Mẫu hướng dẫn tự động hóa khởi động an toàn E2E

Áp dụng cho
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Lưu ý

Ngày phát hành ban đầu: Ngày 16 tháng 3 năm 2026
Cập nhật ngày cuối: Ngày 12 tháng 5 năm 2026
ID KB: 5084567

Trong bài viết này

Tổng quan

Hướng dẫn này mô tả hệ thống triển khai tự động cho các bản cập nhật chứng chỉ Khởi động An toàn của Windows DB bằng cách sử chính sách nhóm sóng triển khai lũy tiến.

Tự động hóa Tự động phát hành Chứng chỉ Khởi động An toàn là một hệ thống dựa trên PowerShell triển khai các bản cập nhật chứng chỉ Windows Secure Boot DB cho các máy tham gia miền theo cách thức được kiểm soát tốt hơn.

quay lại đầu trang

Các tính năng chính

Tính năng Mô tả
Triển khai Tốt nghiệp 1 > 2 > 4 > 8... thiết bị cho mỗi bộ chứa
Tự động Chặn Bộ chứa có thiết bị không truy cập được loại trừ
Triển khai GPO tự động Kịch bản dàn nhạc đơn xử lý mọi thứ
Thực hiện Tác vụ đã lên lịch Không yêu cầu lời nhắc tương tác
Giám sát trong thời gian thực Trình xem trạng thái với thanh tiến độ

quay lại đầu trang

Tham khảo Thiết Cập nhật Chứng chỉ

Trong phần này

Chính sách Nhóm Chính sách AvailableUpdatesPolicy

Vị trí đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
Tên AvailableUpdatesPolicy
Value 0x5944 (DWORD)

Đây là phím GPO/ADMX được kiểm soát:

  • Duy trì qua các lần khởi động lại
  • Được thiết lập bởi chính sách nhóm / MDM
  • Không gây ra vòng lặp lại (xóa thông qua ClearRolloutFlags)
  • Là chìa khóa chính xác cho việc triển khai theo chính sách

Tham khảo: Chính sách nhóm Đối tượng An toàn (GPO) của Khởi động An toàn cho các thiết bị Windows có bản cập nhật do bộ CNTT quản lý

quay lại "Certificate Cập nhật Settings Reference"

WinCSFlags - Cờ Hệ thống Cấu hình Windows

Người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) được phát hành cùng với các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một tiện ích giao diện dòng lệnh (CLI) để truy vấn và áp dụng cấu hình Khởi động An toàn cục bộ cho một máy tính.

Tên tính năng Khóa WinCS Mô tả
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Bật khóa này cho phép cài đặt các chứng chỉ mới Khởi động An toàn do Microsoft cung cấp sau đây trên thiết bị của bạn.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Tham khảo: API Hệ thống Cấu hình Windows (WinCS) để khởi động an toàn

quay lại "Certificate Cập nhật Settings Reference"

quay lại đầu trang

Kiến trúc

Dòng công việc kiến trúc

quay lại đầu trang

Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp

Trong phần này

Tập lệnh cần thiết cho Giai đoạn 1

Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn

Lưu ý

QUAN TRỌNG Các bài viết sau có chứa các tập lệnh mẫu đã bị gỡ bỏ. Nếu bạn đã cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu có thể được tìm thấy trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn.

Tên Tập lệnh Mẫu Mục đích Chạy Trên
Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu Thu thập dữ liệu trạng thái thiết bị Mỗi điểm cuối (thông qua GPO)
Tập lệnh Aggregate-SecureBootData.ps1 mẫu Tạo báo cáo và bảng điều khiển Quản trị việc
Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu Tự động tạo GPO cho việc thu thập dữ liệu Bộ điều khiển Miền
Đầu ra mẫu từ các tập lệnh Giai đoạn 1 ở trên

Bảng điều khiển Trạng thái Chứng chỉ Khởi động An toàn

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Kiểm tra Cục bộ

Trước khi triển khai thông qua GPO, hãy kiểm tra tập lệnh tuyển tập trên một máy duy nhất để xác minh chức năng.

