ПК аппараттық қауіпсіздігі: TPM, Secure Boot және шифрлау
ПК аппараттық қауіпсіздігі: UEFI мен Windows-та TPM, Secure Boot және диск шифрлауды қалай қосып, олардың шынымен жұмыс істейтінін тез тексеруге арналған нұсқаулық.

TPM, Secure Boot және шифрлау не үшін керек
ПК аппараттық қауіпсіздігі деректер мен жүктеуді Windows іске қосылардан бұрын қорғауға бағытталған. TPM, Secure Boot және диск шифрлауды жиі бірге қосады, себебі олар бір тапсырманың әртүрлі жақтарын жабады.
Әр функция қандай қауіптен қорғайды
TPM (Trusted Platform Module) криптографиялық кілттерді қорғалған модульде сақтайды және құрылғы мен жүктеу тізбегінің өзгермегенін растауға көмектеседі. Бұл шифрлау кілттерін ұрлаудан сақтайды және дискіні басқа компьютерге қойып, деректерді оңай шығару сценарийін қиындатады.
Secure Boot жүктеу кезінде тек сенімделген жүктеушілер мен қол қойылған компоненттердің іске қосылуын тексереді. Ол Windows-тан бұрын енетін буткиттер мен басқа шабуылдардан қорғайды, олар жүйені байқалмай басқаруды қолға алуы мүмкін.
Диск шифрлауы (мысалы, BitLocker) дискінің ішін кілтсіз оқылмайтындай етіп кодтайды. Ноутбук жоғалған немесе ұрланған жағдайда, физикалық қолжетімділік болса да, деректер оқылмайды.
Бәрі бірге жұмыс істегенде: Secure Boot жүктеудің ауыстырылу қаупін төмендетеді, TPM кілттерді қауіпсіз сақтайды және тұтастықты тексереді, ал шифрлау файлдарды қорғайды.
Бұл функциялар не шеше алмайды
Қорғаныстың шекараларын түсіну маңызды, әйтпесе жалған қауіпсіздік сезімі пайда болады.
Олар фишингтен сақтамайды — пайдаланушы жалған сайтқа өзі пароль енгізсе, қорғаныс көмектеспейді. Әлсіз парольдерді, жалпы аккаунттарды немесе экран құлпынсыз қалдыруды өтемейді. Сондай-ақ, жүйенің жүктеліп жұмыс істеп тұрған кезіндегі зиянды бағдарламаларды (электрондық пошта немесе флешка арқылы келген) емдемейді. Қашықтан қолжетімдікті, жаңартуды және антивирусты алмастырмайды.
TPM, Secure Boot және шифрлауды алдын ала қосқан жөн. Инциденттен кейін қосуға тырысу жиі кеш болады: егер диск көшіріліп қойылған немесе жүктеу тізбегі бұзылған болса, кейіннен қосу әсерін өшірмейді.
Бұл әсіресе жеке деректер көп және есеп беру талаптары қатаң офис жағдайларында маңызды: жолда жүретін қызметкерлері бар компаниялар, мемлекеттік органдар, медицина, білім және қаржы ұйымдары. Бір ғана шифрламай жоғалған құрылғы деректердің таралуына әкелуі мүмкін.
Терминдер қысқаша, баптауларда адаспауы үшін
Аппараттық қауіпсіздікті баптағанда үш түрлі нәрсені шатастырмау керек: жүктеу режимі (UEFI/Legacy), жүктеу тізбегін тексеру (Secure Boot) және диск деректерін қорғау (шифрлау).
UEFI және Legacy BIOS — компьютердің жүктелу режимдері. Legacy BIOS — ескі нұсқа, қазіргі қауіпсіздік тексерулері үшін ыңғайсыз. UEFI — қазіргі заманғы фирмвар, жүктеушінің қолтаңбасын тексеру мен баптауларды жеңіл басқаруды қолдайды. Қазіргі кезде Secure Boot әдетте UEFI талап етеді.
TPM 2.0 — қауіпсіздік модулі (кейде тақтаға орнатылған чип, кейде процессордың функциясы). Оның міндеті — криптокілттерді қорғап сақтау, тіпті құрылғыға физикалық қолжетімділік болса да оларды шығару қиын болатындай ету. Windows-та TPM көбіне шифрлау кілттерін сақтау және жүйенің күтілген күйде жүктелгенін тексеру үшін қажет.
