Örnek Güvenli Önyükleme Uçtan Uca Otomasyon Kılavuzu

Uygulandığı Öğe
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Not

Orijinal yayınlama tarihi: 16 Nisan 2026
Son güncelleştirme tarihi: Mayıs 12, 2026
KB Kimliği: 5084567

Bu makalede

Genel bakış

Bu kılavuzda, Windows Güvenli Önyükleme DB sertifika güncelleştirmeleri için otomatik dağıtım sistemi, Grup İlkesigrup ilkesi ve aşamalı dağıtım dalgaları kullanılmaktadır.

Güvenli Önyükleme Sertifikası Dağıtım Otomasyonu, etki alanına katılmış makinelere Windows Güvenli Önyükleme DB sertifika güncelleştirmelerini denetimli ve kademeli bir şekilde dağıtan PowerShell tabanlı bir sistemdir.

başa dön

Önemli Özellikler

Özellik Açıklama
Kademeli Dağıtım > 1 2 > 4 > 8... Kutu başına cihaz sayısı
Otomatik Engelleme Ulaşılamayan cihazlara sahip kutular hariç tutulur
Otomatik GPO Dağıtımı Tek bir düzenleyici betiği her şeyi işler
Zamanlanmış Görev Yürütme Etkileşimli istemler gerekmez
Gerçek Zamanlı İzleme İlerleme çubuğuyla durum görüntüleyicisi

başa dön

Certificate UpdatesGüncelleştirmeler Settings Reference

Bu bölümde

AvailableUpdatesPolicy Grup ilkesi

Kayıt defteri konumu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Ad AvailableUpdatesPolicy
Değer 0x5944 (DWORD)

Bu, şu özelliklere sahip GPO/ADMX denetimli anahtardır:

  • Yeniden başlatmalar boyunca devam eder
  • Tarafından belirlenir Grup İlkesigrup ilkesi / MDM
  • Yeniden deneme döngülerine neden olmaz (ClearRolloutFlags aracılığıyla temizlenir)
  • İlke tabanlı dağıtım için doğru anahtardır.

Reference: Grup İlkesigrup ilkesi Objects (GPO) method for Windows devices with IT managed updates

back to "Certificate UpdatesGüncelleştirmeler Settings Reference"

WinCSFlags - Windows Yapılandırma Sistemi Bayrakları

Etki alanı yöneticileri alternatif olarak, etki alanına katılmış Windows istemcileri ve sunucuları arasında Güvenli Önyükleme güncelleştirmelerini dağıtmak için Windows İşletim Sistemi güncelleştirmeleriyle yayımlanan Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir komut satırı arabirimi (CLI) yardımcı programından oluşur.

Özellik adı WinCS Anahtarı Açıklama
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Bu anahtarın etkinleştirilmesi, cihazınıza Microsoft tarafından sağlanan aşağıdaki Güvenli Önyükleme sertifikalarının yüklenmesini sağlar.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Başvuru: Güvenli Önyükleme için Windows Yapılandırma Sistemi (WinCS) API'leri

back to "Certificate UpdatesGüncelleştirmeler Settings Reference"

başa dön

Mimari

Mimari iş akışı

başa dön

Aşama 1: Kurumsal düzeyde Algılama ve Durum İzleme

Bu bölümde

1. Aşama için gereken betikler

Örnek Güvenli Önyükleme Envanteri Veri Toplama betikleri

Not

ÖNEMLİ Örnek betikleri içeren aşağıdaki makaleler kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.

Örnek Komut Dosyası Adı Amaç Şu sürümlerde çalışır:
Örnek Detect-SecureBootCertUpdateStatus.ps1 betiği Cihaz durumu verilerini toplar Her uç nokta (GPO aracılığıyla)
Örnek Aggregate-SecureBootData.ps1 betiği Raporlar ve panolar oluşturur AdminYönetici workstation
Örnek Deploy-GPO-SecureBootCollection.ps1 betiği Veri toplama için GPO oluşturmayı otomatikleştirir Etki Alanı Denetleyicisi
Yukarıdaki Aşama 1 betiklerinden Örnek Çıkış

Güvenli Önyükleme Sertifikası Durum Panosu

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

Yerel Testler

GPO aracılığıyla dağıtmadan önce, işlevselliği doğrulamak için koleksiyon betiğini tek bir makinede test edin.