  • Chạy Tập lệnh Bộ sưu tập cục bộ

    Mở lời nhắc PowerShell mức cao và thực thi:

    Lưu ý

    & .\Detect-SecureBootCertUpdateStatus.ps1 -OutputPath "C:\Temp\SecureBootTest"

  • Xác minh Đầu ra JSON

    Lưu ý

    # View the collected data 
    Get-Content "C:\Temp\SecureBootTest\*_latest.json" | ConvertFrom-Json | Format-List

    Các trường Chính cần Xác minh  
    SecureBootEnabled – Nên là True hoặc False
    OverallStatus – Hoàn tất, ReadyForUpdate, NeedsData hoặc Lỗi
    BucketHash – Bộ chứa thiết bị để khớp dữ liệu tự tin
    SecureBootTaskEnabled - Hiển thị trạng thái của Tác vụ Cập nhật Khởi động An toàn.

  • Kiểm tra Tập lệnh Tổng hợp

    Lưu ý

    # Generate reports from collected data 
    & ".\Aggregate-SecureBootData.ps1" '
        -InputPath "C:\Temp\SecureBootTest" '
        -OutputPath "C:\Temp\SecureBootReports"
     

    Mở bảng điều khiển HTML

    Start-Process "C:\Temp\SecureBootReports\SecureBoot_Dashboard_*.html"

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Thiết lập Chia sẻ Mạng

  • Tạo Chia sẻ Mạng

    Trên máy chủ tệp của bạn, tạo một chia sẻ chuyên dụng cho dữ liệu thu thập:

    Lưu ý

    # Run on file server as Administrator 
    $SharePath = "D:\SecureBootCollection"
    $ShareName = "SecureBootData$"
     

    Tạo thư mục

    New-Item -ItemType Directory -Path $SharePath -Force
     

    Tạo chia sẻ ẩn (hậu tố$ ẩn khỏi danh sách duyệt)

    New-SmbShare -Name $ShareName -Path $SharePath '
        -Mô tả "Secure Boot Certificate Status Collection" '
        -FullAccess "Quản trị viên miền" '
        -ChangeAccess "Máy tính Miền"

  • Đặt cấu hình Quyền NTFS

    Lưu ý

    # Get current ACL 
    $Acl = Get-Acl $SharePath
     

    Cho phép Người dùng Đã xác thực viết tệp

    $WriteRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    "Domain Computers" và
    "Modify",
        "ContainerInherit,ObjectInherit",
        "Không có",
        "Cho phép"
    )
    $Acl.AddAccessRule($WriteRule)
     

    Cho phép Người quản trị Miền toàn quyền kiểm soát (để tổng hợp)

    $AdminRule = New-Object System.Security.AccessControl.FileSystemAccessRule(
        "Quản trị viên Miền",
        "FullControl",
        "ContainerInherit,ObjectInherit",
        "Không có",
        "Cho phép"
    )
    $Acl.AddAccessRule($AdminRule)
     

    Áp dụng quyền

    Set-Acl -Path $SharePath -AclObject $Acl

  • Xác minh Quyền truy nhập Chia sẻ

    Lưu ý

    # Test from a domain-joined workstation 
    Test-Path "\\fileserver\SecureBootData$"

    Nên trả về: True

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Triển khai GPO

Sử dụng tập lệnh tự động được cung cấp từ bộ điều khiển miền:

Lưu ý

Chạy trên Bộ điều khiển Miền dưới dạng Vùng Quản trị cho Phần OU tương tác – Được đề xuất

Thay thế "Contoso.com", "Contoso" bằng tên miền

Thay thế FILESERVER bằng tên máy chủ tệp.  Tập lệnh hiển thị danh sách các OU để triển khai GPO trên

.\Deploy-GPO-SecureBootCollection.ps1 '
    -DomainName "contoso.com" '
    -AutoDetectOU '
    -CollectionSharePath "\\FILESERVER\SecureBootData$"
    -ScriptSourcePath ".\Detect-SecureBootCertUpdateStatus.ps1" '
    -Lên lịch "Hàng ngày" '
    -ScheduleTime "14:00" '
    -RandomDelayHours 4

Tập lệnh này sẽ thực hiện các thao tác sau:

  • Tạo GPO mới với tên đã xác định
  • Sao chép tập lệnh tuyển tập sang SYSVOL để có độ khả dụng cao
  • Cấu hình Tập lệnh Khởi động Máy tính
  • Nối kết GPO để nhắm mục tiêu OU
  • Tùy chọn tạo tác vụ đã lên lịch cho tuyển tập định kỳ

Bảng sau đây cung cấp hướng dẫn về khoảng thời gian trì hoãn sẽ dựa trên quy mô đội tàu của bạn.

