Lưu ý
Ngày phát hành ban đầu: Ngày 16 tháng 3 năm 2026
Cập nhật ngày cuối: Ngày 12 tháng 5 năm 2026
ID KB: 5084567
Trong bài viết này
- Tổng quan
- Các tính năng chính
- Tham khảo Thiết Cập nhật Chứng chỉ
- Kiến trúc
- Giai đoạn 1: Phát hiện và Giám sát tình trạng tại Doanh nghiệp
- Giai đoạn 2: Secure Boot Certificate Update Orchestration Script
- Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)
- Khắc phục sự cố
- Nhật ký thay đổi
Tổng quan
Hướng dẫn này mô tả hệ thống triển khai tự động cho các bản cập nhật chứng chỉ Khởi động An toàn của Windows DB bằng cách sử chính sách nhóm sóng triển khai lũy tiến.
Tự động hóa Tự động phát hành Chứng chỉ Khởi động An toàn là một hệ thống dựa trên PowerShell triển khai các bản cập nhật chứng chỉ Windows Secure Boot DB cho các máy tham gia miền theo cách thức được kiểm soát tốt hơn.
Các tính năng chính
| Tính năng | Mô tả |
|---|---|
| Triển khai Tốt nghiệp | 1 > 2 > 4 > 8... thiết bị cho mỗi bộ chứa |
| Tự động Chặn | Bộ chứa có thiết bị không truy cập được loại trừ |
| Triển khai GPO tự động | Kịch bản dàn nhạc đơn xử lý mọi thứ |
| Thực hiện Tác vụ đã lên lịch | Không yêu cầu lời nhắc tương tác |
| Giám sát trong thời gian thực | Trình xem trạng thái với thanh tiến độ |
Tham khảo Thiết Cập nhật Chứng chỉ
Trong phần này
Chính sách Nhóm Chính sách AvailableUpdatesPolicy
| Vị trí đăng ký | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot |
|---|---|
| Tên | AvailableUpdatesPolicy |
| Value | 0x5944 (DWORD) |
Đây là phím GPO/ADMX được kiểm soát:
- Duy trì qua các lần khởi động lại
- Được thiết lập bởi chính sách nhóm / MDM
- Không gây ra vòng lặp lại (xóa thông qua ClearRolloutFlags)
- Là chìa khóa chính xác cho việc triển khai theo chính sách
quay lại "Certificate Cập nhật Settings Reference"
WinCSFlags - Cờ Hệ thống Cấu hình Windows
Người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) được phát hành cùng với các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một tiện ích giao diện dòng lệnh (CLI) để truy vấn và áp dụng cấu hình Khởi động An toàn cục bộ cho một máy tính.
| Tên tính năng | Khóa WinCS | Mô tả |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Bật khóa này cho phép cài đặt các chứng chỉ mới Khởi động An toàn do Microsoft cung cấp sau đây trên thiết bị của bạn.
|
Tham khảo: API Hệ thống Cấu hình Windows (WinCS) để khởi động an toàn
quay lại "Certificate Cập nhật Settings Reference"
Kiến trúc
Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp
Trong phần này
- Tập lệnh cần thiết cho Giai đoạn 1
- Kiểm tra Cục bộ
- Thiết lập Chia sẻ Mạng
- Triển khai GPO
- Tóm tắt Thiết đặt GPO
- Xác minh
Tập lệnh cần thiết cho Giai đoạn 1
Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn
Lưu ý
QUAN TRỌNG Các bài viết sau có chứa các tập lệnh mẫu đã bị gỡ bỏ. Nếu bạn đã cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu có thể được tìm thấy trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn.
| Tên Tập lệnh Mẫu | Mục đích | Chạy Trên |
|---|---|---|
| Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu | Thu thập dữ liệu trạng thái thiết bị | Mỗi điểm cuối (thông qua GPO) |
| Tập lệnh Aggregate-SecureBootData.ps1 mẫu | Tạo báo cáo và bảng điều khiển | Quản trị việc |
| Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu | Tự động tạo GPO cho việc thu thập dữ liệu | Bộ điều khiển Miền |
Đầu ra mẫu từ các tập lệnh Giai đoạn 1 ở trên
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Kiểm tra Cục bộ
Trước khi triển khai thông qua GPO, hãy kiểm tra tập lệnh tuyển tập trên một máy duy nhất để xác minh chức năng.
