Observação
Data de publicação original: 16 de março de 2026
Última data de atualização: 12 de maio de 2026
ID da base de dados: 5084567
Neste artigo
- Visão geral
- Principais Recursos
- Referência de configurações de Atualizações de Certificado
- Arquitetura
- Fase 1: Detecção e Monitoramento de Status no nível Empresarial
- Fase 2: Script de orquestração de atualização de certificado de inicialização segura
- Etapas de implantação do E2E (Guia de Referência Rápida)
- Solução de problemas
- Log de mudanças
Visão geral
Este guia descreve o sistema de implantação automatizada para atualizações de certificado do Banco de Dados de Inicialização Segura do Windows usando a Política de Grupo e ondas de distribuição progressiva.
A Automação de Distribuição de Certificado de Inicialização Segura é um sistema baseado em PowerShell que implanta atualizações de certificado do Banco de Dados de Inicialização Segura do Windows em computadores ingressados no domínio de maneira graduada e controlada.
Principais Recursos
| Recurso | Descrição |
|---|---|
| Distribuição Gradual | > 1 2 > 4 > 8... Dispositivos por bucket |
| Bloqueio automático | Os buckets com dispositivos inacessíveis são excluídos |
| Implantação automatizada de GPO | O script de orquestrador único lida com tudo |
| Execução de tarefas agendadas | Não são necessários prompts interativos |
| Monitoramento em tempo real | Visualizador de status com barra de progresso |
Referência de configurações de Atualizações de Certificado
Nesta seção
- AvailableUpdatesPolicy Política de grupo
- WinCSFlags - Sinalizadores do Sistema de Configuração do Windows
AvailableUpdatesPolicy Política de grupo
| Local do Registro | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Nome | Política de Atualizações Disponíveis |
| Valor | 0x5944 (DWORD) |
Esta é a chave controlada por GPO/ADMX que:
- Persiste entre reinicializações
- É definido pela Política de Grupo / MDM
- Não causa loops de repetição (limpo por meio de ClearRolloutFlags)
- É a chave correta para a implantação controlada por política
voltar para "Referência de configurações de Atualizações de certificado"
WinCSFlags - Sinalizadores do Sistema de Configuração do Windows
Como alternativa, os administradores de domínio podem usar o Sistema de Configuração do Windows (WinCS) lançado com as atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura em clientes e servidores Windows ingressados no domínio. Ele consiste em um utilitário de interface de linha de comando (CLI) para consultar e aplicar configurações de Inicialização Segura localmente a um computador.
| Nome do recurso | Chave WinCS | Descrição |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Habilitar essa chave permite a instalação dos seguintes certificados de Inicialização Segura fornecidos pela Microsoft em seu dispositivo.
|
Referência: APIs do Sistema de Configuração do Windows (WinCS) para Inicialização Segura
voltar para "Referência de configurações de Atualizações de certificado"
Arquitetura
Fase 1: Detecção e Monitoramento de Status no Nível Empresarial
Nesta seção
- Scripts necessários para a Fase 1
- Teste local
- Configuração do compartilhamento de rede
- Implantação do GPO
- Resumo das Configurações do GPO
- Verificação
Scripts necessários para a Fase 1
Scripts de coleta de dados do Inventário de Inicialização Segura de exemplo
Observação
IMPORTANTE Os artigos a seguir contendo os scripts de amostra foram desativados. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, os scripts de exemplo poderão ser encontrados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.
| Nome do script de exemplo | Finalidade | Funciona em |
|---|---|---|
| Exemplo de script Detect-SecureBootCertUpdateStatus.ps1 | Coleta dados de status do dispositivo | Cada ponto de extremidade (via GPO) |
| Exemplo de script Aggregate-SecureBootData.ps1 | Gera relatórios e dashboards | Administração estação de trabalho |
| Exemplo de script Deploy-GPO-SecureBootCollection.ps1 | Automatiza a criação de GPO para coleta de dados | Controlador de domínio |
Exemplo de saída dos scripts da Fase 1 acima
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Teste local
Antes de implantar por meio do GPO, teste o script de coleta em um único computador para verificar a funcionalidade.
