Przykładowy przewodnik automatyzacji bezpiecznego rozruchu E2E

Dotyczy
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Uwaga

Data pierwotnej publikacji: 16 marcu 2026 r
Data ostatniej aktualizacji: 12 maja 2026 r
Identyfikator KB: 5084567

W tym artykule

Omówienie

Ten przewodnik zawiera opis systemu automatycznego wdrażania aktualizacji certyfikatów bezpiecznej bazy danych bezpiecznego rozruchu systemu Windows przy użyciu zasady grupy i fal stopniowego wdrażania.

Automatyzacja wdrażania certyfikatu bezpiecznego rozruchu to system oparty na programie PowerShell, który wdraża aktualizacje certyfikatu bazy danych bezpiecznego rozruchu systemu Windows na maszynach przyłączonych do domeny w kontrolowany, stopniowy sposób.

powrót do początku

Najważniejsze funkcje

Funkcja Opis
Stopniowe wdrażanie > 1 2 > 4 > 8... urządzeń na zasobnik
Automatyczne blokowanie Zasobniki z nieosiągalnymi urządzeniami są wykluczone
Zautomatyzowane wdrażanie obiektów zasad grupy Pojedynczy skrypt aranżacji obsługuje wszystko
Zaplanowane wykonywanie zadań Nie są wymagane żadne interaktywne polecenia
Monitorowanie w czasie rzeczywistym Podgląd stanu z paskiem postępu

powrót do początku

Informacje dotyczące ustawień aktualizacji certyfikatu

W tej sekcji

Zasady grupy AvailableUpdatesPolicy

Lokalizacja rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nazwa DostępneAktualizacjePolityki
Wartość 0x5944 (DWORD)

Jest to klucz kontrolowany przez GPO/ADMX, który:

  • Utrzymuje się między ponownymi uruchomieniami
  • Jest ustawiany przez zasady grupy/MDM
  • Nie powoduje ponawiania pętli (wyczyszczone za pośrednictwem ClearRolloutFlags)
  • Jest właściwym kluczem do wdrożenia opartego na zasadach.

Informacje: metoda obiektów zasady grupy (GPO) bezpiecznego rozruchu dla urządzeń z systemem Windows z aktualizacjami zarządzanymi przez dział IT

powrót do "Informacje dotyczące ustawień aktualizacji certyfikatu"

WinCSFlags — flagi systemu konfiguracji systemu Windows

Administratorzy domeny mogą alternatywnie użyć systemu konfiguracji Windows (WinCS) wydanego z aktualizacjami systemu operacyjnego Windows, aby wdrożyć aktualizacje bezpiecznego rozruchu na klientach i serwerach Windows przyłączonych do domeny. Składa się z narzędzia interfejsu wiersza polecenia (CLI) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze.

Nazwa funkcji Klucz WinCS Opis
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Włączenie tego klucza umożliwia instalację na urządzeniu następujących nowych certyfikatów bezpiecznego rozruchu dostarczonych przez firmę Microsoft.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Informacje: Interfejsy API systemu konfiguracji Windows (WinCS) dla funkcji bezpiecznego rozruchu

powrót do "Informacje dotyczące ustawień aktualizacji certyfikatu"

powrót do początku

Architektura

Przepływ pracy architektury

powrót do początku

Faza 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

W tej sekcji

Skrypty potrzebne dla fazy 1

Przykładowe skrypty zbierania danych zapasów bezpiecznego rozruchu

Uwaga

WAŻNE Poniższe artykuły zawierające przykładowe skrypty zostały wycofane. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowe skrypty można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.

Przykładowa nazwa skryptu Zastosowanie Działa w następujących systemach
Przykładowy skrypt Detect-SecureBootCertUpdateStatus.ps1 Zbiera dane o stanie urządzenia Każdy punkt końcowy (za pośrednictwem obiektu zasad grupy)
Przykładowy skrypt Aggregate-SecureBootData.ps1 Generuje raporty i pulpity nawigacyjne Stacja robocza do administracji
Przykładowy skrypt Deploy-GPO-SecureBootCollection.ps1 Automatyzuje tworzenie obiektu zasad grupy na potrzeby zbierania danych Kontroler domeny
Przykładowe dane wyjściowe powyższych skryptów fazy 1

Pulpit nawigacyjny stanu certyfikatu bezpiecznego rozruchu

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

Testowanie lokalne

Przed wdrożeniem za pośrednictwem obiektu zasad grupy przetestuj skrypt zbierania danych na jednym komputerze, aby sprawdzić jego funkcjonalność.

