Exemplo de Guia de Automação E2E para Inicialização Segura

Aplica-se a
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Observação

Data de publicação original: 16 de março de 2026
Última data de atualização: 12 de maio de 2026
ID da base de dados: 5084567

Neste artigo

Visão geral

Este guia descreve o sistema de implantação automatizada para atualizações de certificado do Banco de Dados de Inicialização Segura do Windows usando a Política de Grupo e ondas de distribuição progressiva.

A Automação de Distribuição de Certificado de Inicialização Segura é um sistema baseado em PowerShell que implanta atualizações de certificado do Banco de Dados de Inicialização Segura do Windows em computadores ingressados no domínio de maneira graduada e controlada.

voltar ao início

Principais Recursos

Recurso Descrição
Distribuição Gradual > 1 2 > 4 > 8... Dispositivos por bucket
Bloqueio automático Os buckets com dispositivos inacessíveis são excluídos
Implantação automatizada de GPO O script de orquestrador único lida com tudo
Execução de tarefas agendadas Não são necessários prompts interativos
Monitoramento em tempo real Visualizador de status com barra de progresso

voltar ao início

Referência de configurações de Atualizações de Certificado

Nesta seção

AvailableUpdatesPolicy Política de grupo

Local do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Nome Política de Atualizações Disponíveis
Valor 0x5944 (DWORD)

Esta é a chave controlada por GPO/ADMX que:

  • Persiste entre reinicializações
  • É definido pela Política de Grupo / MDM
  • Não causa loops de repetição (limpo por meio de ClearRolloutFlags)
  • É a chave correta para a implantação controlada por política

Referência: método de Objetos de Política de Grupo (GPO) de Inicialização Segura para dispositivos Windows com atualizações gerenciadas por TI

voltar para "Referência de configurações de Atualizações de certificado"

WinCSFlags - Sinalizadores do Sistema de Configuração do Windows

Como alternativa, os administradores de domínio podem usar o Sistema de Configuração do Windows (WinCS) lançado com as atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura em clientes e servidores Windows ingressados no domínio. Ele consiste em um utilitário de interface de linha de comando (CLI) para consultar e aplicar configurações de Inicialização Segura localmente a um computador.

Nome do recurso Chave WinCS Descrição
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Habilitar essa chave permite a instalação dos seguintes certificados de Inicialização Segura fornecidos pela Microsoft em seu dispositivo.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Referência: APIs do Sistema de Configuração do Windows (WinCS) para Inicialização Segura

voltar para "Referência de configurações de Atualizações de certificado"

voltar ao início

Arquitetura

Fluxo de trabalho da arquitetura

voltar ao início

Fase 1: Detecção e Monitoramento de Status no Nível Empresarial

Nesta seção

Scripts necessários para a Fase 1

Scripts de coleta de dados do Inventário de Inicialização Segura de exemplo

Observação

IMPORTANTE Os artigos a seguir contendo os scripts de amostra foram desativados. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, os scripts de exemplo poderão ser encontrados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.

Nome do script de exemplo Finalidade Funciona em
Exemplo de script Detect-SecureBootCertUpdateStatus.ps1 Coleta dados de status do dispositivo Cada ponto de extremidade (via GPO)
Exemplo de script Aggregate-SecureBootData.ps1 Gera relatórios e dashboards Administração estação de trabalho
Exemplo de script Deploy-GPO-SecureBootCollection.ps1 Automatiza a criação de GPO para coleta de dados Controlador de domínio
Exemplo de saída dos scripts da Fase 1 acima

Painel de Status do Certificado de Inicialização Segura

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

Teste local

Antes de implantar por meio do GPO, teste o script de coleta em um único computador para verificar a funcionalidade.

  • Executar script de coleção localmente

    Abra um prompt do PowerShell com privilégios elevados e execute:

    Observação

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Verificar a saída JSON

    Observação

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Campos-chave a serem verificados  
    SecureBootEnabled – Deve ser True ou False
    OverallStatus – Complete, ReadyForUpdate, NeedsData ou Error
    BucketHash – Bucket do dispositivo para correspondência de dados de confiança
    SecureBootTaskEnabled - Mostra o status da tarefa de atualização da Inicialização Segura.