Executar script de coleção localmente
Abra um prompt do PowerShell com privilégios elevados e execute:
Observação
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Verificar a saída JSON
Observação
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListCampos-chave a serem verificados
• SecureBootEnabled – Deve ser True ou False
• OverallStatus – Complete, ReadyForUpdate, NeedsData ou Error
• BucketHash – Bucket do dispositivo para correspondência de dados de confiança
• SecureBootTaskEnabled - Mostra o status da tarefa de atualização da Inicialização Segura.Script de agregação de teste
Observação
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Abrir o dashboard HTML
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Configuração do compartilhamento de rede
Criar o compartilhamento de rede
No servidor de arquivos, crie um compartilhamento dedicado para os dados da coleção:
Observação
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Criar pasta
New-Item -ItemType Directory -Path $SharePath -Force
Criar compartilhamento oculto (o sufixo $ se esconde da lista de navegação)
New-SmbShare -Name $ShareName -Path $SharePath '
-Description "Secure Boot Certificate Status Collection" '
-FullAccess "Administradores de Domínio" '
-ChangeAccess "Computadores do Domínio"Configurar permissões NTFS
Observação
# Get current ACL
$Acl = Get-Acl $SharePath
Permitir que Usuários Autenticados gravem arquivos
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Computadores do Domínio" e
"Modificar",
"ContainerInherit,ObjectInherit",
"Nenhuma",
"Permitir"
)
$Acl.AddAccessRule($WriteRule)
Conceder aos administradores de domínio controle total (para agregação)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Administradores de Domínio",
"FullControl",
"ContainerInherit,ObjectInherit",
"Nenhuma",
"Permitir"
)
$Acl.AddAccessRule($AdminRule)
Aplicar permissões
Set-Acl -Path $SharePath -AclObject $Acl
Verificar Acesso ao Compartilhamento
Observação
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Deve retornar: True
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Implantação do GPO
Use o script de automação fornecido por um controlador de domínio:
Observação
Executar no Controlador de Domínio como Administração de Domínio para a seção de UO interativa – Recomendado
Substitua o "Contoso.com", "Contoso" pelo nome do domínio
Substitua FILESERVER pelo nome do servidor de arquivos. O script mostra a lista de UOs nas quais implantar o GPO
.\Deploy-GPO-SecureBootCollection.ps1 '
-DomainName "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Agendar "Diariamente" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Este script executará o seguinte:
- Cria um novo GPO com o nome especificado
- Copia o script da coleção para SYSVOL para alta disponibilidade
- Configura o script de inicialização do computador
- Vincula o GPO à UO de destino
- Opcionalmente cria uma tarefa agendada para coleta periódica
A tabela a seguir fornece orientação sobre quanto tempo o atraso será baseado no tamanho da sua frota.
| Tamanho da frota | Intervalo de atraso |
|---|---|
| 1 a 10 mil dispositivos | 4 horas |
| 10 mil – 50 mil dispositivos | 8 horas |
| 50K+ dispositivos | 12-24 horas |
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Resumo das Configurações do GPO
| Configuração | Local | Valor |
|---|---|---|
| Script de inicialização | Scripts de → de Configuração do Computador | Detect-SecureBootCertUpdateStatus.ps1 |
| Parâmetros de script | (mesmo) | -OutputPath "\\server\share$" |
| Política de execução | Modelos de → Administração de Configuração do Computador → PowerShell | Permitir assinatura local e remota |
| Tarefas Agendadas | Configurações do Computador → Preferências → Tarefas Agendadas | Coleta diária/semanal |
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Verificação
Forçar atualização do GPO na máquina de testee
Observação
## On a test workstation
gpupdate /force
Reinicialize os computadores clientes para o script de inicialização ou ele será disparado na próxima agenda.
Restart-Computer -Force
Verificar a coleta de dados
Observação
Verifique se os dados foram coletados (no servidor de arquivos ou de qualquer computador)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Descending |
Select-Object -Primeiros 10
Verificar o conteúdo JSON
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Verificar aplicativo GPO
Observação
Verificar se o GPO está aplicado ao computador
Select-String "SecureBoot"
O script também salva uma cópia local para redundância:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"
Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura
Importante
Certifique-se de que a Fase 1 seja concluída, incluindo a coleta de dados em cada ponto final para compartilhamentos de servidor remoto.
Nesta seção
- Scripts necessários para a Fase 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Scripts necessários para a Fase 2
Scripts de coleta de dados do Inventário de Inicialização Segura de exemplo
Observação
IMPORTANTE Os artigos a seguir contendo os scripts de amostra foram desativados. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, os scripts de exemplo poderão ser encontrados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.