Chạy Tập lệnh Bộ sưu tập cục bộ
Mở lời nhắc PowerShell mức cao và thực thi:
Lưu ý
& .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"Xác minh Đầu ra JSON
Lưu ý
# View the collected data
Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-ListCác trường Chính cần Xác minh
• SecureBootEnabled – Nên là True hoặc False
• OverallStatus – Hoàn tất, ReadyForUpdate, NeedsData hoặc Lỗi
• BucketHash – Bộ chứa thiết bị để khớp dữ liệu tự tin
• SecureBootTaskEnabled - Hiển thị trạng thái của Tác vụ Cập nhật Khởi động An toàn.Kiểm tra Tập lệnh Tổng hợp
Lưu ý
# Generate reports from collected data
& ".\Aggregate-SecureBootData.ps1" '
-InputPath "C:\Temp\SecureBootTest" '
-OutputPath "C:\Temp\SecureBootReports"
Mở bảng điều khiển HTML
Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Thiết lập Chia sẻ Mạng
Tạo Chia sẻ Mạng
Trên máy chủ tệp của bạn, tạo một chia sẻ chuyên dụng cho dữ liệu thu thập:
Lưu ý
# Run on file server as Administrator
$SharePath = "D:\SecureBootCollection"
$ShareName = "SecureBootData$"
Tạo thư mục
New-Item -ItemType Directory -Path $SharePath -Force
Tạo chia sẻ ẩn (hậu tố$ ẩn khỏi danh sách duyệt)
New-SmbShare -Name $ShareName -Path $SharePath '
-Mô tả "Secure Boot Certificate Status Collection" '
-FullAccess "Quản trị viên miền" '
-ChangeAccess "Máy tính Miền"Đặt cấu hình Quyền NTFS
Lưu ý
# Get current ACL
$Acl = Get-Acl $SharePath
Cho phép Người dùng Đã xác thực viết tệp
$WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Domain Computers" và
"Modify",
"ContainerInherit,ObjectInherit",
"Không có",
"Cho phép"
)
$Acl.AddAccessRule($WriteRule)
Cho phép Người quản trị Miền toàn quyền kiểm soát (để tổng hợp)
$AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"Quản trị viên Miền",
"FullControl",
"ContainerInherit,ObjectInherit",
"Không có",
"Cho phép"
)
$Acl.AddAccessRule($AdminRule)
Áp dụng quyền
Set-Acl -Path $SharePath -AclObject $Acl
Xác minh Quyền truy nhập Chia sẻ
Lưu ý
# Test from a domain-joined workstation
Test-Path "\\fileserver\SecureBootData$"Nên trả về: True
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Triển khai GPO
Sử dụng tập lệnh tự động được cung cấp từ bộ điều khiển miền:
Lưu ý
Chạy trên Bộ điều khiển Miền dưới dạng Vùng Quản trị cho Phần OU tương tác – Được đề xuất
Thay thế "Contoso.com", "Contoso" bằng tên miền
Thay thế FILESERVER bằng tên máy chủ tệp. Tập lệnh hiển thị danh sách các OU để triển khai GPO trên
.\Deploy-GPO-SecureBootCollection.ps1 '
-DomainName "contoso.com" '
-AutoDetectOU '
-CollectionSharePath "\\FILESERVER\SecureBootData$"
-ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
-Lên lịch "Hàng ngày" '
-ScheduleTime "14:00" '
-RandomDelayHours 4
Tập lệnh này sẽ thực hiện các thao tác sau:
- Tạo GPO mới với tên đã xác định
- Sao chép tập lệnh tuyển tập sang SYSVOL để có độ khả dụng cao
- Cấu hình Tập lệnh Khởi động Máy tính
- Nối kết GPO để nhắm mục tiêu OU
- Tùy chọn tạo tác vụ đã lên lịch cho tuyển tập định kỳ
Bảng sau đây cung cấp hướng dẫn về khoảng thời gian trì hoãn sẽ dựa trên quy mô đội tàu của bạn.