Kích thước hạm đội Khoảng thời gian trễ
Thiết bị 1-10K 4 giờ
Thiết bị 10K-50K 8 giờ
Hơn 50K thiết bị 12-24 giờ

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Tóm tắt Thiết đặt GPO

Thiết đặt Vị trí Value
Tập lệnh Khởi động Tập lệnh Cấu → Máy tính Detect-SecureBootCertUpdateStatus.ps1
Tham số Script (cùng) -OutputPath "\\server\share$"
Chính sách Thực thi Cấu hình máy → Quản trị mẫu → PowerShell Cho phép ký cục bộ và từ xa
Tác vụ đã lên lịch Tùy chọn Cấu hình → máy tính → tác vụ đã lên lịch Bộ sưu tập Hàng ngày/Hàng tuần

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

Xác minh

  • Bắt buộc GPO Update trên Kiểm tra Machine

    Lưu ý

    ## On a test workstation 
    gpupdate /force
     

    Khởi động lại máy khách để khởi động script hoặc khởi động theo lịch trình tiếp theo.

    Restart-Computer -Force

  • Xác minh Thu thập Dữ liệu

    Lưu ý

    Kiểm tra xem dữ liệu đã được thu thập (trên máy chủ tệp hoặc từ bất kỳ máy nào)

    Get-ChildItem "\\fileserver\SecureBootData$" |
        Sort-Object LastWriteTime -Giảm dần |
        Select-Object -10 đầu tiên
     

    Xác minh nội dung JSON

    Get-Content "\\fileserver\SecureBootData$\TESTPC_latest.json" | ConvertFrom-Json

  • Kiểm tra Ứng dụng GPO

    Lưu ý

    Xác minh GPO được áp dụng cho máy tính

    Select-String "SecureBoot"
    Kịch bản cũng lưu một bản sao cục bộ cho dư thừa:
    Get-ChildItem "C:\ProgramData\SecureBootCollection\"

quay lại "Giai đoạn 1: Phát hiện và Giám sát Trạng thái ở cấp doanh nghiệp"

quay lại đầu trang

Giai đoạn 2: Bảo mật cập nhật chứng chỉ khởi động Orchestration Scripts

Quan trọng

Đảm bảo Phase1 được hoàn thành bao gồm thu thập dữ liệu trên mỗi điểm kết thúc để chia sẻ máy chủ từ xa.

Trong phần này

Tập lệnh cần thiết cho Giai đoạn 2

Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn

Lưu ý

QUAN TRỌNG Các bài viết sau có chứa các tập lệnh mẫu đã bị gỡ bỏ. Nếu bạn đã cài đặt bản cập nhật Windows được phát hành vào hoặc sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu có thể được tìm thấy trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn.

Tên tập lệnh mẫu Mục đích Chạy trên
Tập lệnh Detect-SecureBootCertUpdateStatus.ps1 mẫu Thu thập dữ liệu trạng thái thiết bị Mỗi điểm cuối (thông qua GPO)
Tập lệnh Aggregate-SecureBootData.ps1 mẫu Tạo báo cáo và bảng điều khiển Quản trị việc
Tập lệnh Deploy-GPO-SecureBootCollection.ps1 mẫu Tự động tạo GPO cho việc thu thập dữ liệu Bộ điều khiển Miền
Tập lệnh Start-SecureBootRolloutOrchestrator.ps1 mẫu Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động để cài đặt chứng chỉ Quản trị việc
Tập lệnh Deploy-OrchestratorTask.ps1 mẫu Triển khai tập lệnh Orchestrator dưới dạng tác vụ đã lên lịch để triển khai tự động Bộ điều khiển Miền
Tập lệnh Get-SecureBootRolloutStatus.ps1 mẫu Xem Trạng thái Triển khai Chứng chỉ Khởi động An toàn từ bất kỳ máy trạm nào Quản trị máy trạm
Tập lệnh Enable-SecureBootUpdateTask.ps1 mẫu Bật Tác vụ Cập nhật Khởi động An toàn Trên Điểm cuối nơi tác vụ bị tắt (Chỉ chạy một lần để bật tác vụ nếu tắt)

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"

Start-SecureBootRolloutOrchestrator.ps1

  • Mục đích: Dàn nhạc tự động hoàn toàn liên tục với triển khai GPO tự động.