  • Uruchamianie skryptu kolekcji lokalnie

    Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i wykonaj:

    Uwaga

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Weryfikowanie danych wyjściowych JSON

    Uwaga

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Kluczowe pola do weryfikacji  
    SecureBootEnabled — powinna mieć wartość True lub False
    Stan ogólny — Ukończono, GotoweDo aktualizacji, DanePotrzeb lub Błąd
    BucketHash — zasobnik urządzenia do dopasowywania danych pewności
    SecureBootTaskEnabled — pokazuje stan zadania aktualizacji bezpiecznego rozruchu.

  • Skrypt agregacji testowej

    Uwaga

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Otwórz pulpit nawigacyjny HTML

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

Konfiguracja udziału sieciowego

  • Tworzenie udziału sieciowego

    Na serwerze plików utwórz dedykowany udział na potrzeby zbierania danych:

    Uwaga

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Tworzenie folderu

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Create hidden share ($ sufiks jest ukryty na liście przeglądania)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -description "Kolekcja stanu certyfikatów bezpiecznego rozruchu" '
        -FullAccess "Administratorzy domeny" '
        -ChangeAccess "Komputery domeny"

  • Konfigurowanie uprawnień systemu plików NTFS

    Uwaga

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Zezwalaj uwierzytelnionym użytkownikom na zapisywanie plików

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Komputery domeny" oraz
    "Modyfikuj",
        "ContainerInherit,ObjectInherit",
        "Brak",
        "Zezwalaj"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Zezwalaj administratorom domeny na pełną kontrolę (na potrzeby agregacji)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Administratorzy domeny",
        "Pełna kontrola",
        "ContainerInherit,ObjectInherit",
        "Brak",
        "Zezwalaj"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Stosowanie uprawnień

    Set-Acl -Path $SharePath -AclObject $Acl

  • Weryfikowanie dostępu do udziału

    Uwaga

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Powinny zostać zwrócone: Prawda

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

Wdrożenie obiektu zasad grupy

Użyj skryptu automatyzacji dostarczonego z kontrolera domeny:

Uwaga

Uruchom na kontrolerze domeny jako Administracja domeny dla interaktywnej sekcji jednostki organizacyjnej — zalecane

Zastąp ciąg "Contoso.com", "Contoso" nazwą domeny

Zastąp FILESERVER nazwą serwera plików.  Skrypt przedstawiający listę jednostek organizacyjnych, w których ma zostać wdrożony obiekt zasad grupy

.\Deploy-GPO-SecureBootCollection.ps1 '
    -Nazwa_domeny "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Harmonogram "Codziennie" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Skrypt ten wykona następujące operacje:

  • Tworzy nowy obiekt zasad grupy o określonej nazwie
  • Kopiuje skrypt kolekcji do folderu SYSVOL w celu zapewnienia wysokiej dostępności
  • Konfiguruje skrypt uruchamiania komputera
  • Łączy obiekt zasad grupy z docelową jednostką organizacyjną
  • Opcjonalne tworzenie zaplanowanego zadania dla zbierania danych okresowych

Poniższa tabela zawiera wskazówki dotyczące tego, jak duże będzie opóźnienie w oparciu o wielkość Twojej floty.

Wielkość floty Zakres opóźnień
1–10 tys. urządzeń 4 godziny
Urządzenia 10K–50K 8 godzin
50 tys.+ urządzeń 12-24 godzin

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

Podsumowanie ustawień obiektu zasad grupy

Ustawienie Lokalizacja Wartość
Skrypt uruchamiania Skrypty → konfiguracji komputera Detect-SecureBootCertUpdateStatus.ps1
Parametry skryptu (to samo) -OutputPath "\\serwer\udział$"
Polityka realizacji Szablony → Administracja konfiguracji komputera → programie PowerShell Zezwalaj na podpis lokalny i zdalny
Zaplanowane zadanie Preferencje → konfiguracji komputera → zaplanowanych zadań Kolekcja codzienna/cotygodniowa

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

Weryfikacja

  • Wymuś aktualizację GPO na maszynie testowej

    Uwaga

    ## On a test workstation 
    gpupdate /force
     

    Uruchom ponownie komputery klienckie, aby uruchomić skrypt startowy — zostanie on wyzwolony zgodnie z następnym harmonogramem.

    Restart-Computer -Force

  • Weryfikowanie zbierania danych

    Uwaga

    Sprawdź, czy dane zostały zebrane (na serwerze plików, czy z dowolnego komputera)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Descending |
        Select-Object — pierwsze 10
     

    Weryfikowanie zawartości JSON

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Sprawdź aplikację GPO.