| Kích thước hạm đội | Khoảng thời gian trễ |
|---|---|
| Thiết bị 1-10K | 4 giờ |
| Thiết bị 10K-50K | 8 giờ |
| Hơn 50K thiết bị | 12-24 giờ |
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Tóm tắt Thiết đặt GPO
| Thiết đặt | Vị trí | Value |
|---|---|---|
| Tập lệnh Khởi động | Tập lệnh Cấu → Máy tính | Detect-SecureBootCertUpdateStatus.ps1 |
| Tham số Script | (cùng) | -OutputPath "\\server\share$" |
| Chính sách Thực thi | Cấu hình máy → Quản trị mẫu → PowerShell | Cho phép ký cục bộ và từ xa |
| Tác vụ đã lên lịch | Tùy chọn Cấu hình → máy tính → tác vụ đã lên lịch | Bộ sưu tập Hàng ngày/Hàng tuần |
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Xác minh
Bắt buộc GPO Update trên Kiểm tra Machine
Lưu ý
## On a test workstation
gpupdate /force
Khởi động lại máy khách để khởi động script hoặc khởi động theo lịch trình tiếp theo.
Restart-Computer -Force
Xác minh Thu thập Dữ liệu
Lưu ý
Kiểm tra xem dữ liệu đã được thu thập (trên máy chủ tệp hoặc từ bất kỳ máy nào)
Get-ChildItem "\\fileserver\SecureBootData$" |
Sort-Object LastWriteTime -Giảm dần |
Select-Object -10 đầu tiên
Xác minh nội dung JSON
Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json
Kiểm tra Ứng dụng GPO
Lưu ý
Xác minh GPO được áp dụng cho máy tính
Select-String "SecureBoot"
Kịch bản cũng lưu một bản sao cục bộ cho dư thừa:
Get-ChildItem "C:\ProgramData\SecureBootCollection\"
quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"
Giai đoạn 2: Bảo mật cập nhật chứng chỉ khởi động Orchestration Scripts
Quan trọng
Đảm bảo Phase1 được hoàn thành bao gồm thu thập dữ liệu trên mỗi điểm kết thúc để chia sẻ máy chủ từ xa.
Trong phần này
- Tập lệnh cần thiết cho Giai đoạn 2
- Start-SecureBootRolloutOrchestrator.ps1
- Deploy-OrchestratorTask.ps1
- Get-SecureBootRolloutStatus.ps1
Tập lệnh cần thiết cho Giai đoạn 2
Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn
Lưu ý
QUAN TRỌNG Các bài viết sau có chứa các tập lệnh mẫu đã bị gỡ bỏ. Nếu bạn đã cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu có thể được tìm thấy trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn.
| Tên tập lệnh mẫu | Mục đích | Chạy trên |
|---|---|---|
| Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu | Thu thập dữ liệu trạng thái thiết bị | Mỗi điểm cuối (thông qua GPO) |
| Tập lệnh Aggregate-SecureBootData.ps1 mẫu | Tạo báo cáo và bảng điều khiển | Quản trị việc |
| Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu | Tự động tạo GPO cho việc thu thập dữ liệu | Bộ điều khiển Miền |
| Tập lệnh Start-SecureBootRolloutOrchestrator.ps1 mẫu | Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động để cài đặt chứng chỉ | Quản trị việc |
| Tập lệnh Deploy-OrchestratorTask.ps1 mẫu | Triển khai tập lệnh Orchestrator dưới dạng tác vụ đã lên lịch để triển khai tự động | Bộ điều khiển Miền |
| Tập lệnh Get-SecureBootRolloutStatus.ps1 mẫu | Xem Trạng thái Triển khai Chứng chỉ Khởi động An toàn từ bất kỳ máy trạm nào | Quản trị máy trạm |
| Tập lệnh Enable-SecureBootUpdateTask.ps1 mẫu | Bật Tác vụ Cập nhật Khởi động An toàn | Trên Điểm cuối nơi tác vụ bị tắt (Chỉ chạy một lần để bật tác vụ nếu tắt) |
quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"
Start-SecureBootRolloutOrchestrator.ps1
Mục đích: Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động.
