Uwaga
Data pierwotnej publikacji: 16 marcu 2026 r
Data ostatniej aktualizacji: 12 maja 2026 r
Identyfikator KB: 5084567
W tym artykule
- Omówienie
- Najważniejsze funkcje
- Informacje dotyczące ustawień aktualizacji certyfikatu
- Architektura
- Faza 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
- Faza 2: Skrypt orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
- Kroki wdrażania E2E (krótki przewodnik)
- Rozwiązywanie problemów
- Dziennik zmian
Omówienie
Ten przewodnik zawiera opis systemu automatycznego wdrażania aktualizacji certyfikatów bezpiecznej bazy danych bezpiecznego rozruchu systemu Windows przy użyciu zasady grupy i fal stopniowego wdrażania.
Automatyzacja wdrażania certyfikatu bezpiecznego rozruchu to system oparty na programie PowerShell, który wdraża aktualizacje certyfikatu bazy danych bezpiecznego rozruchu systemu Windows na maszynach przyłączonych do domeny w kontrolowany, stopniowy sposób.
Najważniejsze funkcje
| Funkcja | Opis |
|---|---|
| Stopniowe wdrażanie | > 1 2 > 4 > 8... urządzeń na zasobnik |
| Automatyczne blokowanie | Zasobniki z nieosiągalnymi urządzeniami są wykluczone |
| Zautomatyzowane wdrażanie obiektów zasad grupy | Pojedynczy skrypt aranżacji obsługuje wszystko |
| Zaplanowane wykonywanie zadań | Nie są wymagane żadne interaktywne polecenia |
| Monitorowanie w czasie rzeczywistym | Podgląd stanu z paskiem postępu |
Informacje dotyczące ustawień aktualizacji certyfikatu
W tej sekcji
Zasady grupy AvailableUpdatesPolicy
| Lokalizacja rejestru | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Nazwa | DostępneAktualizacjePolityki |
| Wartość | 0x5944 (DWORD) |
Jest to klucz kontrolowany przez GPO/ADMX, który:
- Utrzymuje się między ponownymi uruchomieniami
- Jest ustawiany przez zasady grupy/MDM
- Nie powoduje ponawiania pętli (wyczyszczone za pośrednictwem ClearRolloutFlags)
- Jest właściwym kluczem do wdrożenia opartego na zasadach.
powrót do "Informacje dotyczące ustawień aktualizacji certyfikatu"
WinCSFlags — flagi systemu konfiguracji systemu Windows
Administratorzy domeny mogą alternatywnie użyć systemu konfiguracji Windows (WinCS) wydanego z aktualizacjami systemu operacyjnego Windows, aby wdrożyć aktualizacje bezpiecznego rozruchu na klientach i serwerach Windows przyłączonych do domeny. Składa się z narzędzia interfejsu wiersza polecenia (CLI) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze.
| Nazwa funkcji | Klucz WinCS | Opis |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Włączenie tego klucza umożliwia instalację na urządzeniu następujących nowych certyfikatów bezpiecznego rozruchu dostarczonych przez firmę Microsoft.
|
Informacje: Interfejsy API systemu konfiguracji Windows (WinCS) dla funkcji bezpiecznego rozruchu
powrót do "Informacje dotyczące ustawień aktualizacji certyfikatu"
Architektura
Faza 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
W tej sekcji
- Skrypty potrzebne dla fazy 1
- Testowanie lokalne
- Konfiguracja udziału sieciowego
- Wdrożenie obiektu zasad grupy
- Podsumowanie ustawień obiektu zasad grupy
- Weryfikacja
Skrypty potrzebne dla fazy 1
Przykładowe skrypty zbierania danych zapasów bezpiecznego rozruchu
Uwaga
WAŻNE Poniższe artykuły zawierające przykładowe skrypty zostały wycofane. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowe skrypty można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.