  • Tác dụng

    • Nhận cuộc Aggregate-SecureBootData.ps1 trạng thái thiết bị

    • Tạo sóng triển khai bằng cách sử dụng tăng gấp hai số lũy tiến

    • Tạo GPO cho triển khai chứng chỉ bằng cách sử dụng một trong các phương pháp sau đây

      • Chính sách Nhóm khởi động an toàn AvailableUpdatesPolicy = 0x5944 (Mặc định)
      • Phương pháp WinCS (Tham số –UseWinCS)
    • Tạo nhóm bảo mật AD để nhắm mục tiêu

    • Thêm tài khoản máy tính vào nhóm bảo mật

    • Cấu hình lọc bảo mật GPO

    • Nối kết GPO để nhắm mục tiêu OU

    • Màn hình cho bộ chứa bị chặn (thiết bị không thể truy cập)

    • Tự động bỏ chặn khi thiết bị khôi phục

  • Sử dụng

    Lưu ý

    # Interactive (testing)
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30

    Lưu ý

    # Interactive (testing), leveraging WinCS method
    .\Start-SecureBootRolloutOrchestrator.ps1 '
        -AggregationInputPath "\\fileserver\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -PollIntervalMinutes 30 '
        -UseWinCS

  • Quản trị lệnh

    Lưu ý

    # List blocked buckets
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Lưu ý

    # Unblock specific bucket
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Dell|Vĩ độ5520|BIOS1.2"

    Lưu ý

    # Unblock all
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockAll

  • Tham số

    Tham số Mặc định Mô tả
    Tổng hợpInputPath Bắt buộc Đường dẫn UNC đến tệp JSON điểm cuối
    ReportBasePath Bắt buộc Đường dẫn cục bộ cho báo cáo và tiểu bang
    TargetOU Tên miền gốc OU để liên kết GPO
    WavePrefix SecureBoot-Rollout Tiền tố đặt tên GPO/nhóm
    MaxWaitHours 72 Giờ trước khi kiểm tra khả năng tiếp cận thiết bị
    PollIntervalMinutes 1440 Phút giữa các lần kiểm tra trạng thái
    DryRun False Hiển thị những gì sẽ xảy ra mà không có thay đổi

    Lưu ý

    Lưu ý về PollIntervalMinutes: Khi chạy trực tiếp orchestrator, mặc định là 1440 phút (24 giờ). Khi được triển khai Deploy-OrchestratorTask.ps1, mặc định là 30 phút. Tập lệnh triển khai truyền mặc định của riêng mình cho orchestrator. Sử dụng 30 phút để triển khai chủ động, 1440 để theo dõi bảo trì.

    Tham số Tùy chọn

    Tham số Mặc định Mô tả
    UseWinCS False Sử dụng phương pháp WinCS thay vì AvailableUpdatesPolicy GPO
    WinCSKey F33E0C8E002 Phím WinCS cho cấu hình Khởi động An toàn
    AllowListPath (không có) Đường dẫn đến tệp có tên máy chủ đến ALLOW để triển khai mục tiêu/thí điểm. Hỗ trợ .txt hoặc .csv.
    AllowADGroup (không có) Nhóm bảo mật AD của tài khoản máy tính cho phép. Ví dụ: "SecureBoot-Pilot-Computers"
    ExclusionListPath (không có) Đường dẫn đến tệp có tên máy chủ để LOẠI TRỪ từ bản triển khai (thiết bị VIP/điều hành)
    ExcludeADGroup (không có) Nhóm bảo mật AD của các tài khoản máy tính cần loại trừ. Ví dụ: "VIP-Computers"
    ListBlockedBuckets False Hiển thị bộ chứa thiết bị hiện bị chặn
    Bỏ chặnBucket (không có) Bỏ chặn một bộ chứa cụ thể. Định dạng: "Nhà sản xuất|Mô hình|BIOS"
    Bỏ chặnTất cả False Bỏ chặn tất cả bộ chứa thiết bị bị chặn

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"

Deploy-OrchestratorTask.ps1

  • Mục đích: Triển khai dàn nhạc như một Tác vụ đã lên lịch của Windows.