Tác dụng
Nhận cuộc Aggregate-SecureBootData.ps1 trạng thái thiết bị
Tạo sóng triển khai bằng cách sử dụng tăng gấp hai số lũy tiến
Tạo GPO cho triển khai chứng chỉ bằng cách sử dụng một trong các phương pháp sau đây
- Chính sách Nhóm khởi động an toàn AvailableUpdatesPolicy = 0x5944 (Mặc định)
- Phương pháp WinCS (Tham số –UseWinCS)
Tạo nhóm bảo mật AD để nhắm mục tiêu
Thêm tài khoản máy tính vào nhóm bảo mật
Cấu hình lọc bảo mật GPO
Nối kết GPO để nhắm mục tiêu OU
Màn hình cho bộ chứa bị chặn (thiết bị không thể truy cập)
Tự động bỏ chặn khi thiết bị khôi phục
Sử dụng
Lưu ý
# Interactive (testing)
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30Lưu ý
# Interactive (testing), leveraging WinCS method
.\Start-SecureBootRolloutOrchestrator.ps1 '
-AggregationInputPath "\\fileserver\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-PollIntervalMinutes 30 '
-UseWinCSQuản trị lệnh
Lưu ý
# List blocked buckets
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsLưu ý
# Unblock specific bucket
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Vĩ độ5520|BIOS1.2"Lưu ý
# Unblock all
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAllTham số
Tham số Mặc định Mô tả Tổng hợpInputPath Bắt buộc Đường dẫn UNC đến tệp JSON điểm cuối ReportBasePath Bắt buộc Đường dẫn cục bộ cho báo cáo và tiểu bang TargetOU Tên miền gốc OU để liên kết GPO WavePrefix SecureBoot-Rollout Tiền tố đặt tên GPO/nhóm MaxWaitHours 72 Giờ trước khi kiểm tra khả năng tiếp cận thiết bị PollIntervalMinutes 1440 Phút giữa các lần kiểm tra trạng thái DryRun False Hiển thị những gì sẽ xảy ra mà không có thay đổi Lưu ý
Lưu ý về PollIntervalMinutes: Khi chạy trực tiếp orchestrator, mặc định là 1440 phút (24 giờ). Khi được triển khai Deploy-OrchestratorTask.ps1, mặc định là 30 phút. Tập lệnh triển khai truyền mặc định của riêng mình cho orchestrator. Sử dụng 30 phút để triển khai chủ động, 1440 để theo dõi bảo trì.
Tham số Tùy chọn
Tham số Mặc định Mô tả UseWinCS False Sử dụng phương pháp WinCS thay vì AvailableUpdatesPolicy GPO WinCSKey F33E0C8E002 Phím WinCS cho cấu hình Khởi động An toàn AllowListPath (không có) Đường dẫn đến tệp có tên máy chủ đến ALLOW để triển khai mục tiêu/thí điểm. Hỗ trợ .txt hoặc .csv. AllowADGroup (không có) Nhóm bảo mật AD của tài khoản máy tính cho phép. Ví dụ: "SecureBoot-Pilot-Computers" ExclusionListPath (không có) Đường dẫn đến tệp có tên máy chủ để LOẠI TRỪ từ bản triển khai (thiết bị VIP/điều hành) ExcludeADGroup (không có) Nhóm bảo mật AD của các tài khoản máy tính cần loại trừ. Ví dụ: "VIP-Computers" ListBlockedBuckets False Hiển thị bộ chứa thiết bị hiện bị chặn Bỏ chặnBucket (không có) Bỏ chặn một bộ chứa cụ thể. Định dạng: "Nhà sản xuất|Mô hình|BIOS" Bỏ chặnTất cả False Bỏ chặn tất cả bộ chứa thiết bị bị chặn
quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"
Deploy-OrchestratorTask.ps1
Mục đích: Triển khai dàn nhạc như một Tác vụ đã lên lịch của Windows.