  • Script de agregação de teste

    Observação

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Abrir o dashboard HTML

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

Configuração do compartilhamento de rede

  • Criar o compartilhamento de rede

    No servidor de arquivos, crie um compartilhamento dedicado para os dados da coleção:

    Observação

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Criar pasta

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Criar compartilhamento oculto (o sufixo $ se esconde da lista de navegação)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Description "Secure Boot Certificate Status Collection" '
        -FullAccess "Administradores de Domínio" '
        -ChangeAccess "Computadores do Domínio"

  • Configurar permissões NTFS

    Observação

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Permitir que Usuários Autenticados gravem arquivos

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Computadores do Domínio" e
    "Modificar",
        "ContainerInherit,ObjectInherit",
        "Nenhuma",
        "Permitir"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Conceder aos administradores de domínio controle total (para agregação)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Administradores de Domínio",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Nenhuma",
        "Permitir"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Aplicar permissões

    Set-Acl -Path $SharePath -AclObject $Acl

  • Verificar Acesso ao Compartilhamento

    Observação

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Deve retornar: True

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

Implantação do GPO

Use o script de automação fornecido por um controlador de domínio:

Observação

Executar no Controlador de Domínio como Administração de Domínio para a seção de UO interativa – Recomendado

Substitua o "Contoso.com", "Contoso" pelo nome do domínio

Substitua FILESERVER pelo nome do servidor de arquivos.  O script mostra a lista de UOs nas quais implantar o GPO

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Agendar "Diariamente" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Este script executará o seguinte:

  • Cria um novo GPO com o nome especificado
  • Copia o script da coleção para SYSVOL para alta disponibilidade
  • Configura o script de inicialização do computador
  • Vincula o GPO à UO de destino
  • Opcionalmente cria uma tarefa agendada para coleta periódica

A tabela a seguir fornece orientação sobre quanto tempo o atraso será baseado no tamanho da sua frota.

Tamanho da frota Intervalo de atraso
1 a 10 mil dispositivos 4 horas
10 mil – 50 mil dispositivos 8 horas
50K+ dispositivos 12-24 horas

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

Resumo das Configurações do GPO

Configuração Local Valor
Script de inicialização Scripts de → de Configuração do Computador Detect-SecureBootCertUpdateStatus.ps1
Parâmetros de script (mesmo) -OutputPath "\\server\share$"
Política de execução Modelos de → Administração de Configuração do Computador → PowerShell Permitir assinatura local e remota
Tarefas Agendadas Configurações do Computador → Preferências → Tarefas Agendadas Coleta diária/semanal

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

Verificação

  • Forçar atualização do GPO na máquina de testee

    Observação

    ## On a test workstation 
    gpupdate /force
     

    Reinicialize os computadores clientes para o script de inicialização ou ele será disparado na próxima agenda.

    Restart-Computer -Force

  • Verificar a coleta de dados

    Observação

    Verifique se os dados foram coletados (no servidor de arquivos ou de qualquer computador)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Descending |
        Select-Object -Primeiros 10
     

    Verificar o conteúdo JSON

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Verificar aplicativo GPO

    Observação

    Verificar se o GPO está aplicado ao computador

    Select-String "SecureBoot"
    O script também salva uma cópia local para redundância:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

voltar para "Fase 1: Detecção e Monitoramento de Status em Nível Empresarial"

voltar ao início

Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura

Importante

Certifique-se de que a Fase 1 seja concluída, incluindo a coleta de dados em cada ponto final para compartilhamentos de servidor remoto.

Nesta seção

Scripts necessários para a Fase 2

Scripts de coleta de dados do Inventário de Inicialização Segura de exemplo

Observação

IMPORTANTE Os artigos a seguir contendo os scripts de amostra foram desativados. Se você instalou uma atualização do Windows lançada em ou após 12 de maio de 2026, os scripts de exemplo poderão ser encontrados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.

Nome do script de exemplo Finalidade Funciona em:
Exemplo de script Detect-SecureBootCertUpdateStatus.ps1 Coleta dados de status do dispositivo Cada ponto de extremidade (via GPO)
Exemplo de script Aggregate-SecureBootData.ps1 Gera relatórios e dashboards Administração estação de trabalho
Exemplo de script Deploy-GPO-SecureBootCollection.ps1 Automatiza a criação de GPO para coleta de dados Controlador de domínio
Exemplo de script Start-SecureBootRolloutOrchestrator.ps1 Orquestração contínua totalmente automatizada com implantação automatizada de GPO para instalação de certificado Administração estação de trabalho
Exemplo de script Deploy-OrchestratorTask.ps1 Implanta o script do Orchestrator como tarefa agendada para distribuição automatizada Controlador de domínio
Exemplo de script Get-SecureBootRolloutStatus.ps1 Exibir o certificado de Inicialização Segura Implantar o status de qualquer estação de trabalho Estação de Trabalho de Administração
Exemplo de script Enable-SecureBootUpdateTask.ps1 Habilita a tarefa de atualização da Inicialização Segura Nos pontos de extremidade em que a tarefa está desabilitada (Executar somente uma vez para habilitar a tarefa se estiver desativada)

voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"

Start-SecureBootRolloutOrchestrator.ps1

  • Finalidade: Orquestração contínua e totalmente automatizada com implantação automatizada de GPO.