Secure Boot — компьютер жүктеу кезінде тек сандық қолтаңбасы бар сенімді құрамдастардың іске қосылуына рұқсат ететін UEFI тексеруі. Егер жүктеуші алмасса, Secure Boot жүйенің жүктелуіне әдетте жол бермейді.
Диск шифрлауы (BitLocker) — ұрланған жағдайда деректерді қорғайды. Шифрланған жағдайда диск мазмұны кездейсоқ деректерге ұқсайды, SSD-ні алып басқа ПК-ға қосса да құжаттарды кілтсіз оқу мүмкін емес.
Есте сақтауға ыңғайлы байланыс:
- UEFI — Secure Boot пен TPM-ді қосатын орын
- TPM — шифрлауды шешетін кілттің бір бөлігін сақтайтын орын
- диск шифрлауы — ұрлық кезінде деректерді оқылмайтындай ететін механизм
Дұрыс баптағанда, ноутбук ұрланған кезде шабуылдаушы құжаттар орнына қалпына келтіру кілті немесе пароль сұраумен ғана бетпе-бет болады.
Баптаудан бұрын: алдын ала не тексеру керек
UEFI параметрлерін өзгертпес бұрын және қорғаныс функцияларын қоспас бұрын 10 минут уақыт бөлсеңіз, жүйе жүктелмеу немесе шифрлаудың басталмауы сияқты кішкентай мәселелерден сақтануға көмектеседі.
-
Windows UEFI режимінде жүктелетінін тексеріңіз, Legacy (CSM) емес. Windows-та «Сведения о системе» ашып, «Режим BIOS» жолын табыңыз. Егер «UEFI» тұрса, бәрі дұрыс.
-
Windows редакциясын анықтаңыз. BitLocker үшін әдетте Pro/Enterprise/Education нұсқалары қажет. Home редакциясында шифрлау мүмкіндіктері шектеулі болуы мүмкін немесе басқаша аталады.
-
Маңызды файлдардың резервтік көшірмесін жасаңыз. Secure Boot қосу немесе TPM параметрін өзгерту кейде қайта жүктеуді және қосымша растауларды талап етуі мүмкін. Бір ғана көшірме бар жерде тәуекелге бармаңыз.
-
Кіруді дайындаңыз. Windows-та әкімші аккаунты қажет және UEFI-ге қалай кіруді білу (әдетте Del/F2 іске қосу кезінде, модельге қарай өзгереді). Корпоративті ПК болса, UEFI паролі бар-жоқтығын алдын ала анықтаңыз.
-
TPM 2.0 бар-жоғын тексеріңіз.
tpm.mscашып, «Версия спецификации: 2.0» көрсетілгенін қараңыз. Егер TPM табылмаса, ол UEFI-де өшірілген болуы мүмкін.
Қысқаша тізім — баптауға дейін дайын болу керек нәрселер:
- Windows UEFI режимінде жүктеледі (Legacy/CSM емес)
- BitLocker-ды қолдайтын Windows редакциясы белгілі
- маңызды файлдардың резервтік көшірмесі бар
- әкімші қолжетімділігі және UEFI-ге кіру жолы анық
- TPM 2.0 немесе UEFI-дегі PTT/fTPM опциялары расталған
Қадам-қадам: UEFI-де TPM және Secure Boot-ты қосу
Негізгі аппараттық қауіпсіздік Windows-тан бұрын — UEFI баптауларында басталады. Пункттердің атаулары әр өндірушіде (AMI/ASUS, Lenovo, HP, Dell) әртүрлі болуы мүмкін, бірақ логика ұқсас.
1) UEFI-ге кіріп, қажетті бөлімдерді табу
Кіріс әдетте құрылғыны қосқанда дереу: көбінесе Del, F2, кейде F10 немесе Esc. Егер уақытында баса алмасаңыз, қайта жүктеп, батырманы жиі басып көріңіз.
Кейін Security, Boot, Advanced немесе Trusted Computing сияқты бөлімдерді іздеңіз. TPM опциялары Advanced-та, ал Secure Boot — Boot бөлімінде болуы мүмкін.
2) TPM (TPM 2.0) қосу
TPM әртүрлі аталу мүмкін: TPM Device, TPM Support, Security Chip, PTT (Intel Platform Trust Technology) немесе fTPM (AMD).
TPM параметрін қосыңыз (Enabled/On). Егер түрін таңдау болса, Intel үшін әдетте PTT, AMD үшін fTPM жеткілікті.