Lợi ích
- Không có lời nhắc bảo mật PowerShell (ExecutionPolicy Bypass)
- Chạy trong nền liên tục
- Không yêu cầu tương tác của người dùng
- Tồn tại khởi động lại
Sử dụng
Triển khai với tài khoản dịch vụ miền (được đề xuất)
Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)
Lưu ý
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Sử dụng phương pháp WinCS
Lưu ý
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS
Triển khai bằng tài khoản HỆ THỐNG
Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)
Lưu ý
.\Deploy-OrchestratorTask.ps1 '
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports"Sử dụng winCS method.\Deploy-OrchestratorTask.ps1
Lưu ý
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" -UseWinCSYêu cầu về Tài khoản Dịch vụ
- Tên Quản trị (đối với New-GPO, New-ADGroup, Add-ADGroupMember)
- Đọc quyền truy nhập vào chia sẻ tệp JSON
- Ghi quyền truy nhập vào ReportBasePath
quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"
Get-SecureBootRolloutStatus.ps1
Mục đích: Xem tiến độ triển khai từ bất kỳ máy trạm nào.
Nội dung hiển thị
- Trạng thái tác vụ đã lên lịch (Đang chạy/Sẵn sàng/Đã dừng)
- Số sóng hiện tại
- Thiết bị được nhắm mục tiêu so với cập nhật
- Thanh tiến trình trực quan
- Tóm tắt bộ chứa bị chặn
- Nối kết đến bảng điều khiển HTML mới nhất
Sử dụng
Lưu ý
# Quick status check
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Lưu ý
# Continuous monitoring (refreshes every 30 seconds)
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30Lưu ý
# View blocked buckets
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlockedLưu ý
# View wave history
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWavesLưu ý
# View recent log
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLogLưu ý
# Open dashboard in browser
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardTham số
Tham số Yêu cầu? Mặc định Mô tả ReportBasePath Yêu cầu — Đường dẫn cục bộ đến các báo cáo và tệp tiểu bang ShowLog Tùy chọn False Hiển thị các mục nhật ký orchestrator gần đây Đã Hiển thị Bị chặn Tùy chọn False Hiển thị chi tiết về bộ chứa bị chặn ShowWaves Tùy chọn False Hiển thị lịch sử sóng Xem Tùy chọn 0 (bị vô hiệu hóa) Khoảng thời gian tự động làm mới tính bằng giây. Ví dụ: -Watch 30 refreshes every 30 seconds. OpenDashboard Tùy chọn False Mở bảng điều khiển HTML mới nhất trong trình duyệt mặc định Đầu ra mẫu
Lưu ý
==============================================================
TRẠNG THÁI TRIỂN KHAI KHỞI ĐỘNG AN TOÀN
2026-02-17 19:30:00
======================================================Scheduled Task: RunningROLLOUT PROGRESS
Trạng thái: InProgress
Sóng hiện tại: 5
Tổng mục tiêu: 1250
Tổng số Cập nhật: 847Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%BLOCKED BUCKETS: 2 buckets need attention
Chạy với -ShowBlocked để biết chi tiếtLATEST DASHBOARD
C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
__________________________________________________________________________________________
quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"
Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)
Trong phần này
Giai đoạn 1: Cơ sở hạ tầng Phát hiện
Bước 1: Tạo Chia sẻ Bộ sưu tập
Lưu ý
# On file server
$sharePath = "D:\SecureBootData"
