s
  Skripts saglabā arī lokālu kopiju redundances piešķiršanai:
  Get-ChildItem "C:\ProgramData\SecureBootCollection\" 

"1. posms: noteikšana un statusa pārraudzība uzņēmuma līmenī"

atpakaļ uz sākumu 

Skripti, kas nepieciešami 2. posmam

Drošas sāknēšanas krājumu datu kolekcijas skriptu paraugi

atpakaļ uz "2. posms: drošas sāknēšanas sertifikāta atjaunināšanas noslīpēšanas skripti" 

Start-SecureBootRolloutOrchestrator.ps1

• Nolūks: Pilnībā automatizēts, nepārtraukts kauss ar automatizētu GPO izvietošanu.

• Funkcija

  • Zvani Aggregate-SecureBootData.ps1 ierīces statusam

  • Ģenerē riteņa viļņus, izmantojot pakāpeniskas doublings

  • Izveido GPO sertifikātu izvietošanai, izmantojot kādu no šīm metodēm

    • Droša sāknēšanas grupas politika AvailableUpdatesPolicy = 0x5944 (noklusējums)

    • WinCS metode (parametrs –UseWinCS)

  • Izveido AD drošības grupas mērķa rādīšanai

  • Pievieno datora kontus drošības grupām

  • Konfigurē GPO drošības filtrēšanu

  • Saites GPO uz mērķa OU

  • Bloķētu intervālu monitori (nepieejamas ierīces)

  • Automātiskā atbloķēšana, kad ierīces tiek atkoptas

• Lietošana

  
  # Interactive (testing) .\Start-SecureBootRolloutOrchestrator.ps1 '
      -AggregationInputPath "\\fileserver\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -PollIntervalMinutes 30

  
  # Interactive (testing), leveraging WinCS method .\Start-SecureBootRolloutOrchestrator.ps1 '
      -AggregationInputPath "\\fileserver\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -PollIntervalMinutes 1440 -UseWinCS

• Administrēšana komandas

  
  # List blocked buckets .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  
  # Unblock specific bucket .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Platums5520|BIOS1.2"

  
  # Unblock all .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

• Parametri

  Parametrs	Noklusējums	Apraksts
  AggregationInputPath	Obligāts	UNC ceļš uz galapunkta JSON failiem
  ReportBasePath	Obligāts	Lokālais ceļš atskaitēm un štatam
  TargetOU	Domēna sakne	OU, lai saistītu GPOS
  WavePrefix	SecureBoot-Rollout	GPO/grupu nosaukumdošanas prefikss
  MaxWaitHours	72	Stundas pirms ierīces sasniedzamības pārbaudes
  PollIntervalMinutes	1440	Minūtes starp statusa pārbaudēm
  DryRun	False	Rādīt, kas notiks bez izmaiņām

atpakaļ uz "2. posms: drošas sāknēšanas sertifikāta atjaunināšanas noslīpēšanas skripti"  

Deploy-OrchestratorTask.ps1

• Nolūks: Izvieto plānotāju kā Windows ieplānotu uzdevumu.

• Priekšrocības

  • Nav PowerShell drošības uzvedņu (ExecutionPolicy Bypass)

  • Darbojas nepārtraukti fonā

  • Lietotāja mijiedarbība nav nepieciešama

  • Atkārtota palaišana

• Lietošana

  • Izvietošana, izmantojot domēna pakalpojuma kontu (ieteicams)

    • Izmantot pieejamos grupas politika (noklusējuma metode)

      .\Deploy-OrchestratorTask.ps1 '
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" '
          -ServiceAccount "DOMAIN\svc_secureboot"

    • WinCS metodes izmantošana

      .\Deploy-OrchestratorTask.ps1 '
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" '
          -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

  • Izvietošana, izmantojot SYSTEM kontu

    • Izmantot pieejamos grupas politika (noklusējuma metode)

      .\Deploy-OrchestratorTask.ps1 '
          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports"

    • WinCS method.\Deploy-OrchestratorTask.ps1

          -AggregationInputPath "\\server\SecureBootData$" '
          -ReportBasePath "C:\SecureBootReports" -UseWinCS

    • Pakalpojumu konta prasības

      • Domēna Administrēšana (New-GPO, New-ADGroup, Add-ADGroupMember)

      • Lasīt piekļuvi JSON failu koplietošanai

      • Write access to ReportBasePath

atpakaļ uz "2. posms: drošas sāknēšanas sertifikāta atjaunināšanas noslīpēšanas skripti"  

Get-SecureBootRolloutStatus.ps1

• Nolūks: Skatiet izvēršamās norises no jebkuras darbstacijas.