  • Função

    • Chamadas Aggregate-SecureBootData.ps1 para status do dispositivo

    • Gera ondas de implantação usando duplicação progressiva

    • Cria o GPO para implantação de certificado usando um dos seguintes métodos

      • Inicialização segura Política de Grupo AvailableUpdatesPolicy = 0x5944 (Padrão)
      • Método WinCS (parâmetro –UseWinCS)
    • Cria grupos de segurança do AD para segmentação

    • Adiciona contas de computador a grupos de segurança

    • Configura a filtragem de segurança GPO

    • Vincula o GPO à UO de destino

    • Monitores de buckets bloqueados (dispositivos inacessíveis)

    • Desbloqueia automaticamente quando os dispositivos se recuperam

  • Utilização

    Observação

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Observação

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Comandos de Administração

    Observação

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Observação

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Latitude5520|BIOS1.2"

    Observação

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parâmetros

    Parâmetro Padrão Descrição
    AggregationInputPath Obrigatório Caminho UNC para arquivos JSON de ponto de extremidade
    ReportBasePath Obrigatório Caminho local para relatórios e estado
    TargetOU Raiz de domínio UO para vincular GPOs
    Prefixo de onda SecureBoot-Rollout Prefixo de nomenclatura de GPO/grupo
    MaxWaitHours 72 Horas antes de verificar a acessibilidade do dispositivo
    PollIntervalMinutes 1440 Minutos entre as verificações de status
    DryRun Falsa Mostrar o que aconteceria sem alterações

    Observação

    Observação sobre PollIntervalMinutes: Ao executar o orchestrator diretamente, o padrão é de 1440 minutos (24 horas). Quando implantado por meio do Deploy-OrchestratorTask.ps1, o padrão é de 30 minutos. O script de implantação passa seu próprio padrão para o orquestrador. Use 30 minutos para distribuição ativa e 1440 para monitoramento de manutenção.

    Parâmetros opcionais

    Parâmetro Padrão Descrição
    UseWinCS Falsa Use o método WinCS em vez do GPO AvailableUpdatesPolicy
    WinCSKey F33E0C8E002 Chave WinCS para configuração de Inicialização Segura
    AllowListPath (nenhuma) Caminho para o arquivo com nomes de host para PERMITIR a distribuição direcionada/piloto. Suporta .txt ou .csv.
    AllowADGroup (nenhuma) AD de segurança de contas de computador para PERMITIR. Exemplo: "SecureBoot-Pilot-Computers"
    ExclusionListPath (nenhuma) Caminho para o arquivo com nomes de host a serem EXCLUÍDOS da distribuição (dispositivos VIP/executivos)
    ExcludeADGroup (nenhuma) Grupo de segurança do AD de contas de computador a serem excluídas. Exemplo: "VIP-Computers"
    ListBlockedBuckets Falsa Exibir buckets de dispositivos bloqueados no momento
    Desbloqueie o Bucket (nenhuma) Desbloquear um bucket específico. Formato: "Fabricante|Modelo|BIOS"
    Desbloquear Tudo Falsa Desbloquear todos os buckets de dispositivos bloqueados

voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"

Deploy-OrchestratorTask.ps1

  • Finalidade: Implanta o orquestrador como uma tarefa agendada do Windows.

  • Benefícios

    • Nenhum prompt de segurança do PowerShell (ExecutionPolicy Bypass)
    • É executado em segundo plano continuamente
    • Não é necessária a interação do usuário
    • Sobrevive a reinicializações
  • Utilização

    • Implantar com a conta de serviço de domínio (recomendado)

      • Usar a Política de Grupo AvailableUpdates (Método Padrão)

        Observação

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Usar o método WinCS

        Observação

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Implantar com conta SYSTEM

      • Usar a Política de Grupo AvailableUpdates (Método Padrão)

        Observação

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Usar o WinCS method.\Deploy-OrchestratorTask.ps1

        Observação

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Requisitos da conta de serviço

        • Administração de Domínio (para New-GPO, New-ADGroup, Add-ADGroupMember)
        • Acesso de leitura ao compartilhamento de arquivo JSON
        • Acesso de gravação a ReportBasePath

voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"

Get-SecureBootRolloutStatus.ps1

  • Finalidade: Exiba o progresso da implantação de qualquer estação de trabalho.