  • Koleksiyon betiğini yerel olarak çalıştırma

    Yükseltilmiş PowerShell istemini açın ve aşağıdaki komutları yürütün:

    Not

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • JSON Çıkışını Doğrulama

    Not

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Doğrulanması gereken önemli alanlar  
    SecureBootEnabled – Doğru veya Yanlış Olmalıdır
    OverallStatus – Complete, ReadyForUpdate, NeedsData veya Error
    BucketHash – Güvenilirlik verileri eşleştirmesi için cihaz demeti
    SecureBootTaskEnabled - Güvenli Önyükleme Güncelleme Görevinin durumunu gösterir.

  • Test Toplama Betiği

    Not

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    HTML panosunu açma

    "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html" Start-Process

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

Ağ Paylaşımı Kurulumu

  • Ağ Paylaşımı oluşturma

    Dosya sunucunuzda, koleksiyon verileri için ayrılmış bir paylaşım oluşturun:

    Not

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Klasör oluşturma

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Gizli paylaşım oluştur ($ eki, göz atma listesinden gizlenir)

    New-SmbShare -Ad $ShareName -Yol $SharePath '
        -Açıklama "Güvenli Önyükleme Sertifikası Durum Koleksiyonu" '
        -FullAccess "Etki Alanı Yöneticileri" '
        -ChangeAccess "Etki Alanı Bilgisayarları"

  • NTFS izinlerini yapılandırma

    Not

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Kimliği Doğrulanmış Kullanıcıların dosya yazmasına izin ver

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Etki Alanı Bilgisayarları" ve
    "Değiştir",
        "ContainerInherit,ObjectInherit",
        "Yok",
        "İzin ver"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Domain Admins'e tam denetim izni verme (toplama için)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Etki Alanı Yöneticileri",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Yok",
        "İzin ver"
    )
    $Acl.AddAccessRule($AdminRule)
     

    İzinleri uygulama

    Set-Acl -Path $SharePath -AclObject $Acl

  • Paylaşım Erişimini Doğrulayın

    Not

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Döndürmeli: True

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

GPO Dağıtımı

Etki alanı denetleyicisinden sağlanan otomasyon betiğini kullanın:

Not

Run on Domain Controller as Domain AdminYönetici for interactive OU Section – Recommended

"Contoso.com", "Contoso" yerine etki alanı adını yazın

FILESERVER değerini dosya sunucusu adıyla değiştirin.  Betik, GPO'nun dağıtılacağı OU listesini gösterir

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -"Günlük" Planla '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Bu komut dosyası aşağıdakileri gerçekleştirir:

  • Belirtilen adla yeni GPO oluşturur
  • Yüksek kullanılabilirlik için koleksiyon betiğini SYSVOL'a kopyalar
  • Bilgisayar başlatma komut dosyasını yapılandırır
  • GPO'yu hedef OU'ya bağlar
  • İsteğe bağlı olarak, düzenli toplama için zamanlanmış görev oluşturur

Aşağıdaki tablo, filo boyutunuza bağlı olarak gecikmenin ne kadar süreceği konusunda rehberlik sağlar.

Filo büyüklüğü Gecikme aralığı
1-10K cihazlar 4 saat
10K-50K cihazlar 8 saat
50K+ cihaz 12-24 saat

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

GPO Ayarları Özeti

Ayar Konum Değer
Başlangıç Komut Dosyası Bilgisayar Yapılandırma → Komut Dosyaları Detect-SecureBootCertUpdateStatus.ps1
Komut Dosyası Parametreleri (aynı) -OutputPath "\\server\share$"
Yürütme İlkesi Bilgisayar Yapılandırması → Yönetici Şablonları → PowerShell Yerel ve uzaktan imzalamaya izin ver
Zamanlanmış Görev Bilgisayar Yapılandırması → Tercihler → Zamanlanmış Görevler Günlük/Haftalık koleksiyon

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

Doğrulama

  • Test Machin e'de GPO Güncelleştirmesini Zorla

    Not

    ## On a test workstation 
    gpupdate /force
     

    Başlangıç komut dosyası için istemci makineleri yeniden başlatın, aksi takdirde komut dosyası bir sonraki zamanlamada tetiklenir.

