Voorbeeld van E2E-automatiseringshandleiding voor beveiligd opstarten

Van toepassing op
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opmerking

Oorspronkelijke publicatiedatum: 16 maart 2026
Laatst bijgewerkt: 12 mei 2026
KB-id: 5084567

In dit artikel

Overzicht

In deze handleiding wordt het geautomatiseerde implementatiesysteem voor Windows Secure Boot DB-certificaatupdates beschreven met behulp van groepsbeleid en progressieve implementatiegolven.

Secure Boot Certificate Rollout Automation is een PowerShell-gebaseerd systeem dat Windows Secure Boot DB-certificaatupdates op een gecontroleerde, gegradueerde manier implementeert op computers die lid zijn van een domein.

terug naar boven

Belangrijkste functies

Functie Beschrijving
Gegradueerde implementatie > 1 2 > 4 > 8... apparaten per bucket
Automatisch blokkeren Buckets met onbereikbare apparaten zijn uitgesloten
Geautomatiseerde implementatie van groepsbeleidsobjecten Eén orchestratorscript verwerkt alles
Geplande uitvoering van taken Geen interactieve prompts vereist
Real-time Monitoring Statusviewer met voortgangsbalk

terug naar boven

Naslaginformatie over instellingen voor certificaatupdates voor Updates

In deze sectie

Beleid AvailableUpdates Groepsbeleid

Registerlocatie HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Naam AvailableUpdatesPolicy
Waarde 0x5944 (DWORD)

Dit is de door het groepsbeleidsobject/ADMX bestuurde sleutel die:

  • Blijft behouden bij opnieuw opstarten
  • Is ingesteld door groepsbeleid / MDM
  • Veroorzaakt geen herhalingslussen (gewist via ClearRolloutFlags)
  • Is de juiste sleutel voor een beleidsgestuurde implementatie

Naslaginformatie: methode voor groepsbeleid-objecten (GPO) voor beveiligd opstarten voor Windows-apparaten met door IT beheerde updates

terug naar 'Naslaginformatie Updates instellingen voor certificaat'

WinCSFlags - Windows-configuratiesysteemvlaggen

Domeinbeheerders kunnen ook het Windows-configuratiesysteem (WinCS) gebruiken dat is uitgebracht met updates van het Windows-besturingssysteem om de updates voor beveiligd opstarten te implementeren op Windows-clients en servers die lid zijn van een domein. Het bestaat uit een CLI-hulpprogramma (command-line interface) om configuraties voor beveiligd opstarten lokaal op een computer op te vragen en toe te passen.

Onderdeelnaam WinCS-sleutel Beschrijving
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Als je deze sleutel inschakelt, kunnen de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op je apparaat worden geïnstalleerd.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft-optie UEFI ROM CA 2023

Naslaginformatie: WinCS-API's (Windows Configuration System) voor beveiligd opstarten

terug naar 'Naslaginformatie Updates instellingen voor certificaat'

terug naar boven

Architectuur

Werkstroom Architectuur

terug naar boven

Fase 1: detectie en statusbewaking op bedrijfsniveau

In deze sectie

Scripts die nodig zijn voor fase 1

Voorbeeld van scripts voor Secure Boot Inventory Data Collection

Opmerking

BELANGRIJK De volgende artikelen met de voorbeeldscripts zijn niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u de voorbeeldscripts in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.

Voorbeeld van scriptnaam Doel Wordt uitgevoerd op
Voorbeeldscript Detect-SecureBootCertUpdateStatus.ps1 Verzamelt statusgegevens van het apparaat Elk eindpunt (via groepsbeleidsobject)
Voorbeeldscript Aggregate-SecureBootData.ps1 Genereert rapporten en dashboards Beheer-werkstation
Voorbeeldscript Deploy-GPO-SecureBootCollection.ps1 Hiermee wordt het maken van groepsbeleidsobjecten voor gegevensverzameling geautomatiseerd Domeincontroller
Voorbeelduitvoer van de bovenstaande fase 1-scripts

Dashboard voor de status van het Secure Boot-certificaat

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

Lokale tests

Voordat u het verzamelingsscript implementeert via GPO, moet u het op één computer testen om de functionaliteit te controleren.