    Uwaga

    Sprawdzanie, czy obiekt zasad grupy jest zastosowany na komputerze

    Select-String "SecureBoot"
    Skrypt zapisuje również kopię lokalną w celu zapewnienia nadmiarowości:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa

powrót do początku

Faza 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu

Ważne

Upewnij się, że faza 1 została ukończona, łącznie ze zbieraniem danych w każdym punkcie końcowym do zdalnych udziałów serwera.

W tej sekcji

Skrypty potrzebne do fazy 2

Przykładowe skrypty zbierania danych zapasów bezpiecznego rozruchu

Uwaga

WAŻNE Poniższe artykuły zawierające przykładowe skrypty zostały wycofane. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowe skrypty można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.

Przykładowa nazwa skryptu Zastosowanie Działa na
Przykładowy skrypt Detect-SecureBootCertUpdateStatus.ps1 Zbiera dane o stanie urządzenia Każdy punkt końcowy (za pośrednictwem obiektu zasad grupy)
Przykładowy skrypt Aggregate-SecureBootData.ps1 Generuje raporty i pulpity nawigacyjne Stacja robocza do administracji
Przykładowy skrypt Deploy-GPO-SecureBootCollection.ps1 Automatyzuje tworzenie obiektu zasad grupy na potrzeby zbierania danych Kontroler domeny
Przykładowy skrypt Start-SecureBootRolloutOrchestrator.ps1 W pełni zautomatyzowana, ciągła orkiestracja ze zautomatyzowanym wdrażaniem obiektu zasad grupy na potrzeby instalacji certyfikatów Stacja robocza do administracji
Przykładowy skrypt Deploy-OrchestratorTask.ps1 Wdrożenie skryptu komputera aranżacji jako zaplanowanego zadania na potrzeby zautomatyzowanego wdrożenia Kontroler domeny
Przykładowy skrypt Get-SecureBootRolloutStatus.ps1 Wyświetlanie stanu wdrożenia certyfikatu bezpiecznego rozruchu z dowolnej stacji roboczej Stacja robocza administracji
Przykładowy skrypt Enable-SecureBootUpdateTask.ps1 Włącza zadanie aktualizacji bezpiecznego rozruchu W punktach końcowych, w których zadanie jest wyłączone (uruchom tylko raz, aby włączyć zadanie, jeśli jest wyłączone)

powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu

Start-SecureBootRolloutOrchestrator.ps1

  • Przeznaczenie: W pełni zautomatyzowana, ciągła orkiestracja ze zautomatyzowanym wdrażaniem obiektów zasad grupy.

  • Opis

    • Połączenia Aggregate-SecureBootData.ps1 o stanie urządzenia

    • Generuje fale wdrożenia przy użyciu progresywnego podwajania

    • Tworzy obiekt zasad grupy na potrzeby wdrażania certyfikatów przy użyciu jednej z następujących metod

      • Zasady grupy bezpiecznego rozruchu AvailableUpdatesPolicy = 0x5944 (domyślnie)
      • Metoda WinCS (parametr –UseWinCS)
    • Tworzy grupy zabezpieczeń usługi AD na potrzeby określania docelowych wartości

    • Dodaje konta komputerów do grup zabezpieczeń

    • Konfiguruje filtrowanie zabezpieczeń obiektu zasad grupy

    • Łączy obiekt zasad grupy z docelową jednostką organizacyjną

    • Monitory pod kątem zablokowanych zasobników (nieosiągalnych urządzeń)

    • Automatyczne odblokowywanie po odzyskaniu urządzenia

  • Stosowanie

    Uwaga

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Uwaga

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Polecenia dotyczące administracji

    Uwaga

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Uwaga

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Szerokość geograficzna5520|BIOS1,2 cala

    Uwaga

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametry

    Parametr Domyślne Opis
    AggregationInputPath (Ścieżka wejściowa) Wymagane Ścieżka UNC do plików JSON punktu końcowego
    Ścieżka bazowa raportu Wymagane Ścieżka lokalna dla raportów i województwa
    TargetOU (Docelowa jednostka_organizacyjna) Katalog główny domeny Jednostka organizacyjna łącząca obiekty zasad grupy
    Przedrostek WavePrefix SecureBoot-Rollout Prefiks nazw obiektów zasad grupy/obiektów zasad grupy
    MaxWaitHours (Maks. godzin oczekiwania) 72 Godziny przed sprawdzeniem dostępności urządzenia
    PollIntervalMinutes (Minuty ankiety) 1440 Minuty między kolejnymi sprawdzaniami stanu
    Przebieg na sucho Fałsz Pokazywanie, co by się stało bez zmian

    Uwaga

    Uwaga dotycząca PollIntervalMinutes: Podczas bezpośredniego uruchamiania koordynatora wartość domyślna to 1440 minut (24 godziny). W przypadku wdrożenia za pośrednictwem Deploy-OrchestratorTask.ps1 wartość domyślna to 30 minut. Skrypt wdrożenia przekazuje własną wartość domyślną do koordynatora. Użyj 30 minut na aktywne wdrożenie, 1440 na monitorowanie konserwacji.