| Przykładowa nazwa skryptu | Zastosowanie | Działa w następujących systemach |
|---|---|---|
| Przykładowy skrypt Detect-SecureBootCertUpdateStatus.ps1 | Zbiera dane o stanie urządzenia | Każdy punkt końcowy (za pośrednictwem obiektu zasad grupy) |
| Przykładowy skrypt Aggregate-SecureBootData.ps1 | Generuje raporty i pulpity nawigacyjne | Stacja robocza do administracji |
| Przykładowy skrypt Deploy-GPO-SecureBootCollection.ps1 | Automatyzuje tworzenie obiektu zasad grupy na potrzeby zbierania danych | Kontroler domeny |
Przykładowe dane wyjściowe powyższych skryptów fazy 1
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Testowanie lokalne
Przed wdrożeniem za pośrednictwem obiektu zasad grupy przetestuj skrypt zbierania danych na jednym komputerze, aby sprawdzić jego funkcjonalność.
Uruchamianie skryptu kolekcji lokalnie
Otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień i wykonaj:
Uwaga
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Weryfikowanie danych wyjściowych JSON
Uwaga
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListKluczowe pola do weryfikacji
• SecureBootEnabled — powinna mieć wartość True lub False
• Stan ogólny — Ukończono, GotoweDo aktualizacji, DanePotrzeb lub Błąd
• BucketHash — zasobnik urządzenia do dopasowywania danych pewności
• SecureBootTaskEnabled — pokazuje stan zadania aktualizacji bezpiecznego rozruchu.Skrypt agregacji testowej
Uwaga
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Otwórz pulpit nawigacyjny HTML
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Konfiguracja udziału sieciowego
Tworzenie udziału sieciowego
Na serwerze plików utwórz dedykowany udział na potrzeby zbierania danych:
Uwaga
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Tworzenie folderu
New-Item -ItemType Directory -Path $SharePath -Force
Create hidden share ($ sufiks jest ukryty na liście przeglądania)
New-SmbShare -Name $ShareName -Path $SharePath '
-description "Kolekcja stanu certyfikatów bezpiecznego rozruchu" '
-FullAccess "Administratorzy domeny" '
-ChangeAccess "Komputery domeny"Konfigurowanie uprawnień systemu plików NTFS
Uwaga
# Get current ACL
$Acl = Get-Acl $SharePath
Zezwalaj uwierzytelnionym użytkownikom na zapisywanie plików
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Komputery domeny" oraz
"Modyfikuj",
"ContainerInherit,ObjectInherit",
"Brak",
"Zezwalaj"
)
$Acl.AddAccessRule($WriteRule)
Zezwalaj administratorom domeny na pełną kontrolę (na potrzeby agregacji)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Administratorzy domeny",
"Pełna kontrola",
"ContainerInherit,ObjectInherit",
"Brak",
"Zezwalaj"
)
$Acl.AddAccessRule($AdminRule)
Stosowanie uprawnień
Set-Acl -Path $SharePath -AclObject $Acl
Weryfikowanie dostępu do udziału
Uwaga
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Powinny zostać zwrócone: Prawda
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Wdrożenie obiektu zasad grupy
Użyj skryptu automatyzacji dostarczonego z kontrolera domeny:
Uwaga
Uruchom na kontrolerze domeny jako Administracja domeny dla interaktywnej sekcji jednostki organizacyjnej — zalecane
Zastąp ciąg "Contoso.com", "Contoso" nazwą domeny
Zastąp FILESERVER nazwą serwera plików. Skrypt przedstawiający listę jednostek organizacyjnych, w których ma zostać wdrożony obiekt zasad grupy
.\Deploy-GPO-SecureBootCollection.ps1 '
-Nazwa_domeny "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Harmonogram "Codziennie" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Skrypt ten wykona następujące operacje:
- Tworzy nowy obiekt zasad grupy o określonej nazwie
- Kopiuje skrypt kolekcji do folderu SYSVOL w celu zapewnienia wysokiej dostępności
- Konfiguruje skrypt uruchamiania komputera
- Łączy obiekt zasad grupy z docelową jednostką organizacyjną
- Opcjonalne tworzenie zaplanowanego zadania dla zbierania danych okresowych
Poniższa tabela zawiera wskazówki dotyczące tego, jak duże będzie opóźnienie w oparciu o wielkość Twojej floty.