  • Lợi ích

    • Không có lời nhắc bảo mật PowerShell (ExecutionPolicy Bypass)
    • Chạy trong nền liên tục
    • Không yêu cầu tương tác của người dùng
    • Tồn tại khởi động lại
  • Sử dụng

    • Triển khai với tài khoản dịch vụ miền (được đề xuất)

      • Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)

        Lưu ý

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot"

      • Sử dụng phương pháp WinCS

        Lưu ý

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" '
            -ServiceAccount "DOMAIN\svc_secureboot" -UseWinCS

    • Triển khai bằng tài khoản HỆ THỐNG

      • Dùng AvailableUpdates chính sách nhóm (Phương pháp Mặc định)

        Lưu ý

        .\Deploy-OrchestratorTask.ps1 '
            -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports"

      • Sử dụng winCS method.\Deploy-OrchestratorTask.ps1

        Lưu ý

        -AggregationInputPath "\\server\SecureBootData$" '
            -ReportBasePath "C:\SecureBootReports" -UseWinCS

      • Yêu cầu về Tài khoản Dịch vụ

        • Tên Quản trị (đối với New-GPO, New-ADGroup, Add-ADGroupMember)
        • Đọc quyền truy nhập vào chia sẻ tệp JSON
        • Ghi quyền truy nhập vào ReportBasePath

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"

Get-SecureBootRolloutStatus.ps1

  • Mục đích: Xem tiến độ triển khai từ bất kỳ máy trạm nào.

  • Nội dung hiển thị

    • Trạng thái tác vụ đã lên lịch (Đang chạy/Sẵn sàng/Đã dừng)
    • Số sóng hiện tại
    • Thiết bị được nhắm mục tiêu so với cập nhật
    • Thanh tiến trình trực quan
    • Tóm tắt bộ chứa bị chặn
    • Nối kết đến bảng điều khiển HTML mới nhất
  • Sử dụng

    Lưu ý

    # Quick status check
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Lưu ý

    # Continuous monitoring (refreshes every 30 seconds)
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -Watch 30

    Lưu ý

    # View blocked buckets
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowBlocked

    Lưu ý

    # View wave history
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowWaves

    Lưu ý

    # View recent log
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -ShowLog

    Lưu ý

    # Open dashboard in browser
    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Tham số

    Tham số Yêu cầu? Mặc định Mô tả
    ReportBasePath Yêu cầu Đường dẫn cục bộ đến các báo cáo và tệp tiểu bang
    ShowLog Tùy chọn False Hiển thị các mục nhật ký orchestrator gần đây
    Đã Hiển thị Bị chặn Tùy chọn False Hiển thị chi tiết về bộ chứa bị chặn
    ShowWaves Tùy chọn False Hiển thị lịch sử sóng
    Xem Tùy chọn 0 (bị vô hiệu hóa) Khoảng thời gian tự động làm mới tính bằng giây. Ví dụ: -Watch 30 refreshes every 30 seconds.
    OpenDashboard Tùy chọn False Mở bảng điều khiển HTML mới nhất trong trình duyệt mặc định
  • Đầu ra mẫu

    Lưu ý

    • ==============================================================
         TRẠNG THÁI TRIỂN KHAI KHỞI ĐỘNG AN TOÀN
         2026-02-17 19:30:00
      ======================================================
    • Scheduled Task: Running
    • ROLLOUT PROGRESS

    Trạng thái: InProgress
    Sóng hiện tại: 5
    Tổng mục tiêu: 1250
    Tổng số Cập nhật: 847

    • Progress: [█████████████████████░░░░░░░░░░░░░░░░░░░] 67.8%
    • BLOCKED BUCKETS: 2 buckets need attention
        Chạy với -ShowBlocked để biết chi tiết
    • LATEST DASHBOARD
      C:\SecureBootReports\Aggregation_20260217_193000\SecureBoot_Dashboard.html
      __________________________________________________________________________________________

quay lại "Giai đoạn 2: Bảo mật Khởi động Chứng chỉ Cập nhật Tập lệnh Dàn nhạc"

quay lại đầu trang

Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)

Trong phần này

Giai đoạn 1: Cơ sở hạ tầng Phát hiện

  • Bước 1: Tạo Chia sẻ Bộ sưu tập

    Lưu ý

    # On file server
    $sharePath = "D:\SecureBootData"
    New-Item -ItemType Directory -Path $sharePath -Force
    New-SmbShare -Name "SecureBootData$" -Path $sharePath -FullAccess "Domain Admins" -ChangeAccess "Domain Computers"

    Lưu ý

    # Set NTFS permissions
    $acl = Get-Acl $sharePath
    $rule = New-Object System.Security.AccessControl.FileSystemAccessRule("Domain Computers","Modify","Allow")
    $acl. AddAccessRule($rule)
    Set-Acl $sharePath $acl

  • Bước 2: Triển khai GPO Phát hiện

    Lưu ý

    .\Deploy-GPO-SecureBootCollection.ps1 `
        -DomainName "contoso.com" '
        -OUPath "OU=Workstations,DC=contoso,DC=com" '
        -CollectionSharePath "\\server\SecureBootData$"

