Configuration Manager | Capture media

Opublikowano 19 lutego 2026, autor: Jacek Doktór

Estimated reading time: 7 minut

Instalacje systemu operacyjnego Windows można wykonywać przy użyciu obrazu systemu dostarczanego przez Microsoft lub przygotowanego przez administratora.

Tabela zawartości

Obraz systemu operacyjnego

Do przygotowania obrazu systemu operacyjnego przy użyciu serwera ConfigMgr potrzebuję:

  • Przygotowanego i odpowiednio skonfigurowanego systemu operacyjnego. Może być zainstalowany zarówno na maszynie fizycznej, jak i wirtualnej.
  • Płytę Capture Media przygotowaną przez administratora serwera ConfigMgr. Posłuży ona do uruchomienia procesu przechwytywania obrazu systemu operacyjnego i zapisania go do pliku na udziale sieciowym.
  • Płytę Boot Image w wersji x64 dostępną na punkcie dystrybucyjnym serwera ConfigMgr.

Proces przygotowania płyty Capture Media

Poniżej przykładowy proces tworzenia obrazu systemu Windows 11. System operacyjny, z którego chcę wykonać obraz mogę skonfigurować pod własne potrzeby. Mogę np.:

  • zainstalować aplikacje,
  • zmienić konfigurację domyślną systemu,
  • odinstalować niepotrzebne usługi czy też aplikacje Microsoft lub producenta sprzętu.

Płytę Capture Media przygotowuję w następujący sposób: zaznaczam Computer Management -> Operating System Deployment -> Task Sequence i wybieram opcję Create Task Sequence Media.

Rysunek 1. Opcja Create Task Sequnce Media.

W kolejnym kroku decyduję o ustawieniach kreatora tworzenia obrazu systemu. Plik iso z płytą Capture Media może zostać zapisana w pliku iso na dysku zewnętrznym (pod warunkiem, że konsola serwera ConfigMgr jest uruchomiona na komputerze do którego wpięty jest pendrive). Druga opcja to wskazanie miejsca na dysku, gdzie zostanie zapisany plik iso. Muszę pamiętać, że do wskazanego miejsca serwer ConfigMgr musi mieć uprawnienia do zapisu.

Równie ważne jest miejsce na staging folder. W tym folderze są zapisywane pliki tymczasowe potrzebne do przygotowanie płyty Capture media.

Rysunek 2. Opcje kreatora Capture Media.

Muszę pamiętać, że płyty Capture Media przygotowuje się oddzielnie dla każdego rodzaju systemu operacyjnego. Na zakładce Boot Image muszę zdecydować, czy tworzę płytę dla systemów operacyjnych armx64 czy x64.

Muszę też wskazać punkt dystrybucyjny, na którym jest dostępny plik boot image.

Rysunek 3. Wskazanie używanego boot imgae oraz Distribution Point.

Przedostatni krok to sprawdzenie czy wszystko dobrze skonfigurowałem. Po naciśnięciu Next rozpoczyna się tworzenie obrazu Capture Media.

Rysunek 4. Podsumowanie ustawień kreatora.

Tworzenie pliku nie trwa długo.

Rysunek 5. Działanie kreatora.

Po zakończeniu pracy kreatora mogę przeczytać wyniki jego działania.

Rysunek 6. Podsumowanie pracy kreatora.

Po przygotowaniu pliku iso nagrywam go na pendrive’a i montuję go na systemie wzorcowym, z którego będę robić wzorcowy obraz.

Tworzenie obrazu systemu operacyjnego

Obraz systemu Windows mogę przechwycić używając maszyny wirtualnej lub komputera fizycznego. Na systemie, z którego chcę zrobić obraz uruchamiam plik LanchMedia.exe, zapisany na wcześniej przygotowanej płycie Capture Media.

Rysunek 7. Kreator tworzenia obrazu systemu operacyjnego.

Muszę podać miejsce na sieci, w którym ma być zapisany plik wim oraz jego nazwę. Dodatkowo konto z uprawnieniami do zapisu w podanym przez mnie miejscu docelowym.

Rysunek 8. Podanie miejsca docelowego dla pliku wim.

Kolejny krok to wpisanie opisu dla nowo tworzonego obrazu systemu operacyjnego.

Rysunek 9. Opis tworzonego obrazu systemu.

Po sprawdzeniu konfiguracji przechwycenia uruchamiam proces.

Rysunek 10. Podsumowanie pracy kreatora.

Na początku procesu wykonywane jest polecenie sysprep. Sysprep przygotowuje system Windows do przechwycenia.