| Wielkość floty | Zakres opóźnień |
|---|---|
| 1–10 tys. urządzeń | 4 godziny |
| Urządzenia 10K–50K | 8 godzin |
| 50 tys.+ urządzeń | 12-24 godzin |
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Podsumowanie ustawień obiektu zasad grupy
| Ustawienie | Lokalizacja | Wartość |
|---|---|---|
| Skrypt uruchamiania | Skrypty → konfiguracji komputera | Detect-SecureBootCertUpdateStatus.ps1 |
| Parametry skryptu | (to samo) | -OutputPath "\\serwer\udział$" |
| Polityka realizacji | Szablony → Administracja konfiguracji komputera → programie PowerShell | Zezwalaj na podpis lokalny i zdalny |
| Zaplanowane zadanie | Preferencje → konfiguracji komputera → zaplanowanych zadań | Kolekcja codzienna/cotygodniowa |
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Weryfikacja
Wymuś aktualizację GPO na maszynie testowej
Uwaga
## On a test workstation
gpupdate /force
Uruchom ponownie komputery klienckie, aby uruchomić skrypt startowy — zostanie on wyzwolony zgodnie z następnym harmonogramem.
Restart-Computer -Force
Weryfikowanie zbierania danych
Uwaga
Sprawdź, czy dane zostały zebrane (na serwerze plików, czy z dowolnego komputera)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Descending |
Select-Object — pierwsze 10
Weryfikowanie zawartości JSON
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Sprawdź aplikację GPO.
Uwaga
Sprawdzanie, czy obiekt zasad grupy jest zastosowany na komputerze
Select-String "SecureBoot"
Skrypt zapisuje również kopię lokalną w celu zapewnienia nadmiarowości:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
powrót do fazy 1: Wykrywanie i monitorowanie stanu na poziomie przedsiębiorstwa
Faza 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
Ważne
Upewnij się, że faza 1 została ukończona, łącznie ze zbieraniem danych w każdym punkcie końcowym do zdalnych udziałów serwera.
W tej sekcji
- Skrypty potrzebne do fazy 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Skrypty potrzebne do fazy 2
Przykładowe skrypty zbierania danych zapasów bezpiecznego rozruchu
Uwaga
WAŻNE Poniższe artykuły zawierające przykładowe skrypty zostały wycofane. Jeśli zainstalowano aktualizację systemu Windows wydaną 12 maja 2026 r. lub później, przykładowe skrypty można znaleźć w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na urządzeniu.
| Przykładowa nazwa skryptu | Zastosowanie | Działa na |
|---|---|---|
| Przykładowy skrypt Detect-SecureBootCertUpdateStatus.ps1 | Zbiera dane o stanie urządzenia | Każdy punkt końcowy (za pośrednictwem obiektu zasad grupy) |
| Przykładowy skrypt Aggregate-SecureBootData.ps1 | Generuje raporty i pulpity nawigacyjne | Stacja robocza do administracji |
| Przykładowy skrypt Deploy-GPO-SecureBootCollection.ps1 | Automatyzuje tworzenie obiektu zasad grupy na potrzeby zbierania danych | Kontroler domeny |
| Przykładowy skrypt Start-SecureBootRolloutOrchestrator.ps1 | W pełni zautomatyzowana, ciągła orkiestracja ze zautomatyzowanym wdrażaniem obiektu zasad grupy na potrzeby instalacji certyfikatów | Stacja robocza do administracji |
| Przykładowy skrypt Deploy-OrchestratorTask.ps1 | Wdrożenie skryptu komputera aranżacji jako zaplanowanego zadania na potrzeby zautomatyzowanego wdrożenia | Kontroler domeny |
| Przykładowy skrypt Get-SecureBootRolloutStatus.ps1 | Wyświetlanie stanu wdrożenia certyfikatu bezpiecznego rozruchu z dowolnej stacji roboczej | Stacja robocza administracji |
| Przykładowy skrypt Enable-SecureBootUpdateTask.ps1 | Włącza zadanie aktualizacji bezpiecznego rozruchu | W punktach końcowych, w których zadanie jest wyłączone (uruchom tylko raz, aby włączyć zadanie, jeśli jest wyłączone) |
powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
Start-SecureBootRolloutOrchestrator.ps1
Przeznaczenie: W pełni zautomatyzowana, ciągła orkiestracja ze zautomatyzowanym wdrażaniem obiektów zasad grupy.