  • Verzamelingsscript lokaal uitvoeren

    Open een PowerShell-prompt met verhoogde bevoegdheid en voer het volgende uit:

    Opmerking

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • JSON-uitvoer controleren

    Opmerking

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Belangrijke velden om te verifiëren  
    SecureBootEnabled – moet waar of onwaar zijn
    OverallStatus : Complete, ReadyForUpdate, NeedsData of Error
    BucketHash – Apparaatbucket voor het matchen van betrouwbare gegevens
    SecureBootTaskEnabled - toont de status van de Secure Boot Update-taak.

  • Aggregatiescript testen

    Opmerking

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Het HTML-dashboard openen

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

Netwerkshare instellen

  • De netwerkshare maken

    Maak op uw bestandsserver een speciale share voor verzamelingsgegevens:

    Opmerking

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Map maken

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Verborgen share maken (het achtervoegsel $ wordt verborgen in de bladerlijst)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Description "Secure Boot Certificate Status Collection" (Secure Boot Certificate Status Collection) (')
        -FullAccess "Domeinbeheerders" '
        -ChangeAccess "Domein Computers"

  • NTFS-machtigingen configureren

    Opmerking

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Geverifieerde gebruikers toestaan bestanden te schrijven

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Domeincomputers" en
    "Wijzigen",
        "ContainerInherit,ObjectInherit",
        "Geen",
        "Toestaan"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Domeinbeheerders volledig beheer geven (voor aggregatie)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Domeinbeheerders",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Geen",
        "Toestaan"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Machtigingen toepassen

    Set-Acl -Path $SharePath -AclObject $Acl

  • Toegang delen controleren

    Opmerking

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Zou moeten resulteren in: Waar

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

GPO-implementatie

Gebruik het automatiseringsscript van een domeincontroller:

Opmerking

Run on Domain Controller as Domain Beheer for interactive OU Section – Recommended

Vervang de tekens 'Contoso.com' en 'Contoso' door de naam van het domein

Vervang FILESERVER door de naam van de bestandsserver.  Het script toont een lijst met organisatie-eenheden waarop het groepsbeleidsobject moet worden geïmplementeerd

.\Deploy-GPO-SecureBootCollection.ps1 '
    -Domeinnaam "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Schema "Dagelijks" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Dit script voert het volgende uit:

  • Hiermee wordt een nieuw groepsbeleidsobject met een opgegeven naam gemaakt
  • Kopieert een verzamelscript naar SYSVOL voor hoge beschikbaarheid
  • Configureert opstartscript voor computer
  • Koppelt groepsbeleidsobject aan doelorganisatie-eenheid
  • Hiermee wordt desgewenst een geplande taak voor periodieke verzameling gemaakt

De volgende tabel bevat richtlijnen voor hoe lang de vertraging zal duren, gebaseerd op de grootte van uw machinepark.

Grootte van de vloot Vertragingsbereik
1-10K apparaten 4 uur
10K-50K-apparaten 8 uur
50K+ apparaten 12-24 uur

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

Overzicht van groepsbeleidsobjectinstellingen

Instelling Locatie Waarde
Opstartscript Computerconfiguratie → scripts Detect-SecureBootCertUpdateStatus.ps1
Script Parameters (dezelfde) -OutputPath "\\server\share$"
Uitvoeringsbeleid Sjablonen voor computerconfiguratie → Beheer → PowerShell Lokale en externe ondertekening toestaan
Geplande taak Voorkeuren voor computerconfiguratie → → geplande taken Dagelijkse/wekelijkse inzameling

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

Verificatie

  • Update van groepsbeleidsobject forceren op testmachinee

    Opmerking

    ## On a test workstation 
    gpupdate /force
     

    Start de clientcomputers opnieuw op om het script op te starten. Anders wordt het bij het volgende schema geactiveerd.