Rysunek 11. Przygotowanie systemu do przechwycenia..

Po zakończeniu pracy polecenia sysprep następuje automatyczne ponowne uruchomienie systemu.

Rysunek 12. Restart komputera.

Po ponownym uruchomieniu, system startuje z wcześniej przygotowanej przeze mnie płyty i rozpoczyna się proces przechwytywania systemu do pliku wim.

Rysunek 13. Przechwytywanie systemu do obrazu.

Po zakończeniu procesu przechwytywania, system Windows ponownie wystartuje w trybie OOBE.

Rysunek 14. Koniec procesu.

Aplikacje zainstalowane na wzorcowym systemie w większości pracują poprawnie po instalacji takiego systemu na docelowym komputerze. Warto jednak zawsze to sprawdzić, zanim komputer zostanie oddany użytkownikowi.

Strona główna

Zaszufladkowano do kategorii Capture Media, Configuration Manager | Otagowano | Dodaj komentarz

Security | Microsoft UEFI Certificates

Opublikowano 29 stycznia 2026, autor: Jacek Doktór

Estimated reading time: 8 minut

Tabela zawartości

Secure Boot

Secure Boot to funkcja bezpieczeństwa, zaprojektowana w celu zapobiegania ładowaniu złośliwego oprogramowania podczas uruchamiania komputera. Podczas procesu uruchamiania ładowane jest tylko zaufane oprogramowanie, dlatego odgrywa ona istotną rolę w ochronie przed różnymi rodzajami złośliwego oprogramowania i w utrzymaniu integralności systemu.

Wygaśnięcie certyfikatu Microsoft Secure Boot

Bezpieczny rozruch jest oparty na procesie infrastruktury kluczy publicznych (PKI) do uwierzytelniania modułów, zanim będą mogły być wykonywane.

Klucz platformy UEFI (PK) jest źródłem zaufania w funkcji Secure Boot. Pojedynczy klucz publiczny, należący do producenta urządzenia, jest przechowywany w oprogramowaniu układowym. Certyfikat PK podpisuje Key Exchange Key (KEK) i nadaje uprawnienia do modyfikowania innych baz danych Secure Boot. Są to dwie bazy danych:

  • Autoryzowana baza danych sygnatur DB – Secure Boot Allowed Signature Database
  • Zabroniona baza danych sygnatur DBX – Secure Boot Forbidden Signature Database

Zawierają one certyfikaty i podpisy dla oprogramowania odpowiednio autoryzowanego i nieautoryzowanego. W czerwcu tego roku wygasną certyfikaty Microsoft UEFI. Nie dotyczy to wszystkich modeli komputerów. Niestety certyfikaty te nie będą się automatyczne odnawiać. Trzeba zrobić to ręcznie.

Dotyczy to:

  • Microsoft Corporation KEK CA 2011 (zapisany w KEK)
  • Microsoft UEFI CA 2011 (zapisany w bazie DB)
  • Microsoft Windows Production PCA 2011 (zapisany w bazie DB)

Bez ich odnowienia Secure Boot może przestać chronić komputery.

Ustawienia rejestru dotyczące certyfikatów UEFI

Microsoft przygotował aktualizację KB5068202 systemu Windows, która wprowadza nowe ustawienia w rejestrach pomagających w aktualizacji certyfikatów UEFI.

Rysunek 1. Nowe ustawienia rejestru dotyczące certyfikatów UEFI.

Wpisy te znajdziemy w HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Rysunek 2. Wpisy w rejestrze dotyczące certyfikatów UEFI.

Wartości UEFICA2023Status oznaczają:

  • NoStarted – proces odnowienia nie został uruchomiony
  • InProgress – proces odnowienia jest w trakcie
  • Updated – proces odnowienia się zakończył

Wartości WindowsUEFICA2023Capable oznaczają:

  • 0x0 – Windows UEFI CA 2023 certyfikat nie został zainstalowany w DB
  • 0x1 – Windows UEFI CA 2023 certyfikat jest zainstalowany w DB
  • 0x2 – Windows UEFI CA 2023 certyfikat jest zainstalowany w DB i system używa menedżera rozruchu podpisanego w 2023 roku

Wpis UEFICA2023Error oznacza, że podczas odnowienia certyfikatu system napotkał problem lub proces odnowienia uruchomiono na komputerze, na którym wpis UEFICA2023Status miał wartość ox2.

Identyfikacja stacji wymagających odnowienia certyfikatów

Microsoft nie przygotował polecenia w Powershellu, które pokazywałoby dokładne informacje o certyfikatach UEFI. Richard M. Hicks zamieścił skrypt Power Shell Galery , dzięki któremu mogę zobaczyć dokładniejsze informacje o certyfikatach UEFI.