  • O que ele mostra

    • Estado da tarefa agendada (Em execução/Pronto/Parado)
    • Número da onda atual
    • Dispositivos direcionados versus atualizados
    • Barra de progresso visual
    • Resumo dos buckets bloqueados
    • Link para o mais recente HTML dashboard
  • Utilização

    Observação

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Observação

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Observação

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Observação

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Observação

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Observação

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parâmetros

    Parâmetro Obrigatório? Padrão Descrição
    ReportBasePath Obrigatório Caminho local para relatórios e arquivos de estado
    ShowLog Opcional Falsa Exibir entradas de log recentes do Orchestrator
    ShowBlocked Opcional Falsa Exibir detalhes de buckets bloqueados
    Mostrar Ondas Opcional Falsa Exibir histórico de ondas
    Assistir Opcional 0 (desabilitado) Intervalo de atualização automática em segundos. Exemplo: -Watch 30 atualiza a cada 30 segundos.
    OpenDashboard Opcional Falsa Abra o último HTML dashboard no navegador padrão
  • Saída de exemplo

    Observação

    • ==============================================================
         STATUS DA DISTRIBUIÇÃO DA INICIALIZAÇÃO SEGURA
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Status: InProgress
    Onda atual: 5
    Total alvejado: 1250
    Total de Atualizações: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Executar com -ShowBlocked para obter detalhes
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

voltar para "Fase 2: Scripts de orquestração de atualização de certificado de inicialização segura"

voltar ao início

Etapas de implantação do E2E (Guia de Referência Rápida)

Nesta seção

Fase 1: Infraestrutura de detecção

  • Etapa 1: Criar Compartilhamento de Coleção

    Observação

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Administradores do Domínio" -ChangeAccess "Computadores do Domínio"

    Observação

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Etapa 2: Implantar GPO de Detecção

    Observação

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Etapa 3: aguarde o relatório dos endpoints (24 a 48 horas)

    Observação

    Verificar o progresso da coleta

    (Get-ChildItem "\\server\SecureBootData$" -filter "*.json"). Contagem

voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"

Fase 2: distribuição orquestrada

  • Etapa 4: Verificação de pré-requisitos

    • GPO de detecção implantado (Etapa 2)
    • Pelo menos 50+ pontos de extremidade relatando JSON
    • Conta de serviço com direitos de Administração de Domínio
    • Servidor de gerenciamento com o PowerShell 5.1+
  • Etapa 5: Implantar o Orchestrator como tarefa agendada

    Observação

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Etapa 6: monitorar o progresso

    Observação

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Etapa 7: exibir o painel

    Observação

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Etapa 8: Gerenciar buckets bloqueados

    Observação

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Observação

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Fabricante|Modelo|BIOS"

  • Etapa 9: Verificar a conclusão

    Observação

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    O status deve mostrar "Concluído"

voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"

State Files

O orquestrador mantém o estado em ReportBasePath\RolloutState\:

Arquivo Descrição
RolloutState.json Histórico de ondas, dispositivos de destino, status
BlockedBuckets.json Buckets que precisam de investigação
DeviceHistory.json Rastreamento de dispositivo por nome de host
Orchestrator_YYYYMMDD.log Registros de atividades diárias

voltar para "Etapas de implantação E2E (Guia de Referência Rápida)"

voltar ao início

Solução de problemas

Nesta seção

O Orchestrator não está progredindo

  1. Verificar tarefa agendada

    Observação

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Verificar logs

    Observação

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Verificar a atualização de dados JSON

    Observação

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

voltar para "Solução de problemas"

Buckets bloqueados

  1. Lista bloqueada.

    Observação

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Investigue a acessibilidade do dispositivo.

  3. Verifique se há problemas de firmware.

  4. Desbloquear após investigação.

voltar para "Solução de problemas"

GPO não está se aplicando

  1. Verifique se o GPO existe.

    Observação

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Verifique a filtragem de segurança.

    Observação

    Get-GPPermission -Name "GPO-Name" -All

  3. Verifique se o computador está no grupo de segurança.

  4. Aplicar o GPO no destino.

    Observação

    gpupdate /force

voltar para "Solução de problemas"

voltar ao início

Log de mudanças

Data da alteração Alterar descrição
12 de maio de 2026 Anteriormente, cada arquivo de script de exemplo era publicado como artigos individuais dos quais você copiava e colava o script. A partir das atualizações do Windows lançadas em 12 de maio de 2026, os scripts de exemplo estão localizados na pasta %systemroot%\SecureBoot\ExampleRolloutScripts em seu dispositivo.