Kategori: Kategorilenmemiş

Microsoft’un 10 yıllık Secure Boot sertifikaları Haziran 2026‘dan itibaren emekli olmaya başlıyor. Eğer sunucularınızda manuel tetikleme yapmadıysanız, “Enforcement Phase” (Zorunlu Uygulama) aşamasında boot sorunları yaşamanız an meselesi.

Aşağıdaki rehber ile mevcut durumunuzu sorgulayabilir ve gerekli bir işlem varsa aşağıdaki yöntemler ile aksiyon alabilirsiniz.

🔍 1. Adım: Durum Analizi (Durumu Gösteren Script)

Bu PowerShell betiği; sistemin modunu, Secure Boot durumunu ve sertifikaların güncelliğini kontrol ederek size net bir “Aksiyon Gerekli mi?” raporu sunar:

PowerShell scripti yönetici olarak çalıştırmanız gerekiyor.

$Firmware = Get-ComputerInfo -Property "BiosFirmwareType"
if ($Firmware.BiosFirmwareType -ne "Uefi") {
    Write-Host "[!] Sistem Legacy BIOS. Güvenli önyükleme kullanılmıyor, işleme gerek yok." -ForegroundColor Yellow
} else {
    if (-not (Confirm-SecureBootUEFI)) {
        Write-Host "[!] Sistem UEFI ama Secure Boot KAPALI. Gelecekte açılacaksa müdahale gerekir." -ForegroundColor Gray
    } else {
        # Sertifika ve Reg Kontrolleri
        $dbMatch = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
        $kekMatch = [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
        $regStatus = (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -ErrorAction SilentlyContinue).UEFICA2023Status

        if ($dbMatch -and $kekMatch -and ($regStatus -eq "Updated")) {
            Write-Host "[✓] Sistem TAMAMEN GÜNCEL. Herhangi bir işlem yapmanıza gerek yok." -ForegroundColor Green
        } else {
            Write-Host "[X] Sistem GÜNCEL DEĞİL. Manuel müdahale GEREKLİ!" -ForegroundColor Red
            Write-Host "Eksikler: DB: $dbMatch | KEK: $kekMatch | Durum: $regStatus"
        }
    }
}

📅 Neden Şimdi? Kritik Sertifika Takvimi

🛠️ 2. Adım: Uygulama ve Hızlandırma

Eğer sisteminiz güncel değilse, aşağıdaki adımları sırasıyla uygulayın:

Birinci yöntem olarak aşağıdaki registry değerini girerek 2 kez reboot edebilirsiniz.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x1 -Type DWord

Diğer yöntem olarak 1 reboot ile yapmak için aşağıdaki işlemler izlenebilir.

1. Registry ile değişikliğe zorlamak:
   • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
2. DB Güncellemesini Başlatın:
   • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
3. Sunucuyu Yeniden Başlatın
4. KEK Senkronizasyonunu Tetikleyin (Reboot Sonrası):
   • Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

📊 3. Adım: Başarı Doğrulama (Event Log)

İşlemin sonucunu aşağıdaki PowerShell satırı ile loglardan teyit edebilirsiniz.:

PowerShell

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1808, 1034, 1801} -MaxEvents 10 | Select-Object TimeCreated, Id, Message

• 1808 & 1034: Başarılı.
• 1801: Hata! Firmware güncel olmayabilir veya BIOS yazma koruması devrede olabilir. Kritik notlarda çözümlere bakabilirsiniz..

🔍4. Tekrar Doğrulama (Powershell)

İlk başta çalıştırdığımız scripti tekrar çalıştırarak kontrol edebilirsiniz.

💡 Kritik Notlar

• BIOS Update: Eğer 1801 hatası alıyorsanız, önce donanım üreticinizin en güncel BIOS/Firmware sürümünü yükleyin.
• VMware: KEK yükseltme hatası alırsanız sanal makineyi kapatıp .nvram dosyasını silin. Dikkat bu işlem sanal sunucunun bios ayarlarını sıfırlayacaktır. Çözülmezse son çare olarak .vmx dosyasına uefi.allowAuthBypass = "TRUE" ekleyebilirsiniz.
• Geri Dönüş Yok: DBX güncellendikten sonra eski (2023 öncesi) kurulum medyalarıyla sistemi boot edemezsiniz. ISO’larınızı güncellemeyi unutmayın!

Kaynaklar:

Gemini
https://support.microsoft.com/tr-tr/topic/windows-g%C3%BCvenli-%C3%B6ny%C3%BCkleme-sertifikas%C4%B1-s%C3%BCre-sonu-ve-ca-g%C3%BCncelle%C5%9Ftirmeleri-7ff40d33-95dc-4c3c-8725-a9b95457578e

https://knowledge.broadcom.com/external/article/423919

Daha detaylı powershell içerikleri için bakılabilir.
https://github.com/cjee21/Check-UEFISecureBootVariables

Selamlar Arkadaşlar,

Office 2019 tarafında kurulum değişmiş, artık eskisi gibi iso indirip kuramıyoruz (VLSC hesabından da).