• Kas tiek rādīts

  • Ieplānotā uzdevuma stāvoklis (palaists/gatavs/apturēts)

  • Pašreizējais viļņu skaitlis

  • Atlasītas ierīces salīdzinājumā ar atjauninātajām ierīcēm

  • Vizuālā norises josla

  • Bloķēto intervālu kopsavilkums

  • Saite uz jaunāko HTML informācijas paneli

• Lietošana

  
  # Quick status check .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  
  # Continuous monitoring (refreshes every 30 seconds) .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" — skatīties 30

  
  # View blocked buckets .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

  
  # View wave history .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

  
  # View recent log .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

  
  # Open dashboard in browser .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" - OpenDashboard

• Paraugu izvade

  
  ==============================================================    DROŠAS SĀKNĒŠANAS IZVĒRŠES STATUSS
     17.02.2026. 19:30:00
  ======================================================

  Scheduled Task: Running

  
  ROLLOUT PROGRESS
  ---------------------------------------- Statuss: InProgress
  Pašreizējais viļņs: 5
  Mērķa kopsumma: 1250
  Kopā atjaunināts: 847

  Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%

  
  BLOCKED BUCKETS: 2 buckets need attention   Palaist ar -ShowBlocked, lai iegūtu papildinformāciju

  
  LATEST DASHBOARD
  C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html __________________________________________________________________________________________

atpakaļ uz "2. posms: drošas sāknēšanas sertifikāta atjaunināšanas noslīpēšanas skripti"

atpakaļ uz sākumu 

1. posms Atklāšanas infrastruktūra

• 1. darbība. Kolekcijas koplietošanas izveide

  
  # On file server $sharePath = "D:\SecureBootData"
  New-Item -ItemType Directory -Path $sharePath -Force
  New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

  
  # Set NTFS permissions $acl = Get-Acl $sharePath
  $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
  $acl. AddAccessRule($rule)
  Set-Acl $sharePath $acl

• 2. darbība. GPO izvietošana

  
  .\Deploy-GPO-SecureBootCollection.ps1 `     -DomainName "contoso.com" '
      -OUPath "OU=Workstations,DC=contoso,DC=com" '
      -CollectionSharePath "\\server\SecureBootData$"

• 3. darbība. Uzgaidiet, līdz galapunktiem tiek pievienota atskaite (24–48 stundas)

  # Pārbaudīt kolekcijas norisi
  (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Skaits

atpakaļ uz "E2E izvietošanas darbības (ātrās atsauču rokasgrāmata)". 

2. posms Ābola rullī

• 4. darbība. Priekšnosacījumu pārbaude

  • Izvietota GPO noteikšana (2. darbība)

  • Vismaz 50+ galapunktu atskaišu JSON

  • Pakalpojuma konts ar domēna Administrēšana tiesībām

  • Pārvaldības serveris ar PowerShell 5.1+

• 5. darbība. Esiet asi cistors kā ieplānots uzdevums

  
  .\Deploy-OrchestratorTask.ps1 `     -AggregationInputPath "\\server\SecureBootData$" '
      -ReportBasePath "C:\SecureBootReports" '
      -ServiceAccount "DOMAIN\svc_secureboot"

• 6. darbība. Norises pārraudzība

  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

• 7. darbība. Informācijas paneļa skatīšana

  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

• 8. darbība. Bloķēto intervālu pārvaldība

  
  # List blocked .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  
  # Investigate and unblock .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Modelis|BIOS"

• 9. darbība. Pabeigšanas pārbaude

  
  .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" # Statusā jābūt redzamam "Pabeigts"

atpakaļ uz "E2E izvietošanas darbības (ātrās atsauču rokasgrāmata)".  

Štata Files

Austrators uztur stāvokli ReportBasePath\RolloutState\:

atpakaļ uz "E2E izvietošanas darbības (ātrās atsauču rokasgrāmata)". 

atpakaļ uz sākumu 

Mantots not progress

1. Pārbaudīt ieplānoto uzdevumu

   Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

2. Žurnālu pārbaude

   Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

3. JSON datu svaiguma pārbaude

   (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

atpakaļ uz problēmu novēršanu 

Bloķētie intervāli

1. Saraksts ir bloķēts.

   .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

2. Izpētiet ierīces sasniedzamību.

3. Pārbaudiet, vai nav aparātprogrammatūras problēmu.

4. Atbloķēt pēc izpētes.

atpakaļ uz problēmu novēršanu  

GPO netiek lietots

1. Pārbaudiet, vai GPO pastāv.

   Get-GPO -Name "SecureBoot-Rollout-Wave*"

2. Pārbaudiet drošības filtrēšanu.

   Get-GPPermission -Name "GPO-Name" -All

3. Pārbaudiet, vai dators ir drošības grupā.

4. Lietojiet GPO mērķī.

   gpupdate /force

atpakaļ uz problēmu novēršanu

atpakaļ uz sākumu