| Nome do script de exemplo | Finalidade | Funciona em: |
|---|---|---|
| Exemplo de script Detect-SecureBootCertUpdateStatus.ps1 | Coleta dados de status do dispositivo | Cada ponto de extremidade (via GPO) |
| Exemplo de script Aggregate-SecureBootData.ps1 | Gera relatórios e dashboards | Administração estação de trabalho |
| Exemplo de script Deploy-GPO-SecureBootCollection.ps1 | Automatiza a criação de GPO para coleta de dados | Controlador de domínio |
| Exemplo de script Start-SecureBootRolloutOrchestrator.ps1 | Orquestração contínua totalmente automatizada com implantação automatizada de GPO para instalação de certificado | Administração estação de trabalho |
| Exemplo de script Deploy-OrchestratorTask.ps1 | Implanta o script do Orchestrator como tarefa agendada para distribuição automatizada | Controlador de domínio |
| Exemplo de script Get-SecureBootRolloutStatus.ps1 | Exibir o certificado de Inicialização Segura Implantar o status de qualquer estação de trabalho | Estação de Trabalho de Administração |
| Exemplo de script Enable-SecureBootUpdateTask.ps1 | Habilita a tarefa de atualização da Inicialização Segura | Nos pontos de extremidade em que a tarefa está desabilitada (Executar somente uma vez para habilitar a tarefa se estiver desativada) |
voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"
Start-SecureBootRolloutOrchestrator.ps1
Finalidade: Orquestração contínua e totalmente automatizada com implantação automatizada de GPO.
Função
Chamadas Aggregate-SecureBootData.ps1 para status do dispositivo
Gera ondas de implantação usando duplicação progressiva
Cria o GPO para implantação de certificado usando um dos seguintes métodos
- Inicialização segura Política de Grupo AvailableUpdatesPolicy = 0x5944 (Padrão)
- Método WinCS (parâmetro –UseWinCS)
Cria grupos de segurança do AD para segmentação
Adiciona contas de computador a grupos de segurança
Configura a filtragem de segurança GPO
Vincula o GPO à UO de destino
Monitores de buckets bloqueados (dispositivos inacessíveis)
Desbloqueia automaticamente quando os dispositivos se recuperam
Utilização
Observação
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Observação
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSComandos de Administração
Observação
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObservação
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"Observação
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllParâmetros
Parâmetro Padrão Descrição AggregationInputPath Obrigatório Caminho UNC para arquivos JSON de ponto de extremidade ReportBasePath Obrigatório Caminho local para relatórios e estado TargetOU Raiz de domínio UO para vincular GPOs Prefixo de onda SecureBoot-Rollout Prefixo de nomenclatura de GPO/grupo MaxWaitHours 72 Horas antes de verificar a acessibilidade do dispositivo PollIntervalMinutes 1440 Minutos entre as verificações de status DryRun Falsa Mostrar o que aconteceria sem alterações Observação
Observação sobre PollIntervalMinutes: Ao executar o orchestrator diretamente, o padrão é de 1440 minutos (24 horas). Quando implantado por meio do Deploy-OrchestratorTask.ps1, o padrão é de 30 minutos. O script de implantação passa seu próprio padrão para o orquestrador. Use 30 minutos para distribuição ativa e 1440 para monitoramento de manutenção.
Parâmetros opcionais
Parâmetro Padrão Descrição UseWinCS Falsa Use o método WinCS em vez do GPO AvailableUpdatesPolicy WinCSKey F33E0C8E002 Chave WinCS para configuração de Inicialização Segura AllowListPath (nenhuma) Caminho para o arquivo com nomes de host para PERMITIR a distribuição direcionada/piloto. Suporta .txt ou .csv. AllowADGroup (nenhuma) AD de segurança de contas de computador para PERMITIR. Exemplo: "SecureBoot-Pilot-Computers" ExclusionListPath (nenhuma) Caminho para o arquivo com nomes de host a serem EXCLUÍDOS da distribuição (dispositivos VIP/executivos) ExcludeADGroup (nenhuma) Grupo de segurança do AD de contas de computador a serem excluídas. Exemplo: "VIP-Computers" ListBlockedBuckets Falsa Exibir buckets de dispositivos bloqueados no momento Desbloqueie o Bucket (nenhuma) Desbloquear um bucket específico. Formato: "Fabricante|Modelo|BIOS" Desbloquear Tudo Falsa Desbloquear todos os buckets de dispositivos bloqueados
voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"
Deploy-OrchestratorTask.ps1
Finalidade: Implanta o orquestrador como uma tarefa agendada do Windows.
Benefícios
- Nenhum prompt de segurança do PowerShell (ExecutionPolicy Bypass)
- É executado em segundo plano continuamente
- Não é necessária a interação do usuário
- Sobrevive a reinicializações
Utilização
Implantar com a conta de serviço de domínio (recomendado)
Usar a Política de Grupo AvailableUpdates (Método Padrão)
Observação
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Usar o método WinCS
Observação
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Implantar com conta SYSTEM
Usar a Política de Grupo AvailableUpdates (Método Padrão)
Observação
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Usar o WinCS method.\Deploy-OrchestratorTask.ps1
Observação
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSRequisitos da conta de serviço
- Administração de Domínio (para New-GPO, New-ADGroup, Add-ADGroupMember)
- Acesso de leitura ao compartilhamento de arquivo JSON
- Acesso de gravação a ReportBasePath
voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"
Get-SecureBootRolloutStatus.ps1
Finalidade: Exiba o progresso da implantação de qualquer estação de trabalho.