Opis
Połączenia Aggregate-SecureBootData.ps1 o stanie urządzenia
Generuje fale wdrożenia przy użyciu progresywnego podwajania
Tworzy obiekt zasad grupy na potrzeby wdrażania certyfikatów przy użyciu jednej z następujących metod
- Zasady grupy bezpiecznego rozruchu AvailableUpdatesPolicy = 0x5944 (domyślnie)
- Metoda WinCS (parametr –UseWinCS)
Tworzy grupy zabezpieczeń usługi AD na potrzeby określania docelowych wartości
Dodaje konta komputerów do grup zabezpieczeń
Konfiguruje filtrowanie zabezpieczeń obiektu zasad grupy
Łączy obiekt zasad grupy z docelową jednostką organizacyjną
Monitory pod kątem zablokowanych zasobników (nieosiągalnych urządzeń)
Automatyczne odblokowywanie po odzyskaniu urządzenia
Stosowanie
Uwaga
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Uwaga
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSPolecenia dotyczące administracji
Uwaga
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsUwaga
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Szerokość geograficzna5520|BIOS1,2 calaUwaga
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParametry
Parametr Domyślne Opis AggregationInputPath (Ścieżka wejściowa) Wymagane Ścieżka UNC do plików JSON punktu końcowego Ścieżka bazowa raportu Wymagane Ścieżka lokalna dla raportów i województwa TargetOU (Docelowa jednostka_organizacyjna) Katalog główny domeny Jednostka organizacyjna łącząca obiekty zasad grupy Przedrostek WavePrefix SecureBoot-Rollout Prefiks nazw obiektów zasad grupy/obiektów zasad grupy MaxWaitHours (Maks. godzin oczekiwania) 72 Godziny przed sprawdzeniem dostępności urządzenia PollIntervalMinutes (Minuty ankiety) 1440 Minuty między kolejnymi sprawdzaniami stanu Przebieg na sucho Fałsz Pokazywanie, co by się stało bez zmian Uwaga
Uwaga dotycząca PollIntervalMinutes: Podczas bezpośredniego uruchamiania koordynatora wartość domyślna to 1440 minut (24 godziny). W przypadku wdrożenia za pośrednictwem Deploy-OrchestratorTask.ps1 wartość domyślna to 30 minut. Skrypt wdrożenia przekazuje własną wartość domyślną do koordynatora. Użyj 30 minut na aktywne wdrożenie, 1440 na monitorowanie konserwacji.