    Restart-Computer -Force

  • Gegevensverzameling controleren

    Opmerking

    Controleren of gegevens zijn verzameld (op bestandsserver of vanaf een computer)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime - Aflopend |
        Select-Object -Eerste 10
     

    JSON-inhoud controleren

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Dialoogvenster Groepsbeleidsobject toepassen controleren

    Opmerking

    Controleer of het groepsbeleidsobject wordt toegepast op de computer

    Select-String "SecureBoot"
    Het script slaat ook een lokale kopie op voor redundantie:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

terug naar "Fase 1: detectie en statusbewaking op bedrijfsniveau"

terug naar boven

Fase 2: Orchestration-scripts voor secure boot-certificaatupdate

Belangrijk

Zorg ervoor dat fase 1 is voltooid, inclusief het verzamelen van gegevens op elk eindpunt naar externe servershares.

In deze sectie

Scripts die nodig zijn voor fase 2

Voorbeeld van scripts voor Secure Boot Inventory Data Collection

Opmerking

BELANGRIJK De volgende artikelen met de voorbeeldscripts zijn niet meer beschikbaar. Als u een Windows-update hebt geïnstalleerd die is uitgebracht op of na 12 mei 2026, vindt u de voorbeeldscripts in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.

Voorbeeld van scriptnaam Doel Wordt uitgevoerd op
Voorbeeldscript Detect-SecureBootCertUpdateStatus.ps1 Verzamelt statusgegevens van het apparaat Elk eindpunt (via groepsbeleidsobject)
Voorbeeldscript Aggregate-SecureBootData.ps1 Genereert rapporten en dashboards Beheer-werkstation
Voorbeeldscript Deploy-GPO-SecureBootCollection.ps1 Hiermee wordt het maken van groepsbeleidsobjecten voor gegevensverzameling geautomatiseerd Domeincontroller
Voorbeeldscript Start-SecureBootRolloutOrchestrator.ps1 Volledig geautomatiseerde, continue orkestratie met geautomatiseerde GPO-implementatie voor certificaatinstallatie Beheer-werkstation
Voorbeeldscript Deploy-OrchestratorTask.ps1 Implementeert het Orchestrator-script als geplande taak voor geautomatiseerde implementatie Domeincontroller
Voorbeeldscript Get-SecureBootRolloutStatus.ps1 Secure Boot-certificaat weergeven Implementatiestatus vanaf elk werkstation Werkstation voor beheer
Voorbeeldscript Enable-SecureBootUpdateTask.ps1 Schakelt Secure Boot Update-taak in Op eindpunten waarop de taak is uitgeschakeld (slechts één keer uitvoeren om de taak in te schakelen als deze is uitgeschakeld)

terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'

Start-SecureBootRolloutOrchestrator.ps1

  • Doel: Volledig geautomatiseerde, continue orkestratie met geautomatiseerde GPO-implementatie.

  • Wat gebeurt er

    • Oproepen Aggregate-SecureBootData.ps1 voor apparaatstatus

    • Genereert uitrolgolven met behulp van progressieve verdubbeling

    • Hiermee wordt een groepsbeleidsobject gemaakt voor certificaatimplementatie met behulp van een van de volgende methoden

      • Groepsbeleid voor beveiligd opstarten AvailableUpdatesPolicy = 0x5944 (standaard)
      • WinCS-methode (parameter –UseWinCS)
    • Hiermee worden AD-beveiligingsgroepen gemaakt voor targeting

    • Computeraccounts toevoegen aan beveiligingsgroepen

    • Configureert GPO-beveiligingsfilters

    • Koppelt groepsbeleidsobject aan doelorganisatie-eenheid

    • Controleert op geblokkeerde buckets (onbereikbare apparaten)

    • Automatische deblokkering wanneer apparaten worden hersteld

  • Gebruik

    Opmerking

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalNotulen 30

    Opmerking

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Opdrachten voor Beheer

    Opmerking

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Opmerking

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Breedtegraad5520|BIOS1.2"

    Opmerking

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parameters

    Parameter Standaard Beschrijving
    AggregationInputPath Vereist UNC-pad naar eindpunt-JSON-bestanden
    ReportBasePath Vereist Lokaal pad voor rapporten en staat
    TargetOU Domeinroot OU om groepsbeleidsobjecten te koppelen
    WavePrefix SecureBoot-Rollout Groepsnaambeleidsobject voorvoegsel of groepsnaamgegeven
    MaxWaitHours 72 Uren voor het controleren van de bereikbaarheid van het apparaat
    PollIntervalMinutes 1440 Minuten tussen statuscontroles
    DryRun Onwaar Weergeven wat er zou gebeuren zonder wijzigingen

    Opmerking

    Opmerking over PollIntervalMinutes: Wanneer de orchestrator rechtstreeks wordt uitgevoerd, is de standaardwaarde 1440 minuten (24 uur). Bij implementatie via Deploy-OrchestratorTask.ps1 is de standaardinstelling 30 minuten. Het implementatiescript geeft zijn eigen standaard door aan de orchestrator. Gebruik 30 minuten voor actieve implementatie, 1440 minuten voor onderhoudsbewaking.