Kurulum için öncelikle Office Deployment Tool indiriliyor (https://www.microsoft.com/en-us/download/details.aspx?id=49117) ve çalıştırıldıktan sonra setup.exe dosyasını  bir klasöre açıyor.

Sonrasında hangi paketleri kuracağımızı içeren bir xml dosyası oluşturmamız gerekiyor (Örnekler: https://www.microsoft.com/en-us/download/details.aspx?id=49117  adresinde var), yazının altında bir örnek yer alıyor.

Sonrasınca cmd açıp, setup.exe /download olusturdugumuz.xml komutunu çalıştırınca cmd penceresinde bulunduğumuz dizine office isimli klasör açıp download ediyor.

Download bitince cmd penceresine düşüyor. Sonra kuracağımız bilgisayarlara office klasörünü, setup.exe ve olusturdugumuz.xml dosyasını kopyalıyoruz.

Kurulum için cmd yi runas ile açıyoruz, kopyaladığımız dizine gidiyoruz. setup.exe /configure olusturdugumuz.xml çalıştırınca kuruyor.

Ne harika, bir bu atraksiyonlar eksikti.

Örnek XML içeriği aşağıdaki gibi oluyor

<Configuration>
<Info Description=”Office Standard 2019 (64-bit)” />
<Add OfficeClientEdition=”64” Channel=”PerpetualVL2019“>
<Product ID=”Standard2019Volume” PIDKEY=”XXXXX-XXXXX-XXXXX-XXXXX-XXXXX“>
<Language ID=”tr-tr” />
</Product>
</Add><RemoveMSI />
<Display Level=”Full” AcceptEULA=”TRUE” />
</Configuration>

PaloAlto Vm sürümüne ek bir ethernet kartı eklediğinizde aşağıdaki gibi hata verip sistem bakım modunda açılıyorsa.

“Data interface network adapter is not same as management interface. If virtual network adapter is used as data interface, it has to be the same type as management interface”

Eklediğiniz ağ kartının vmnet3 olmamasındandır. Sanal sunucunun vmx dosyasını açıyoruz. Tüm ağ kartlarını vmnet3 tipine alıyoruz.

ethernet2.virtualDev = "e1000"
değerini aşağıdaki değer ile değiştirip
ethernet2.virtualDev = "vmxnet3"

kullanılan toolun kötü bir özelliği var bağlanan makinenin local ip adresini gösteriyor. 🙁 firmaya durumu ilettim ama değiştirirler mi bilemiyorum. Ama toolu kullanarak şöyle yapabilirsiniz örneğin sizin terminal sunucunuzun bulunduğu ip bloğu 10.0.5.xx gibi bir bloksa. 10.0.5 ile başlamıyorsa kullanıcıyı logoff edebilirsiniz. kullanıcının local ip adresi genelde 10.0.0.x / 192.168.1.x/192.168.2.x şeklinde (standart adsl modemlerin dağıtımı, en çok kullanılan bloklar bunlar.)

Toolu http://www.ctrl-alt-del.com.au/CAD_Utils.htm adresinden indirebilirsiniz. adı GETTSCIP

kontrol etmek istediğiniz kullanıcıların logon scriptine

Mantığı: Kullanıcının belgelerim klasörüne k.adı.txt isimli bi dosyaya GETTSCIP ile bağlanan kullanıcının ip adresini kayıt ettiriyoruz. Sonra programın verdiği çıktıdan (WTSClientAddress: 192.168.2.51) ip adresini ve adresin ilk 7 karakterini alıyoruz. Sonra bizim ip bloğumuz ile karşılaştırıyoruz tutmuyorsa kullanıcı logoff oluyor.

Set oShell = Wscript.CreateObject(“Wscript.Shell”)
kullanici = oShell.ExpandEnvironmentStrings(“%USERNAME%”)
masaustu = oShell.SpecialFolders(“MyDocuments”)
tamyol= “””” &  masaustu & “\” & kullanici &  “.txt” & “”””
komut = “cmd /K ipal.exe > ” & tamyol &  ” & exit”
oShell.run (komut)
tamyol2=masaustu & “\” & kullanici &  “.txt”
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
Set objFile = objFSO.OpenTextFile(tamyol2, ForReading)
Const ForReading = 1
ip=objFile.ReadLine
Dim arrFileLines()
objFile.Close
MyArray = Split(ip, “: “, -1, 1)
ip=MyArray(1)
ip=Mid(ip, 1, 7)
if ip = “10.0.5.” then
msgbox “Localden geliyor”
else
oShell.run (“logoff”)
end if