Parametry opcjonalne
Parametr Domyślne Opis UseWinCS Fałsz Używanie metody WinCS zamiast obiektu zasad grupy AvailableUpdatesPolicy WinCSKey F33E0C8E002 Klucz WinCS konfiguracji bezpiecznego rozruchu AllowListPath (ścieżka listy dozwolonych) (brak) Ścieżka do pliku z nazwami hostów, aby umożliwić kierowane/pilotażowe wdrożenie. Obsługuje .txt lub .csv. AllowADGroup (brak) grupy zabezpieczeń usługi AD kont komputerów na ZEZWALAJ. Przykład: "SecureBoot-Pilot-Computers" Ścieżka listy wykluczeń (brak) Ścieżka do pliku z nazwami hostów do WYKLUCZENIA z wdrożenia (urządzenia VIP/wykonawcze) ExcludeADGroup (brak) Grupa zabezpieczeń usługi AD kont komputerów do wykluczenia. Przykład: "Komputery VIP" ListBlockedBuckets (ListBlockedBuckets) Fałsz Wyświetlanie obecnie zablokowanych zasobników urządzeń UnblockBucket (Wiadro blokowania) (brak) Odblokowywanie określonego zasobnika. Format: "Producent|Modelu|BIOS" UnblockAll (OdblokujWszystko) Fałsz Odblokowywanie wszystkich zablokowanych zasobników urządzeń
powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
Deploy-OrchestratorTask.ps1
Przeznaczenie: Wdraża orkiestrator jako zaplanowane zadanie systemu Windows.
Korzyści
- Brak monitów zabezpieczeń programu PowerShell (ExecutionPolicy Bypass)
- Działa w tle w sposób ciągły
- Nie jest wymagana żadna interakcja z użytkownikiem
- Przetrwa ponowne uruchomienie
Stosowanie
Wdrażanie przy użyciu konta usługi domenowej (zalecane)
Użyj dostępnych aktualizacji zasady grupy (metoda domyślna)
Uwaga
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"Użyj metody WinCS
Uwaga
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Wdrażanie za pomocą konta SYSTEM
Użyj dostępnych aktualizacji zasady grupy (metoda domyślna)
Uwaga
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Korzystanie z usługi WinCS method.\Deploy-OrchestratorTask.ps1
Uwaga
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSWymagania dotyczące konta usługi
- Administracja domeny (dla obiektów New-GPO, New-ADGroup, Add-ADGroupMember)
- Dostęp do odczytu dla udziału plików JSON
- Dostęp do zapisu w ReportBasePath
powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
Get-SecureBootRolloutStatus.ps1
Przeznaczenie: Wyświetlaj postęp wdrażania z dowolnej stacji roboczej.
Co pokazuje
- Stan zaplanowanego zadania (Uruchomione/Gotowe/Zatrzymane)
- Bieżący numer fali
- Urządzenia docelowe a zaktualizowane
- Wizualny pasek postępu
- Podsumowanie zablokowanych zasobników
- Link do najnowszego pulpitu nawigacyjnego HTML
Stosowanie
Uwaga
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Uwaga
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Uwaga
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedUwaga
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesUwaga
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogUwaga
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParametry
Parametr Wymagane? Domyślne Opis Ścieżka bazowa raportu Wymagane — Ścieżka lokalna do raportów i plików stanu ShowLog (Pokaż dziennik) Opcjonalnie Fałsz Wyświetlanie ostatnich wpisów w dzienniku koordynatora ShowBlocked (PokazywanieZablokowane) Opcjonalnie Fałsz Wyświetlanie szczegółów zablokowanych zasobników Pokaż fale Opcjonalnie Fałsz Wyświetl historię grupy czynności Oglądanie Opcjonalnie 0 (wyłączone) Interwał automatycznego odświeżania w sekundach. Przykład: -Watch 30 odświeża się co 30 sekund. Otwórz pulpit nawigacyjny Opcjonalnie Fałsz Otwieranie najnowszego pulpitu nawigacyjnego HTML w domyślnej przeglądarce Przykładowe dane wyjściowe
Uwaga
==============================================================
STAN WDROŻENIA BEZPIECZNEGO ROZRUCHU
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Stan: W toku
Fala bieżąca: 5
Całkowita wartość docelowa: 1250