    Optionele parameters

    Parameter Standaard Beschrijving
    UseWinCS Onwaar WinCS-methode gebruiken in plaats van het groepsbeleidsobject AvailableUpdatesPolicy
    WinCSKey F33E0C8E002 WinCS-sleutel voor de configuratie van beveiligd opstarten
    AllowListPath (geen) Pad naar bestand met hostnamen voor ALLOW voor doelgerichte/pilotimplementatie. Ondersteunt .txt of .csv.
    AllowADGroup (geen) AD-beveiligingsgroep met computeraccounts die moeten worden TOEGESTAAN. Voorbeeld: "SecureBoot-Pilot-Computers"
    ExclusionListPath (geen) Pad naar bestand met hostnamen die moeten worden uitgesloten van implementatie (VIP-/uitvoerende apparaten)
    ExcludeADGroup (geen) AD-beveiligingsgroep met computeraccounts die moeten worden uitgesloten. Voorbeeld: "VIP-Computers"
    ListBlockedBuckets Onwaar Momenteel geblokkeerde buckets weergeven
    Bucket deblokkeren (geen) Deblokkeer een specifieke bucket. Formaat: "Fabrikant|Model|BIOS"
    Alles deblokkeren Onwaar Deblokkeren van alle buckets met geblokkeerde apparaten

terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'

Deploy-OrchestratorTask.ps1

  • Doel: Implementeert de orchestrator als een geplande Windows-taak.

  • Voordelen

    • Geen PowerShell-beveiligingsprompts (ExecutionPolicy Bypass)
    • Wordt continu op de achtergrond uitgevoerd
    • Geen interactie van de gebruiker vereist
    • Overleeft herstarts
  • Gebruik

    • Implementeren met domeinserviceaccount (aanbevolen)

      • Het groepsbeleid AvailableUpdates gebruiken (standaardmethode)

        Opmerking

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMEIN\svc_secureboot"

      • De WinCS-methode gebruiken

        Opmerking

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMEIN\svc_secureboot" -UseWinCS

    • Implementeren met SYSTEM-account

      • Het groepsbeleid AvailableUpdates gebruiken (standaardmethode)

        Opmerking

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • WinCS method.\Deploy-OrchestratorTask.ps1gebruiken

        Opmerking

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Vereisten voor serviceaccounts

        • Domain Beheer (voor New-GPO, New-ADGroup, Add-ADGroupMember)
        • Leestoegang tot JSON-bestandsshare
        • Schrijftoegang tot ReportBasePath

terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'

Get-SecureBootRolloutStatus.ps1

  • Doel: Bekijk de voortgang van de implementatie vanaf een werkstation.

  • Wat wordt weergegeven

    • Geplande taakstatus (actief/gereed/gestopt)
    • Getal huidige golf
    • Apparaten die u wilt gebruiken of bijgewerkt
    • Visuele voortgangsbalk
    • Overzicht van geblokkeerde buckets
    • Koppeling naar nieuwste HTML-dashboard
  • Gebruik

    Opmerking

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Opmerking

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Opmerking

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Opmerking

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Opmerking

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Opmerking

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parameters

    Parameter Vereist? Standaard Beschrijving
    ReportBasePath Vereist Lokaal pad naar rapporten en statusbestanden
    Showlog Optioneel Onwaar Recente vermeldingen in het orchestratorlogboek weergeven
    ShowBlocked Optioneel Onwaar Details van geblokkeerde buckets weergeven
    Golven weergeven Optioneel Onwaar Golfgeschiedenis weergeven
    Bekijken Optioneel 0 (uitgeschakeld) Interval voor automatisch vernieuwen in seconden. Voorbeeld: -Watch 30 ververst elke 30 seconden.
    Dashboard openen Optioneel Onwaar Het meest recente HTML-dashboard openen in de standaardbrowser
  • Uitvoer steekproef