    Restart-Computer -Kuvvet

  • Veri Toplamayı Doğrulama

    Not

    Verilerin toplanıp toplanmadığını kontrol etme (dosya sunucusundan veya herhangi bir makineden)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Azalan |
        Select-Object -İlk 10
     

    JSON içeriğini doğrulama

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • GPO Uygulamasını Denetle

    Not

    GPO'nun bilgisayara uygulandığını doğrulama

    "SecureBoot" Select-String
    Betik ayrıca yedeklilik için yerel bir kopya kaydeder:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

"Aşama 1: Kurumsal Düzeyde Algılama ve Durum İzleme" konusuna geri dön

başa dön

Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirmesi Düzenleme Betikleri

Önemli

Uzak sunucu paylaşımlarına her uç noktada veri toplama da dahil olmak üzere Aşama1'in tamamlandığından emin olun.

Bu bölümde

2. Aşama için gereken betikler

Örnek Güvenli Önyükleme Envanteri Veri Toplama betikleri

Not

ÖNEMLİ Örnek betikleri içeren aşağıdaki makaleler kullanımdan kaldırılmıştır. 12 Mayıs 2026 veya sonrasında yayımlanan bir Windows güncelleştirmesini yüklediyseniz örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunabilir.

Örnek komut dosyası adı Amaç Çalıştığı cihazlar
Örnek Detect-SecureBootCertUpdateStatus.ps1 betiği Cihaz durumu verilerini toplar Her uç nokta (GPO aracılığıyla)
Örnek Aggregate-SecureBootData.ps1 betiği Raporlar ve panolar oluşturur AdminYönetici workstation
Örnek Deploy-GPO-SecureBootCollection.ps1 betiği Veri toplama için GPO oluşturmayı otomatikleştirir Etki Alanı Denetleyicisi
Örnek Start-SecureBootRolloutOrchestrator.ps1 betiği Sertifika kurulumu için otomatik GPO dağıtımı ile tam otomatik, sürekli düzenleme AdminYönetici workstation
Örnek Deploy-OrchestratorTask.ps1 betiği Otomatik dağıtım için zamanlanmış görev olarak Orchestrator betiğini dağıtır Etki Alanı Denetleyicisi
Örnek Get-SecureBootRolloutStatus.ps1 betiği Güvenli Önyükleme Sertifikası'nın durumunu herhangi bir iş istasyonundan görüntüleyin AdminYönetici Workstation
Örnek Enable-SecureBootUpdateTask.ps1 betiği Güvenli Önyükleme Güncelleme Görevini etkinleştirir Görevin devre dışı bırakıldığı Uç noktalarda (Devre dışı bırakılmışsa, görevi etkinleştirmek için yalnızca bir kez çalıştırın)

"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün

Start-SecureBootRolloutOrchestrator.ps1

  • Amaç: Otomatik GPO dağıtımı ile tam otomatik, sürekli orkestrasyon.

  • İşlevi

    • Cihaz durumunu arama Aggregate-SecureBootData.ps1

    • Aşamalı ikiye katlamayı kullanarak dağıtım dalgaları oluşturur

    • Aşağıdaki yöntemlerden birini kullanarak sertifika dağıtımı için GPO oluşturur

      • Güvenli önyükleme Grup ilkesi AvailableUpdatesPolicy = 0x5944 (Varsayılan)
      • WinCS yöntemi (Parametre –UseWinCS)
    • Hedefleme için AD güvenlik grupları oluşturur

    • Güvenlik gruplarına bilgisayar hesapları ekler

    • GPO güvenlik filtrelemesini yapılandırır

    • GPO'yu hedef OU'ya bağlar

    • Engellenen kutular (ulaşılamayan cihazlar) için monitörler

    • Cihazlar kurtarıldığında otomatik engellemeleri kaldırma

  • Kullanım Şekli

    Not

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Not

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -WinCS'yi kullanın

  • AdminYönetici komutları

    Not

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Not

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Enlem5520|BIOS1.2"

    Not

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Parametreler

    Parametre Varsayılan Açıklama
    AggregationInputPath Gerekli Uç nokta JSON dosyalarının UNC yolu
    RaporTemelYolu Gerekli Raporların ve eyaletin yerel yolu
    Hedef OU Etki alanı kökü GPO'ları bağlamak için OU
    WavePrefix (Dalga Öneki) SecureBoot-Rollout GPO/grup adlandırma öneki
    MaxBekleme Saati 72 Cihaz erişilebilirliğini kontrol etmeden saatler önce
    Anket Aralığı Dakikaları 1440 Durum denetimleri arasındaki dakika sayısı
    DryRun (Kuru Koşu) Yanlış Değişiklikler olmasaydı neler olacağını gösterme