Егер «Clear TPM» туралы опция көрсеңіз, қажетсіз баспаңыз: ол бұрын конфигурацияланған шифрлауға қауіпті әсер етуі мүмкін.
Өзгерістерді сақтап (көбінесе F10) қайта жүктеңіз.
3) Secure Boot пен UEFI режимін қосу
Secure Boot әдетте UEFI талап етеді, Legacy/CSM-ды сөндіріңіз.
Көбінесе тәртіп мынадай: Boot бөлімінде CSM/Legacy-ді өшіріп, UEFI Only немесе жай ғана UEFI таңдаңыз, содан кейін Secure Boot-ты қосыңыз (Enabled). Кілттер туралы опция болса, көбінесе Standard/Default keys жарайды.
Егер Windows жүктелмей қалса
Көбінесе себебі — Windows Legacy режимге орнатылған болуы. УEFI-ге оралу мүмкіндігін қалдыру үшін уақытша CSM/Legacy режимін қайта қосып, жүктеуді қалпына келтіріңіз.
TPM/Secure Boot қосқан соң не болып жатқанын білмесеңіз, диск пен кілттермен тәжірибе жасаудан сақтаныңыз. Корпоративті ортада (домен, корпоративтік образ, саясатпен басқарылатын BitLocker) IT маманына жүгіну ақылды: TPM, Secure Boot және шифрлауды дұрыс тізбектеп қосу маңызды, әйтпесе алғашқы қайта жүктеуде қалпына келтіру кілтін сұраған жағдай туындауы мүмкін.
Windows-та тексеру: бәрі шынымен қосылды ма
UEFI-ден параметрлерді өзгерткеннен кейін Windows олардың қосылғанын нақты көруі керек. Әйтпесе сіз қорғаныс орнатылды деп ойлап, оның бір бөлігі жұмыс істемей қалуы мүмкін.
TPM: tpm.msc арқылы күйін тексеру
Win + R басып, tpm.msc енгізіп, оснастықты ашыңыз. Терезенің жоғарғы бөлігінде модуль дайын ба екені көрінеді.
Егер TPM қосылып, пайдалануға дайын болса, Windows оны шифрлау кілттерін қорғау үшін қолдана алады.
Secure Boot және жүктеу режимі: msinfo32 арқылы тез тексеру
Win + R басып, msinfo32 енгізіп, «Сведения о системе» ашыңыз. Тексеру:
- «Состояние безопасной загрузки» (Secure Boot) — «Вкл.» болуы керек
- «Режим BIOS» — «UEFI», Legacy емес
Егер UEFI-де Secure Boot қосылған болса, бірақ Windows-та ол «Выкл.» деп тұрса, конфигурация қолданылмаған немесе үйлесімділік режимдері, кілттер не драйверлар кедергі келтіруі мүмкін.
Сондай-ақ жүйелік дискінің бөлімдеуін тексеріңіз. «Диск басқару» (Управление дисками) ішінен дискке тінтуірдің оң жақ батырмасымен басып, «Свойства» → «Тома» тармағында «Стиль разделов» бөлімін қараңыз. Қазіргі UEFI үшін әдетте «GUID Partition Table (GPT)» керек.
Егер параметр жоқ немесе қате көрсетілсе
Жиі кездесетін себептер:
- TPM UEFI-де өшірілген немесе дұрыс тип таңдалмаған (PTT/fTPM белсендірілмеген)
- жүйе Legacy режимінде жүктеледі, сондықтан Secure Boot қосылмайды
- диск MBR болып қалса (ескі орнатулар немесе клондау кезінде)
- Secure Boot қосылған, бірақ Windows-та «Выкл.» көрінеді — CSM немесе кілттер бөгет болуы мүмкін
tpm.mscішінде TPM дайын емес делінсе: UEFI/BIOS пен чипсет драйверлерін жаңарту көмектесуі мүмкін, бірақ алдымен UEFI баптауларын тексеріңіз
Егер сәйкеспеушілік болса, бәрін бірден өзгертпеңіз. Алдымен tpm.msc пен msinfo32 көрсеткендерін тіркеңіз, содан кейін дәл сол мәселені түзетіңіз.
Диск шифрлауы: қарапайым түрде қосу және баптау
Диск шифрлауы ноутбук ұрланған кезде немесе диск басқа ПК-ға қойылып оқылмақ болғанда деректерді қорғайды. TPM пен Secure Boot-пен бірге бұл аппараттық қауіпсіздіктің ең түсінікті және тиімді бөлігі.