  • Bước 3: Chờ Điểm cuối Báo cáo (24-48 giờ)

    Lưu ý

    Kiểm tra tiến độ thu thập

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json"). Đếm

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"

Giai đoạn 2: Triển khai dàn nhạc

  • Bước 4: Điều kiện tiên quyết Kiểm tra

    • Phát hiện GPO đã triển khai (Bước 2)
    • Báo cáo điểm cuối JSON tối thiểu 50 điểm cuối
    • Tài khoản dịch vụ có quyền Quản trị Miền
    • Máy chủ quản lý với PowerShell 5.1+
  • Bước 5: Triển khai Orchestrator dưới dạng Tác vụ đã lên lịch

    Lưu ý

    .\Deploy-OrchestratorTask.ps1 `
        -AggregationInputPath "\\server\SecureBootData$" '
        -ReportBasePath "C:\SecureBootReports" '
        -ServiceAccount "DOMAIN\svc_secureboot"

  • Bước 6: Theo dõi Tiến độ

    Lưu ý

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

  • Bước 7: Xem Bảng điều khiển

    Lưu ý

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports" -OpenDashboard

  • Bước 8: Quản lý Bộ chứa bị Chặn

    Lưu ý

    # List blocked
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

    Lưu ý

    # Investigate and unblock
    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -UnblockBucket "Manufacturer|Mô hình|BIOS"

  • Bước 9: Xác minh hoàn thành

    Lưu ý

    .\Get-SecureBootRolloutStatus.ps1 -ReportBasePath "C:\SecureBootReports"

    Trạng thái sẽ hiển thị "Đã hoàn thành"

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"

Tiểu bang Files

Orchestrator duy trì trạng thái trong ReportBasePath\RolloutState\:

Tệp Mô tả
RolloutState.json Lịch sử sóng, thiết bị được nhắm mục tiêu, trạng thái
BlockedBuckets.json Buckets cần điều tra
DeviceHistory.json Theo dõi thiết bị theo tên máy chủ
Orchestrator_YYYYMMDD.log Nhật ký hoạt động hàng ngày

quay lại "Các bước Triển khai E2E (Hướng dẫn Tham khảo Nhanh)"

quay lại đầu trang

Khắc phục sự cố

Trong phần này

Orchestrator Not Progressing

  1. Kiểm tra tác vụ đã lên lịch

    Lưu ý

    Get-ScheduledTask -TaskName "SecureBoot-Rollout-Orchestrator"

  2. Kiểm tra nhật ký

    Lưu ý

    Get-Content "C:\SecureBootReports\RolloutState\Orchestrator_*.log" -Tail 50

  3. Xác minh tính năng làm mới dữ liệu JSON

    Lưu ý

    (Get-ChildItem "\\server\SecureBootData$" -Filter "*.json" | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-1) }).Count

quay lại "Khắc phục sự cố"

Bộ chứa Bị chặn

  1. Danh sách bị chặn.

    Lưu ý

    .\Start-SecureBootRolloutOrchestrator.ps1 -ReportBasePath "C:\SecureBootReports" -ListBlockedBuckets

  2. Điều tra khả năng tiếp cận thiết bị.

  3. Kiểm tra sự cố vi chương trình.

  4. Bỏ chặn sau khi điều tra.

quay lại "Khắc phục sự cố"

GPO Không Áp dụng

  1. Xác minh GPO tồn tại.

    Lưu ý

    Get-GPO -Name "SecureBoot-Rollout-Wave*"

  2. Kiểm tra bộ lọc bảo mật.

    Lưu ý

    Get-GPPermission -Name "GPO-Name" -All

  3. Xác minh máy tính nằm trong nhóm bảo mật.

  4. Áp dụng GPO cho mục tiêu.

    Lưu ý

    gpupdate /force

quay lại "Khắc phục sự cố"

quay lại đầu trang

Nhật ký thay đổi

Thay đổi ngày Thay đổi mô tả
Ngày 12 tháng 5 năm 2026 Trước đây, mỗi tệp script mẫu được phát hành dưới dạng bài viết riêng lẻ mà từ đó bạn sẽ sao chép và dán tập lệnh. Bắt đầu với các bản cập nhật Windows được phát hành vào và sau ngày 12 tháng 5 năm 2026, tập lệnh mẫu được đặt trong thư mục %systemroot%\SecureBoot\ExampleRolloutScripts trên thiết bị của bạn.