Zaktualizowano ogółem: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Uruchom z -ShowBlocked, aby uzyskać szczegółowe informacjeLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
powrót do fazy 2: Skrypty orkiestracji aktualizacji certyfikatu bezpiecznego rozruchu
Kroki wdrażania E2E (krótki przewodnik)
W tej sekcji
Faza 1: Infrastruktura detekcji
Krok 1. Tworzenie udziału kolekcji
Uwaga
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Administratorzy domeny" -ChangeAccess "Komputery domeny"Uwaga
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclKrok 2. Wdrażanie obiektu zasad grupy wykrywania
Uwaga
.\Deploy-GPO-SecureBootCollection.ps1 `
-Nazwa_domeny "contoso.com" '
-OUPath "OU=stacje robocze,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Krok 3. Oczekiwanie na zgłoszenie punktów końcowych (24–48 godzin)
Uwaga
Sprawdzanie postępu zbierania
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Liczba
powrót do "Kroki wdrażania E2E (Krótki przewodnik)"
Faza 2. Zorganizowane wdrożenie
Krok 4. Sprawdzenie wymagań wstępnych
- Wdrożenie obiektu zasad grupy wykrywania (krok 2)
- Co najmniej 50+ punktów końcowych raportujących JSON
- Konto usługi z prawami Administracja domeny
- Serwer zarządzania z PowerShell 5.1+
Krok 5. Wdrażanie programu Orchestrator jako zaplanowanego zadania
Uwaga
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMENA\svc_secureboot"Krok 6. Monitorowanie postępu
Uwaga
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Krok 7. Wyświetl pulpit nawigacyjny
Uwaga
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardKrok 8. Zarządzanie zablokowanymi zasobnikami
Uwaga
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsUwaga
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Producent|Modelu|BIOS"Krok 9. Weryfikowanie ukończenia
Uwaga
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Stan powinien mieć wartość "Ukończono"
powrót do "Kroki wdrażania E2E (Krótki przewodnik)"
State Files
Koordynator zachowuje stan w ReportBasePath\RolloutState\:
| Plik | Opis |
|---|---|
| RolloutState.json | Historia fal, urządzenia docelowe, status |
| BlockedBuckets.json | Wiadra wymagające zbadania |
| DeviceHistory.json | Śledzenie urządzeń według nazwy hosta |
| Orchestrator_YYYYMMDD.log | Dzienne dzienniki aktywności |
powrót do "Kroki wdrażania E2E (Krótki przewodnik)"
Rozwiązywanie problemów
W tej sekcji
Brak postępu aranżacji
Sprawdzanie zaplanowanych zadań
Uwaga
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Sprawdzanie dzienników
Uwaga
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Weryfikowanie aktualności danych JSON
Uwaga
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
powrót do strony "Rozwiązywanie problemów"
Zablokowane zasobniki
Lista zablokowana.
Uwaga
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsZbadaj osiągalność urządzeń.
Sprawdź, czy występują problemy z oprogramowaniem układowym.
Odblokuj po zbadaniu sprawy.
powrót do strony "Rozwiązywanie problemów"
Obiekt zasad grupy nie ma zastosowania
Sprawdź, czy istnieje obiekt zasad grupy.
Uwaga
Get-GPO -Name "SecureBoot-Rollout-Wave*"Sprawdź filtrowanie zabezpieczeń.
Uwaga
Get-GPPermission -Name "GPO-Name" -AllSprawdź, czy komputer znajduje się w grupie zabezpieczeń.
Zastosuj obiekt zasad grupy do miejsca docelowego.
Uwaga
gpupdate /force
powrót do strony "Rozwiązywanie problemów"
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 12 maja 2026 r | Wcześniej każdy przykładowy plik skryptu był publikowany jako osobne artykuły, z których można było kopiować i wklejać skrypt. Począwszy od aktualizacji systemu Windows wydanych 12 maja 2026 r. i później, przykładowe skrypty znajdują się w folderze %systemroot%\SecureBoot\ExampleRolloutScripts na Twoim urządzeniu. |