Polecenie 

Get-UEFICertificate -Type DB

Pokaże mi wszystkie certyfikaty dotyczące bazy DB.

Rysunek 3. Lista certyfikatów w bazie DB.

Mnie interesuje certyfikat Microsoft Windows Producation PCA 2011. Wygaśnie on 19.10.2026 r.

Polecenie 

Get-UEFICertificate -Type KEK

Pokaże mi wszystkie certyfikaty dotyczące KEK.

Rysunek 4. Lista certyfikatów zapisanych w KEK.

Mnie interesuje certyfikat Microsoft Corporation KEK CA 2011, który wygaśnie 24.06.2026 r.

Po sprawdzeniu dodatkowo wiem, że na tym komputerze brakuje jeszcze certyfikatu w bazie DB – Windows UEFI CA 2023.

Proces aktualizacji certyfikatów na zainstalowanym systemie

Gdy system operacyjnym jest już zainstalowany i na bieżąco obsługiwanym aktualizowany to proces odnowienia certyfikatu jest prosty.

Poleceniem

Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name UEFICA2023Status | Select-Object UEFICA2023Status

sprawdzam jaki jest status aktualizacji certyfikatów UEFI.

Rysunek 5. Aktualizacja certyfikatów nie została uruchomiona.

To samo można ręcznie sprawdzić w rejestrze.

Rysunek 6. Wpisy w rejestrze dotyczące aktualizacji certfyfikatów UEFI.

Sprawdziłem, że aktualizacja jest wymagana. Teraz muszę ją uruchomić.

Polecenie 

Set-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot’ -Name ‘AvailableUpdates’ -Value 0x5944

wpisuje do rejestru informacje o potrzebie wykonania aktualizacji certyfikatów. Następnie uruchamiam wbudowany w system harmonogramu zadań – \Microsoft\Windows\PI\Secure-Boot-Update.

Rysunek 7. Harmonogram zadań odpowiedzialny za aktualizacje certyfikatów UEFI.

Po uruchomieniu zadania Secure-Boot-Update w Podglądzie zdarzeń zobaczę wpis dotyczący konieczności ponownego uruchomienia komputera.

Rysunek 8. Wpisy w Podlądzie zdarzeń dotyczące rozpoczęcia procesu aktualizacji certyfikatów UEFI.

W rejestrze pojawi się również wpis o rozpoczęciu procesu aktualizacji certyfikatów UEFI.

Rysunek 9. Wpis UEFICA2023Status o wartości InProgress informuje o rozpoczęciu aktualizacji.

Po restarcie status nie musi się od razu zmienić. Po paru minutach sprawdzam status ponownie. Tym razem wartość InProgress zmieniła się na Updated.

Rysunek 10. Wpis UEFICA2023Status o wartości Updated informuje o zakończeniu aktualizacji.

Pozostaje mi tylko sprawdzić, czy certyfikaty faktycznie się odnowiły, a także czy certyfikat Windows UEFI CA 2023 został wygenerowany dla tego komputera.

Sprawdzanie wykonania aktualizacji certyfikatów

Rysunek 11. Wpis w Podglądzie zdarzeń o zakończonym procesie aktualizacji.

Ponownie korzystam z poleceń Powershell ,tak jak przed aktualizacją

Get-UEFICertificate -Type KEK
Rysunek 12. Lista certyfikatów w KEK.

Pojawił się nowy certyfikat Microsoft Corporation KEK 2K CA 2023 ważny do o2.03.2038 r.

Get-UEFICertificate -Type DB
Rysunek 13. Lista certyfikatów w bazie DB.

Pojawił się nowy certyfikat Windows UEFI CA 2023 ważny do 13.06.2035 r. Proces aktualizacji zakończył się sukcesem.

Proces aktualizacji certyfikatów na preinstalowanym systemie

Proces odnowienia certyfikatu na komputerze w trybie OOBE jest nieco inny. Taki system nie jest zarządzany i nie ma na nim zainstalowanej aktualizacji, która konfiguruje dodatkowe wpisy w rejestrach dotyczące certyfikatów UEFI.

W taki wypadku trzeba wykorzystać skrypt, który sprawdzi czy są certyfikaty do odnowienia, następnie wpisze w rejestrach informacje o potrzebie ich odnowienia, na koniec wykona ponowne uruchomienie komputera.

Strona główna

Zaszufladkowano do kategorii Security | Otagowano | Dodaj komentarz