Құрылғы шифрлауы мен BitLocker арасындағы айырмашылық
Windows-та екі ұқсас режим кездеседі.
Құрылғы шифрлауы — жеңілдетілген режим, кей ноутбуктарда автоматты қосылады. Әдетте ол жүйелік дискіні шифрлайды және баптаулар аз.
BitLocker — толықтай құрал: қандай дискіні шифрлау, сыртқы құрылғыларға талап қою және қалпына келтіру кілттерін басқару мүмкіндігі бар. Жұмыс компьютері үшін BitLocker әкімшілендіруге ыңғайлы.
BitLocker қалай қосылады
TPM белсенді және жүктеу UEFI-ден екеніне көз жеткізіңіз. Әдеттегі тәртіп:
- «Управление BitLocker» ашып, жүйелік дискіні таңдаңыз.
- «Включить BitLocker» басып, ашу әдісін таңдаңыз (көбінесе TPM, кейде PIN қосылады).
- Не шифрлауды таңдайсыз: тек бос орындар (жаңа ПК жылдам) немесе толық диск (қолданылған жүйе үшін қауіпсізрек).
- Шифрлауды бастаңыз және аяқталғанша компьютерді қосуды жалғастырыңыз.
Қазіргі жүйелерде өнімділікке әсер әдетте аз, бірақ ескі дискілерде алғашқы шифрлау ұзақ уақыт алуы мүмкін.
Қалпына келтіру кілті — аса маңызды. Егер Windows жүктеу конфигурациясын «қорқынышты» өзгеріс ретінде байқаса (мысалы, UEFI жаңартулары немесе баптаулардан кейін), ол осы кілтті сұрауы мүмкін. Кілт жоғалса, деректерге қолжетімділік тәуекелге ұшырайды.
Қалпына келтіру кілтін сақтау ұсыныстары:
- жеке құрылғылар үшін Microsoft аккаунты
- ұйымдар үшін домен/AD немесе MDM
- басып шығарып, сейфке салу (сақтық көші)
- ноутбукпен бірге сақталмайтын бөлек қорғалған тасымалдаушы
Ішкі және сыртқы дискілер үшін шифрлау режимдері
Ішкі дискілер үшін қазіргі Windows нұсқаларында әдетте XTS-AES қолданылады. Сыртқы құрылғылар үшін BitLocker To Go қосып, пароль орнатыңыз. Ескі Windows нұсқаларында ашу қажет болатын флешкалар үшін үйлесімді шифрлау режимін таңдаңыз.
Күйді тексеру үшін «Управление BitLocker» немесе әкімші құқықтарымен командалық жолда manage-bde -status орындаңыз.
Практикалық мысал: қызметкер командировкада ноутбук жоғалтты. Шифрланбаған жағдайда табылған адам дискіні басқа ПК-ға қосып құжаттарды көшіре алады. BitLocker қосылса және қалпына келтіру кілті дұрыс сақталған болса, физикалық қолжетімділік болса да деректер жабық күйде қалады.
Өмірден мысал: жоғалған ноутбук және деректерге кіруге талпыныс
Қызметкер ноутбукты таксиде ұмытып қалды. Дискінде жұмыс файлы: келісім-шарттар, хаттар, құжаттардың скан-нұсқалары, браузердегі сақталған парольдар. Табылған адам міндетті түрде хакер болмауы да мүмкін — жай ғана ішін көруді қалайды.
Бірінші әрекет — Windows емес, сыртқы флешкадан (мысалы, Linux) жүктеп, пайдаланушы қалтасын ашуға тырысу. Егер диск шифрланбаған болса, бұл жиі сәтті болады. BitLocker қосылған болса, деректер шифрланған блоктар күйінде қалады және кілтсіз оқылмайды.
Екінші әрекет — жүктеуді өзгертіп қорғанысты айналып өту. Мұнда Secure Boot пен TPM 2.0-тің бірлескен жұмысы маңызды. Secure Boot сенімделген жүктеушіні тексерсе, TPM жүктеу параметрлерін тіркейді. BitLocker TPM-ге тіркелген болса, Windows тек әдеттегі, өзгермеген конфигурация кезінде ғана шифрлауды ашуға кілт береді.