New-Item -ItemType Directory -Path $sharePath -Force
New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"Lưu ý
# Set NTFS permissions
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
$acl. AddAccessRule($rule)
Set-Acl $sharePath $aclBước 2: Triển khai GPO Phát hiện
Lưu ý
.\Deploy-GPO-SecureBootCollection.ps1 `
-DomainName "contoso.com" '
-OUPath "OU=Workstations,DC=contoso,DC=com" '
-CollectionSharePath "\\server\SecureBootData$"Bước 3: Chờ Điểm cuối Báo cáo (24-48 giờ)
Lưu ý
Kiểm tra tiến độ thu thập
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Đếm
quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"
Giai đoạn 2: Triển khai dàn nhạc
Bước 4: Điều kiện tiên quyết Kiểm tra
- Phát hiện GPO đã triển khai (Bước 2)
- Báo cáo điểm cuối JSON tối thiểu 50 điểm cuối
- Tài khoản dịch vụ có quyền Quản trị Miền
- Máy chủ quản lý với PowerShell 5.1+
Bước 5: Triển khai Orchestrator dưới dạng Tác vụ đã lên lịch
Lưu ý
.\Deploy-OrchestratorTask.ps1 `
-AggregationInputPath "\\server\SecureBootData$" '
-ReportBasePath "C:\SecureBootReports" '
-ServiceAccount "DOMAIN\svc_secureboot"Bước 6: Theo dõi Tiến độ
Lưu ý
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Bước 7: Xem Bảng điều khiển
Lưu ý
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboardBước 8: Quản lý Bộ chứa bị Chặn
Lưu ý
# List blocked
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsLưu ý
# Investigate and unblock
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Mô hình|BIOS"Bước 9: Xác minh hoàn thành
Lưu ý
.\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"Trạng thái sẽ hiển thị "Đã hoàn thành"
quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"
Tiểu bang Files
Orchestrator duy trì trạng thái trong ReportBasePath\RolloutState\:
| Tệp | Mô tả |
|---|---|
| RolloutState.json | Lịch sử sóng, thiết bị được nhắm mục tiêu, trạng thái |
| BlockedBuckets.json | Buckets cần điều tra |
| DeviceHistory.json | Theo dõi thiết bị theo tên máy chủ |
| Orchestrator_YYYYMMDD.log | Nhật ký hoạt động hàng ngày |
quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"
Khắc phục sự cố
Trong phần này
Orchestrator Not Progressing
Kiểm tra tác vụ đã lên lịch
Lưu ý
Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"Kiểm tra nhật ký
Lưu ý
Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50Xác minh tính năng làm mới dữ liệu JSON
Lưu ý
(Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count
Bộ chứa Bị chặn
Danh sách bị chặn.
Lưu ý
.\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBucketsĐiều tra khả năng tiếp cận thiết bị.
Kiểm tra sự cố vi chương trình.
Bỏ chặn sau khi điều tra.
GPO Không Áp dụng
Xác minh GPO tồn tại.
Lưu ý
Get-GPO -Name "SecureBoot-Rollout-Wave*"Kiểm tra bộ lọc bảo mật.
Lưu ý
Get-GPPermission -Name "GPO-Name" -AllXác minh máy tính nằm trong nhóm bảo mật.
Áp dụng GPO cho mục tiêu.
Lưu ý
gpupdate /force
Nhật ký thay đổi
| Thay đổi ngày | Thay đổi mô tả |
|---|---|
| Ngày 12 tháng 5 năm 2026 | Trước đây, mỗi tệp script mẫu được phát hành dưới dạng bài viết riêng lẻ mà từ đó bạn sẽ sao chép và dán tập lệnh. Bắt đầu với các bản cập nhật Windows được phát hành vào và sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu được đặt trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn. |