    Parametry opcjonalne

    Parametr Domyślne Opis
    UseWinCS Fałsz Używanie metody WinCS zamiast obiektu zasad grupy AvailableUpdatesPolicy
    WinCSKey F33E0C8E002 Klucz WinCS konfiguracji bezpiecznego rozruchu
    AllowListPath (ścieżka listy dozwolonych) (brak) Ścieżka do pliku z nazwami hostów, aby umożliwić kierowane/pilotażowe wdrożenie. Obsługuje .txt lub .csv.
    AllowADGroup (brak) grupy zabezpieczeń usługi AD kont komputerów na ZEZWALAJ. Przykład: "SecureBoot-Pilot-Computers"
    Ścieżka listy wykluczeń (brak) Ścieżka do pliku z nazwami hostów do WYKLUCZENIA z wdrożenia (urządzenia VIP/wykonawcze)
    ExcludeADGroup (brak) Grupa zabezpieczeń usługi AD kont komputerów do wykluczenia. Przykład: "Komputery VIP"
    ListBlockedBuckets (ListBlockedBuckets) Fałsz Wyświetlanie obecnie zablokowanych zasobników urządzeń
    UnblockBucket (Wiadro blokowania) (brak) Odblokowywanie określonego zasobnika. Format: "Producent|Modelu|BIOS"
    UnblockAll (OdblokujWszystko) Fałsz Odblokowywanie wszystkich zablokowanych zasobników urządzeń

powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu

Deploy-OrchestratorTask.ps1

  • Przeznaczenie: Wdraża orkiestrator jako zaplanowane zadanie systemu Windows.

  • Korzyści

    • Brak monitów zabezpieczeń programu PowerShell (ExecutionPolicy Bypass)
    • Działa w tle w sposób ciągły
    • Nie jest wymagana żadna interakcja z użytkownikiem
    • Przetrwa ponowne uruchomienie
  • Stosowanie

    • Wdrażanie przy użyciu konta usługi domenowej (zalecane)

      • Użyj dostępnych aktualizacji zasady grupy (metoda domyślna)

        Uwaga

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMENA\svc_secureboot"

      • Użyj metody WinCS

        Uwaga

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Wdrażanie za pomocą konta SYSTEM

      • Użyj dostępnych aktualizacji zasady grupy (metoda domyślna)

        Uwaga

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Korzystanie z usługi WinCS method.\Deploy-OrchestratorTask.ps1

        Uwaga

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Wymagania dotyczące konta usługi

        • Administracja domeny (dla obiektów New-GPO, New-ADGroup, Add-ADGroupMember)
        • Dostęp do odczytu dla udziału plików JSON
        • Dostęp do zapisu w ReportBasePath

powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu

Get-SecureBootRolloutStatus.ps1

  • Przeznaczenie: Wyświetlaj postęp wdrażania z dowolnej stacji roboczej.

  • Co pokazuje

    • Stan zaplanowanego zadania (Uruchomione/Gotowe/Zatrzymane)
    • Bieżący numer fali
    • Urządzenia docelowe a zaktualizowane
    • Wizualny pasek postępu
    • Podsumowanie zablokowanych zasobników
    • Link do najnowszego pulpitu nawigacyjnego HTML
  • Stosowanie

    Uwaga

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Uwaga

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Uwaga

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Uwaga

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Uwaga

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Uwaga

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametry

    Parametr Wymagane? Domyślne Opis
    Ścieżka bazowa raportu Wymagane Ścieżka lokalna do raportów i plików stanu
    ShowLog (Pokaż dziennik) Opcjonalnie Fałsz Wyświetlanie ostatnich wpisów w dzienniku koordynatora
    ShowBlocked (PokazywanieZablokowane) Opcjonalnie Fałsz Wyświetlanie szczegółów zablokowanych zasobników
    Pokaż fale Opcjonalnie Fałsz Wyświetl historię grupy czynności
    Oglądanie Opcjonalnie 0 (wyłączone) Interwał automatycznego odświeżania w sekundach. Przykład: -Watch 30 odświeża się co 30 sekund.
    Otwórz pulpit nawigacyjny Opcjonalnie Fałsz Otwieranie najnowszego pulpitu nawigacyjnego HTML w domyślnej przeglądarce
  • Przykładowe dane wyjściowe