Егер шабуылдаушы сыртқы носительден жүктеп, Secure Boot-ты өшіруге, жүктеушіні ауыстыруға немесе UEFI параметрлерін өзгертуге тырысса, BitLocker парольді немесе қалпына келтіру кілтін сұрайды. Кей жағдайларда диск басқа компьютерге қойылғанда да кілтсіз деректер оқылмайды.
Бұл логика жөндеу, UEFI/BIOS жаңартуы немесе аналық платаны ауыстыру сияқты «бейбіт» жағдайларда да жұмыс істейді. UEFI параметрлерін бастапқы күйге келтіру TPM үшін конфигурацияны өзгертеді — және жүйе қалпына келтіру кілтін сұрауы мүмкін. Бұл қате емес, қорғаныстың қалыпты реакциясы.
Құрылғы жоғалған алғашқы сағаттар маңызды. Құрылғы иесі дереу IT-ге хабарлап, жұмыс аккаунттарының парольдерін (пошта, VPN, корпоратив порталы) ауыстыруы керек. Егер құрылғыны басқару жүйесі болса, оны «жоғалған» ретінде белгілеңіз. IT тобы BitLocker қосылған ба, қалпына келтіру кілті қайда сақталғанын және құрылғыда алынуы тиіс жергілікті құпиялар бар-жоғын тез тексеруі маңызды.
Қате және тұзақтар, олар проблемаларға әкеледі
Көбіне ақаулар функциялардың өзінен емес, дұрыс емес тәртіп немесе баптаулардан туындайды.
Secure Boot қосылды, бірақ Windows жүктелмейді
Типтік сценарий: жүйе Legacy режимінде орнатылған кезде Secure Boot қосылады (немесе диск MBR). Нәтиже — қара экран немесе жүктеуші табылмады туралы хабар.
Кездейсоқ ауыстырулармен «жөндеуге» тырыспаңыз. Алдымен баптауларды бастапқы күйге қайтарып, жүктеліп, режимді (UEFI vs Legacy) тексеріп, содан соң UEFI және GPT-ге ауысуды жоспарлаңыз.
TPM-ді тазалап, деректерге қол жеткізе алмай қалу
TPM BitLocker-да қолданылатын кілттерді сақтайды. Сондықтан UEFI-дегі Clear TPM немесе Windows-тағы «Prepare TPM» опцияларын түсінбей шақырмаңыз.
TPM тазаланса, шифрланған құрылғы келесі жүктеуде қалпына келтіру кілтін сұрауы мүмкін. Бұл TPM конфигурациясының өзгергенін жүйенің автоматты түрде анықтауының салдары.
Қалпына келтіру кілтін сақтамай немесе қауіпті жерде сақтау
Ең қауіпті қате — шифрлауды қосып, қалпына келтіру кілтін дұрыс сақтамау. Екінші қауіпті қателік — кілтті сол компьютерде немесе ноутбукпен бірге сақталған флешкада қалдыру.
Құпияның қауіпсіз сақталуы: аккаунт/каталог арқылы әкімшіге қолжетімді сақтау, қорғалған сақтау орындарында қосымша көшірме және құрылғы аты бойынша кілтті жылдам табуға болатын рәсім.
USB-дан жүктеуді бірінші орынға қойып, UEFI-ні қорғамау
Егер жүктеу приоритеті USB-ды бірінші қойса, шабуылдаушы сыртқы тасымалдағыштан жүктеп офлайн шабуыл жасау мүмкіндігін жеңілдетеді. Secure Boot бұл сценарийдің кейбір түрлерінен қорғайды, алайда түгел жаба алмайды.
Практикалық тәсіл: қажет емес жүктеу нұсқаларын өшіріп, ішкі дискіні бірінші орынға қойып, UEFI-ге әкімші паролін орнатыңыз.
Корпоратив саясаты мен қолмен баптауды араластыру
Ұйымдарда көбіне BitLocker, TPM және жүктеу параметрлерін басқару саясаты бар. Бір құрылғыда қолмен өзгеріс енгізіп, саясат басқа нәрсе талап етсе, қайшылық пайда болады: шифрлау басталмай қалуы немесе әр жүктеуде кілт сұрауы мүмкін.
Егер құрылғы корпоративті болса, алдымен саясатты кім басқаратынын анықтап, жоба стандартымен үйлестіріп қатар жоспарлаңыз.
