Genel Bakış
Mayıs 2026 tarihli KB5089549 kümülatif güncellemesi, Windows 11 sistemlerinde C:\Windows\SecureBoot\ExampleRolloutScripts dizinini kullanıma sunmuştur. Bu dizin, Microsoft tarafından sağlanan ve kurumsal ağlarda Secure Boot sertifika geçişlerini yönetmek için tasarlanmış yedi adet PowerShell betiği içerir. Bu makale, bu araçların işlevlerini ve güvenli kullanım yöntemlerini detaylandırır.
Sorun: Secure Boot Sertifika Güncellemeleri
Kurumsal ortamlarda, Secure Boot (Güvenli Önyükleme) sertifikalarının süresinin dolması veya güncellenmesi, sistemlerin önyükleme güvenliğini riske atabilir. Manuel olarak yüzlerce makinede bu değişikliği yapmak operasyonel bir yük oluşturur. Microsoft, bu süreci otomatize etmek için örnek betikler sunmuştur.
Çözüm: Betiklerin Kullanımı
Bu betikler, sertifika veritabanını güncellemek ve sistemin güvenliğini doğrulamak için kullanılır. İşlemlere başlamadan önce sistemin yedeğini almanız önerilir.
Adım Adım Uygulama
- PowerShell'i yönetici haklarıyla çalıştırın.
C:\Windows\SecureBoot\ExampleRolloutScriptsdizinine gidin.- İhtiyacınıza uygun betiği seçin (Örneğin:
Get-SecureBootStatus.ps1). - Betikleri çalıştırmadan önce ExecutionPolicy ayarını kontrol edin.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
.\Get-SecureBootStatus.ps1Dikkat: Bu betikler örnek niteliğindedir. Üretim ortamında kullanmadan önce mutlaka test ortamında doğrulama yapın. Yanlış yapılandırma sistemin önyükleme yapamamasına neden olabilir.
Betiklerin İşlevleri
Dizin içerisinde bulunan yedi betik, sertifika veritabanını sorgulama, güncelleme ve raporlama gibi kritik görevleri üstlenir. Özellikle Update-SecureBootDB.ps1 gibi betikler, PK (Platform Key) ve KEK (Key Exchange Key) güncellemelerini yönetmek için tasarlanmıştır.
Sınırlamalar ve Güvenlik
Bu araçlar her donanım üreticisi (OEM) ile uyumlu olmayabilir. Bazı UEFI yapılandırmaları, PowerShell üzerinden yapılan değişiklikleri engelleyebilir. Bu durumda BIOS/UEFI arayüzünden manuel müdahale gerekebilir.