    Not

    PollIntervalMinutes hakkında not: Düzenleyici doğrudan çalıştırıldığında varsayılan süre 1440 dakikadır (24 saat). Deploy-OrchestratorTask.ps1 aracılığıyla dağıtıldığında varsayılan süre 30 dakikadır. Dağıtım betiği, düzenleyiciye kendi varsayılanını geçirir. Etkin dağıtım için 30 dakika, bakım izleme için 1440 dakika kullanın.

    İsteğe Bağlı Parametreler

    Parametre Varsayılan Açıklama
    UseWinCS Yanlış AvailableUpdatesPolicy GPO yerine WinCS yöntemini kullanma
    WinCSKey F33E0C8E002 Güvenli Önyükleme yapılandırması için WinCS anahtarı
    AllowListPath (yok) Hedeflenen/pilot dağıtım için İZİN VERİLECEK ana bilgisayar adlarına sahip dosyanın yolu. .txt veya .csv destekler.
    AllowADGroup (yok) İZİN VERİLECEK bilgisayar hesaplarının AD güvenlik grubu. Örnek: "SecureBoot-Pilot-Computers"
    Dışlama ListesiYolu (yok) Dağıtımdan HARİÇ TUTULACAK ana bilgisayar adlarına sahip dosyanın yolu (VIP/yönetici cihazları)
    ExcludeADGroup (yok) Dışlanacak bilgisayar hesaplarının AD güvenlik grubu. Örnek: "VIP Bilgisayarlar"
    ListBlockedBuckets Yanlış Şu anda engellenen cihaz demetlerini görüntüle
    Engellemeyi Kaldır (yok) Belirli bir demetin engellemesini kaldırın. Biçim: "Üretici|Modeli|BIOS" olarak adlandırılır.
    Tümünün Engellemesini Kaldır Yanlış Engellenen tüm cihaz demetlerinin engellemesini kaldır

"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün

Deploy-OrchestratorTask.ps1

  • Amaç: Düzenleyiciyi Windows Zamanlanmış Görevi olarak dağıtır.

  • Avantajlar

    • PowerShell güvenlik istemi yok (ExecutionPolicy Bypass)
    • Arka planda sürekli çalışır
    • Kullanıcı etkileşimi gerekmez
    • Yeniden başlatmalardan kurtulur
  • Kullanım Şekli

    • Etki alanı hizmet hesabıyla dağıtma (önerilen)

      • Use AvailableUpdates Grup İlkesigrup ilkesi (Varsayılan Yöntem)

        Not

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • WinCS yöntemini kullanma

        Not

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • SYSTEM hesabıyla dağıtma

      • Use AvailableUpdates Grup İlkesigrup ilkesi (Varsayılan Yöntem)

        Not

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • WinCS method.\Deploy-OrchestratorTask.ps1kullanma

        Not

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Hizmet Hesabı Gereksinimleri

        • Domain AdminYönetici (for New-GPO, New-ADGroup, Add-ADGroupMember)
        • JSON dosya paylaşımına okuma erişimi
        • ReportBasePath'e yazma erişimi

"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün

Get-SecureBootRolloutStatus.ps1

  • Amaç: Herhangi bir iş istasyonundan dağıtım ilerlemesini görüntüleyin.

  • Gösterilen

    • Zamanlanmış görev durumu (Çalışıyor/Hazır/Durduruldu)
    • Geçerli dalga numarası
    • Hedeflenen ve güncelleştirilen cihazlar
    • Görsel ilerleme çubuğu
    • Engellenen demetler özeti
    • En son HTML panosuna bağlantı
  • Kullanım Şekli

    Not

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Not

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Not

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Not

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Not

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Not

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Parametreler

    Parametre Gerekli mi? Varsayılan Açıklama
    RaporTemelYolu Gereklidir Raporların ve durum dosyalarının yerel yolu
    Gösteri Günlüğü İsteğe Bağlı Yanlış Son düzenleyici günlük girişlerini görüntüleme
    Gösteri Engellendi İsteğe Bağlı Yanlış Engellenen demetlerin ayrıntılarını görüntüleme
    Gösteri Dalgaları İsteğe Bağlı Yanlış Dalga geçmişini görüntüle
    İzle İsteğe Bağlı 0 (devre dışı) Saniye cinsinden otomatik yenileme aralığı. Örnek: -Her 30 saniyede bir 30 yenileme izleyin.
    OpenDashboard İsteğe Bağlı Yanlış Varsayılan tarayıcıda en son HTML panosunu açın
  • Örnek çıkış