O que ele mostra
- Estado da tarefa agendada (Em execução/Pronto/Parado)
- Número da onda atual
- Dispositivos direcionados versus atualizados
- Barra de progresso visual
- Resumo dos buckets bloqueados
- Link para o mais recente HTML dashboard
Utilização
Observação
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Observação
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Observação
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedObservação
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesObservação
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogObservação
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardParâmetros
Parâmetro Obrigatório? Padrão Descrição ReportBasePath Obrigatório — Caminho local para relatórios e arquivos de estado ShowLog Opcional Falsa Exibir entradas de log recentes do Orchestrator ShowBlocked Opcional Falsa Exibir detalhes de buckets bloqueados Mostrar Ondas Opcional Falsa Exibir histórico de ondas Assistir Opcional 0 (desabilitado) Intervalo de atualização automática em segundos. Exemplo: -Watch 30 atualiza a cada 30 segundos. OpenDashboard Opcional Falsa Abra o último HTML dashboard no navegador padrão Saída de exemplo
Observação
==============================================================
STATUS DA DISTRIBUIÇÃO DA INICIALIZAÇÃO SEGURA
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Status: InProgress
Onda atual: 5
Total alvejado: 1250
Total de Atualizações: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Executar com -ShowBlocked para obter detalhesLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"
Etapas de implantação do E2E (Guia de Referência Rápida)
Nesta seção
Fase 1: Infraestrutura de detecção
Etapa 1: Criar Compartilhamento de Coleção
Observação
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Administradores do Domínio" -ChangeAccess "Computadores do Domínio"Observação
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclEtapa 2: Implantar GPO de Detecção
Observação
.\Deploy-GPO-SecureBootCollection.ps1 `
-DomainName "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Etapa 3: aguarde o relatório dos endpoints (24 a 48 horas)
Observação
Verificar o progresso da coleta
(Get-ChildItem "\\server\SecureBootData$" -filter "*.json"). Contagem
voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"
Fase 2: distribuição orquestrada
Etapa 4: Verificação de pré-requisitos
- GPO de detecção implantado (Etapa 2)
- Pelo menos 50+ pontos de extremidade relatando JSON
- Conta de serviço com direitos de Administração de Domínio
- Servidor de gerenciamento com o PowerShell 5.1+
Etapa 5: Implantar o Orchestrator como tarefa agendada
Observação
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Etapa 6: monitorar o progresso
Observação
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Etapa 7: exibir o painel
Observação
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardEtapa 8: Gerenciar buckets bloqueados
Observação
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsObservação
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Fabricante|Modelo|BIOS"Etapa 9: Verificar a conclusão
Observação
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"O status deve mostrar "Concluído"
voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"
State Files
O orquestrador mantém o estado em ReportBasePath\RolloutState\:
| Arquivo | Descrição |
|---|---|
| RolloutState.json | Histórico de ondas, dispositivos de destino, status |
| BlockedBuckets.json | Buckets que precisam de investigação |
| DeviceHistory.json | Rastreamento de dispositivo por nome de host |
| Orchestrator_YYYYMMDD.log | Registros de atividades diárias |
voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"
Solução de problemas
Nesta seção
O Orchestrator não está progredindo
Verificar tarefa agendada
Observação
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Verificar logs
Observação
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Verificar a atualização de dados JSON
Observação
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
voltar para "Solução de problemas"
Buckets bloqueados
Lista bloqueada.
Observação
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsInvestigue a acessibilidade do dispositivo.
Verifique se há problemas de firmware.
Desbloquear após investigação.
voltar para "Solução de problemas"
GPO não está se aplicando
Verifique se o GPO existe.
Observação
Get-GPO -Name "SecureBoot-Rollout-Wave*"Verifique a filtragem de segurança.
Observação
Get-GPPermission -Name "GPO-Name" -AllVerifique se o computador está no grupo de segurança.
Aplicar o GPO no destino.
Observação
gpupdate /force
voltar para "Solução de problemas"
Log de mudanças
| Data da alteração | Alterar descrição |
|---|---|
| 12 de maio de 2026 | Anteriormente, cada arquivo de script de exemplo era publicado como artigos individuais dos quais você copiava e colava o script. A partir das atualizações do Windows lançadas em 12 de maio de 2026, os scripts de exemplo estão localizados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo. |