    Uwaga

    • ==============================================================
         STAN WDROŻENIA BEZPIECZNEGO ROZRUCHU
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Stan: W toku
    Fala bieżąca: 5
    Całkowita wartość docelowa: 1250
    Zaktualizowano ogółem: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Uruchom z -ShowBlocked, aby uzyskać szczegółowe informacje
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu

powrót do początku

Kroki wdrażania E2E (krótki przewodnik)

W tej sekcji

Faza 1: Infrastruktura detekcji

  • Krok 1. Tworzenie udziału kolekcji

    Uwaga

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Administratorzy domeny" -ChangeAccess "Komputery domeny"

    Uwaga

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Krok 2. Wdrażanie obiektu zasad grupy wykrywania

    Uwaga

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -Nazwa_domeny "contoso.com" '
        -OUPath "OU=stacje robocze,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Krok 3. Oczekiwanie na zgłoszenie punktów końcowych (24–48 godzin)

    Uwaga

    Sprawdzanie postępu zbierania

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Liczba

powrót do "Kroki wdrażania E2E (Krótki przewodnik)"

Faza 2. Zorganizowane wdrożenie

  • Krok 4. Sprawdzenie wymagań wstępnych

    • Wdrożenie obiektu zasad grupy wykrywania (krok 2)
    • Co najmniej 50+ punktów końcowych raportujących JSON
    • Konto usługi z prawami Administracja domeny
    • Serwer zarządzania z PowerShell 5.1+
  • Krok 5. Wdrażanie programu Orchestrator jako zaplanowanego zadania

    Uwaga

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMENA\svc_secureboot"

  • Krok 6. Monitorowanie postępu

    Uwaga

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Krok 7. Wyświetl pulpit nawigacyjny

    Uwaga

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Krok 8. Zarządzanie zablokowanymi zasobnikami

    Uwaga

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Uwaga

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Producent|Modelu|BIOS"

  • Krok 9. Weryfikowanie ukończenia

    Uwaga

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Stan powinien mieć wartość "Ukończono"

powrót do "Kroki wdrażania E2E (Krótki przewodnik)"

State Files

Koordynator zachowuje stan w ReportBasePath\RolloutState\:

Plik Opis
RolloutState.json Historia fal, urządzenia docelowe, status
BlockedBuckets.json Wiadra wymagające zbadania
DeviceHistory.json Śledzenie urządzeń według nazwy hosta
Orchestrator_YYYYMMDD.log Dzienne dzienniki aktywności

powrót do "Kroki wdrażania E2E (Krótki przewodnik)"

powrót do początku

Rozwiązywanie problemów

W tej sekcji

Brak postępu aranżacji

  1. Sprawdzanie zaplanowanych zadań

    Uwaga

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Sprawdzanie dzienników

    Uwaga

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Weryfikowanie aktualności danych JSON

    Uwaga

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

powrót do strony "Rozwiązywanie problemów"

Zablokowane zasobniki

  1. Lista zablokowana.

    Uwaga

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Zbadaj osiągalność urządzeń.

  3. Sprawdź, czy występują problemy z oprogramowaniem układowym.

  4. Odblokuj po zbadaniu sprawy.

powrót do strony "Rozwiązywanie problemów"

Obiekt zasad grupy nie ma zastosowania

  1. Sprawdź, czy istnieje obiekt zasad grupy.

    Uwaga

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Sprawdź filtrowanie zabezpieczeń.

    Uwaga

    Get-GPPermission -Name "GPO-Name" -All

  3. Sprawdź, czy komputer znajduje się w grupie zabezpieczeń.

  4. Zastosuj obiekt zasad grupy do miejsca docelowego.

    Uwaga

    gpupdate /force

powrót do strony "Rozwiązywanie problemów"

powrót do początku

Dziennik zmian

Zmień datę Opis zmiany
12 maja 2026 r Wcześniej każdy przykładowy plik skryptu był publikowany jako osobne artykuły, z których można było kopiować i wklejać skrypt. Począwszy od aktualizacji systemu Windows wydanych 12 maja 2026 r. i później, przykładowe skrypty znajdują się w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na Twoim urządzeniu.