    Not

    • ==============================================================
         GÜVENLI ÖNYÜKLEME DAĞITIM DURUMU
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Durum: Devam Ediyor
    Akım Dalgası: 5
    Toplam Hedeflenen: 1250
    Güncelleştirme Tarihi: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Ayrıntılar için -ShowBlocked ile çalıştırın
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

"Aşama 2: Güvenli Önyükleme Sertifikası Güncelleştirme Düzenleme Betikleri" konusuna geri dönün

başa dön

E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)

Bu bölümde

Aşama 1: Tespit Altyapısı

  • 1. Adım: Koleksiyon Paylaşımı Oluşturun

    Not

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Not

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Etki Alanı Bilgisayarları","Değiştir","İzin Ver")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Adım 2: Algılama GPO'sunu dağıtma

    Not

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=İş İstasyonları,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • 3. Adım: Uç Noktaların Raporlanmasını Bekleme (24-48 saat)

    Not

    Koleksiyon ilerlemesini denetleme

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Sayım

"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün

2. Aşama: Düzenlenmiş Dağıtım

  • 4. Adım: Önkoşullar Kontrolü

    • Dağıtılan GPO algılama (Adım 2)
    • JSON bildiren en az 50+ uç nokta
    • Service account with Domain AdminYönetici rights
    • PowerShell 5.1+ ile yönetim sunucusu
  • 5. Adım: Düzenleyiciyi Zamanlanmış Görev Olarak Dağıtma

    Not

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • 6. Adım: İlerlemeyi izleme

    Not

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • 7. Adım: Panoyu Görüntüleme

    Not

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • 8. Adım: Engellenen demetleri yönetme

    Not

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Not

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Üretici|Modeli|BIOS" olarak adlandırılır.

  • 9. Adım: Tamamlandığını doğrulayın

    Not

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Durum bilgisi "Tamamlandı" olarak gösterilmelidir

"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün

State FilesFiles

Düzenleyici, durumu ReportBasePath\RolloutState\ içinde tutar:

Dosya Açıklama
RolloutState.json Dalga geçmişi, hedeflenen cihazlar, durum
BlockedBuckets.json Araştırılması gereken kovalar
DeviceHistory.json Ana bilgisayar adına göre cihaz izleme
Orchestrator_YYYYMMDD.log Günlük etkinlik günlükleri

"E2E Dağıtım Adımları (Hızlı Başvuru Kılavuzu)" konusuna geri dönün

başa dön

Sorun Giderme

Bu bölümde

Düzenleyici ilerlemiyor

  1. Zamanlanmış görevi denetleme

    Not

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Günlükleri denetle

    Not

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. JSON verilerinin güncelliğini doğrulama

    Not

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

"Sorun Giderme" konusuna geri dön

Engellenen Demetler

  1. Liste engellendi.

    Not

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Cihaz erişilebilirliğini araştırın.

  3. Üretici yazılımı sorunlarını kontrol edin.

  4. İncelemeden sonra engeli kaldırın.

"Sorun Giderme" konusuna geri dön

GPO Uygulanmıyor

  1. GPO'nun var olduğunu doğrulayın.

    Not

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Güvenlik filtresini denetleyin.

    Not

    Get-GPPermission -Name "GPO-Name" -All

  3. Bilgisayarın güvenlik grubunda olduğunu doğrulayın.

  4. GPO'yu hedefe uygulayın.

    Not

    gpupdate /force

"Sorun Giderme" konusuna geri dön

başa dön

Değişiklik günlüğü

Tarihi değiştir Açıklamayı değiştir
Mayıs 12, 2026 Daha önce, her örnek betik dosyası, betiği kopyalayıp yapıştırdığınız ayrı makaleler olarak yayımlanıyordu. 12 Mayıs 2026 ve sonrasında yayımlanan Windows güncelleştirmelerinden itibaren örnek betikler cihazınızdaki %systemroot%\SecureBoot\ExampleRolloutScripts klasöründe bulunur.