    Opmerking

    • ==============================================================
         STATUS VAN SECURE BOOT-IMPLEMENTATIE
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Status: Wordt uitgevoerd
    Huidige golf: 5
    Totaal beoogd: 1250
    Totaal bijgewerkt: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Voer met -ShowBlocked uit voor meer informatie
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

terug naar 'Fase 2: Secure Boot Certificate Update Orchestration Scripts'

terug naar boven

E2E-implementatiestappen (snelzoekgids)

In deze sectie

Fase 1: Detectie-infrastructuur

  • Stap 1: Delen van de verzameling maken

    Opmerking

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domeinbeheerders" -ChangeAccess "Domeincomputers"

    Opmerking

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Stap 2: Implementeer het groepsbeleidsobject voor detectie

    Opmerking

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Domeinnaam "contoso.com" '
        -OUPath "OU=Werkstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Stap 3: Wachten op het rapport van de eindpunten (24-48 uur)

    Opmerking

    Voortgang van verzameling controleren

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Aantal

terug naar "E2E-implementatiestappen (snelzoekgids)"

Fase 2: Georkestreerde implementatie

  • Stap 4: Controle op vereisten

    • Geïmplementeerd detectiegroepsbeleidsobject (stap 2)
    • Ten minste 50+ eindpunten die JSON rapporteren
    • Serviceaccount met domeinrechten Beheer
    • Beheerserver met PowerShell 5.1+
  • Stap 5: Orchestrator implementeren als geplande taak

    Opmerking

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMEIN\svc_secureboot"

  • Stap 6: De voortgang controleren

    Opmerking

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Stap 7: het dashboard weergeven

    Opmerking

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Stap 8: Geblokkeerde buckets beheren

    Opmerking

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Opmerking

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Fabrikant|Model|BIOS"

  • Stap 9: Voltooiing controleren

    Opmerking

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Status moet Voltooid weergeven

terug naar "E2E-implementatiestappen (snelzoekgids)"

State Files

De orchestrator handhaaft de status in ReportBasePath\RolloutState\:

Bestand Beschrijving
RolloutState.json Golfgeschiedenis, gerichte apparaten, status
BlockedBuckets.json Buckets die moeten worden onderzocht
DeviceHistory.json Apparaat volgen op hostnaam
Orchestrator_YYYYMMDD.log Dagelijkse activiteitenlogboeken

terug naar "E2E-implementatiestappen (snelzoekgids)"

terug naar boven

Probleemoplossing

In deze sectie

Orchestrator vordert niet

  1. Geplande taak controleren

    Opmerking

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Logboeken controleren

    Opmerking

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Controleer de actualiteit van JSON-gegevens

    Opmerking

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

terug naar "Problemen oplossen"

Geblokkeerde buckets

  1. Lijst geblokkeerd.

    Opmerking

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Onderzoek de bereikbaarheid van het apparaat.

  3. Controleer op firmwareproblemen.

  4. Deblokkeren na onderzoek.

terug naar "Problemen oplossen"

Groepsbeleidsobject is niet van toepassing

  1. Controleer of het groepsbeleidsobject bestaat.

    Opmerking

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Controleer de beveiligingsfilters.

    Opmerking

    Get-GPPermission -Name "GPO-Name" -All

  3. Controleer of de computer zich in de beveiligingsgroep bevindt.

  4. Het groepsbeleidsobject toepassen op het doel.

    Opmerking

    gpupdate /force

terug naar "Problemen oplossen"

terug naar boven

Wijzigingenlogboek

Datum wijzigen Beschrijving van wijziging
12 mei 2026 Voorheen werd elk voorbeeldscriptbestand gepubliceerd als afzonderlijke artikelen waaruit u het script kon kopiëren en plakken. Vanaf de Windows-updates die zijn uitgebracht op en na 12 mei 2026, bevinden de voorbeeldscripts zich in de map %systemroot%\SecureBoot\ExampleRolloutScripts op uw apparaat.