5 минуттық тез чеклист: баптаудан кейін бақылау
TPM, Secure Boot пен шифрлауды қосқаннан кейін бәрінің жұмыс істегеніне жылдам көз жеткізіңіз:
- UEFI және GPT.
msinfo32ішінде «Режим BIOS» UEFI болуы керек. «Диск басқару» ішінен жүйелік дискінің стильі — GPT. - TPM 2.0 дайын.
tpm.mscішінде «TPM готов к использованию», спецификация нұсқасы 2.0 көрсетуі тиіс. - Secure Boot қосылған.
msinfo32ішінде «Состояние безопасной загрузки» — «Вкл.» - BitLocker қосылған, кілт бөлек сақталған. «Управление BitLocker» арқылы күйін тексеріп, қалпына келтіру кілті осы ПК-да емес жерде сақталғанына көз жеткізіңіз.
- UEFI қорғалған. Әкімші паролі қойылған және USB/сыртқы құрылғылардан жүктеу шектелген немесе қосымша растауды талап етеді.
Қорытынды тест минуттай уақыт алады: ПК-ны 1–2 рет қайта қосыңыз. Дұрыс жағдайда Windows әдеттегідей жүктеледі, қалпына келтіру кілті сұралмайды. Егер кілт әр жүктеуде сұралса, жүктеу параметрлері өзгеріп жатыр немесе TPM дұрыс тіркелмегені туралы сигнал.
Ұйымдарға модель, TPM/Secure Boot/BitLocker статустарын қысқа акт ретінде тіркеу пайдалы: бұл партиялап сатып алу және қолдауды біркелкі ету үшін қажет.
Ұйым үшін келесі қадамдар: стандарттау, сатып алу, қолдау
Бір ПК-те базалық функцияларды қосқан соң, бұл тәжірибені бүкіл паркте стандарт ретінде бекіту керек. Аппараттық қауіпсіздік біркелкі болғанда қолдаудың оңайлығы артады және бір ұмытылған ноутбук үлкен оқиғаға айналмайды.
Міндетті минимумды стандарт ретінде бекітіңіз
Егер сізде 10–20-дан көп компьютер болса, қашық қызметкерлер немесе жеке деректермен жұмыс істейтін болсаңыз, келесі қадамдарды формализациялау керек: TPM 2.0 қосулы, Secure Boot қосулы, жүйелік диск шифрланған, қалпына келтіру кілттерін сақтау тәртібі және жөндеу немесе Windows қайта орнату жағдайындағы әрекет барысында рет.
Сатып алған кезде тек «Windows бар ма» деп қана емес, TPM 2.0 және Secure Boot-ты айналып өтпей-ақ қолдайтын құрылғыларды таңдау маңызды. Мемлекеттік сектор үшін жабдықтың шыққан жері мен өндіруші мәртебесі қосымша мәнге ие.
Техникалық сипаттамада қарапайым сұрақтарды қосыңыз: UEFI мен Windows-та TPM 2.0 расталады ма, Secure Boot әдеттегідей қосылады ма, UEFI/BIOS жаңартулары қалай ұйымдастырылған және баптаулар қалпына келтірілгенде не болады, қызмет кімге тапсырылған және қалпына келтіру кілттері қайда сақталады.
Егер жеткізілімді, енгізуді және қолдауды бірден қамтитын шешім керек болса, GSE.kz (GSE.kz) сияқты отандық өндіруші мен жүйелік интеграторды қарастыру орынды: компания 2015 жылдан бері ресми отандық өндіруші мәртебесіне ие, ISO 9001/14001/45001 сертификаттары бар және 24/7 сервис желісі бар.
Бір айға жоспар
Барлығын бірден қосудың орнына кезең-кезеңімен өту ыңғайлы:
- 1-апта: парк инвентаризациясы (модельдер, UEFI нұсқалары, TPM болу-болмауы, Windows редакциялары).
- 2-апта: 5–10 құрылғыда пилот (саясаттар, кілттерді сақтау, жүктеу және қалпына келтіру тесттері).
- 3-апта: бөлімдерге тарату, қысқа тоқтап қалу терезелерімен және қолданушыларға жадынама жіберу.
- 4-апта: сәйкестікті бақылау (есептер, таңдамалы тексерулер, ерекшеліктерді түзету) және стандартты рәсімдерді бекіту.
Осылайша баптау бір реттік тапсырма емес, қайта орнатулар мен жөндеулер кезінде де сақталатын басқарылатын тәжірибеге айналады.