Метод на групови правила обекти (GPO) за защитено стартиране за устройства с Windows с актуализации, управлявани от ИТ

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 30 октомври 2025 г.
  • ИД на БЗ: 5068198
Тази статия има указания за:

  • Организации, които имат собствен ИТ отдел, който управлява устройства с Windows и актуализации.
Забележка: Ако сте физическо лице, което притежава лично устройство с Windows, вижте статията Устройства с Windows за домашни потребители, фирми и учебни заведения с актуализации, управлявани от Microsoft.
Наличност на тази поддръжка
  • 11 ноември 2025 г.: За версии на Windows, които все още се поддържат.
Регистър на промените
Промяна на датата Описание на промяната
20 февруари 2026 г.
  • Актуализиран раздел - "Наличност на тази поддръжка"
  • Актуализиран раздел "Въведение"
  • Добави бележка под "Ресурси" за клиента и за сървъра.
11 ноември 2025 г.
  • Връзката към клиент е актуализирана под "Ресурси" от - "https://www.microsoft.com/download/details.aspx?id=108394" за да — www.microsoft.com/en-us/download/details.aspx?id=108428.
  • Датата на публикуване е променена от 29.09.2025 г. на 27.10.2025 г.
26 ноември 2025 г.
  • Добави нова бележка в "Автоматично внедряване на сертификат чрез Актуализации".
  • Размяна на дефинициите за "Разрешен" и "Дезактивиран" под "Автоматично внедряване на сертификат чрез Актуализации".

В тази статия:

Въведение

Този документ описва поддръжката за разполагане, управление и наблюдение на актуализациите на сертификати за защитено стартиране с помощта на обекта групови правила за защитено стартиране. Настройките се състоят от:

  • Възможността за задействане на разполагане на устройство
  • Настройка за включване/отписване от набори с висока достоверност
  • Настройка за включване/отписване от управлението на актуализации от Microsoft

Забележка: Административните шаблони (.admx) и груповите правила ще трябва да се изтеглят от официалния сайт на Microsoft. Вижте: Ресурси.

Метод за конфигуриране на обекти с групови правила (GPO)

Този метод предлага проста настройка на групови правила за защитено стартиране, която администраторите на домейна могат да задават, за да разположат актуализации на защитеното стартиране на всички клиенти и сървъри на Windows, присъединени към домейна. Освен това две помощни действия за защитено стартиране могат да се управляват с настройки за включване/отписване.

За да получите актуализациите, които включват правилата за разполагане на актуализации на сертификати за защитено стартиране, вижте раздела "Ресурси" по-долу.

Тези правила могат да бъдат намерени под следния път в потребителския интерфейс на групови правила:

Компютърна конфигурация –> Административни шаблони –> Компоненти на Windows –> Защитено стартиране

Важно

Актуализациите на защитеното стартиране зависят от фърмуера на устройството и някои устройства може да имат проблеми със съвместимостта. За да осигурите безопасно внедряване:

  1. Проверете правилата за актуализиране на поне едно представително устройство за всеки тип устройство във вашата организация.
  2. Уверете се, че сертификатите за защитено стартиране са приложени успешно към UEFI базата данни и KEK. За подробни стъпки посетете "Актуализации на сертификата за защитено стартиране": указания за професионалисти и организации в областта на информационните технологии.
  3. След проверката групирайте устройствата по хеш на набор и приложете правилата към тях за контролирано внедряване.

Налични настройки за конфигурация

Изображение

Трите настройки, налични за разполагане на сертификат за защитено стартиране, са описани тук. Тези настройки съответстват на ключовете от системния регистър, описани в актуализациите на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии.

Разрешаване на разполагането на сертификат за защитено стартиране

Име на настройката на групови правила: Разрешаване на внедряването на сертификат за защитено стартиране

изображения

Описание:
Тези правила контролират дали Windows инициира процеса на внедряване на сертификата за защитено стартиране на устройствата. 

  • Разрешено: Windows автоматично започва да разполага актуализирани сертификати за защитено стартиране, след като задачата за защитено стартиране се изпълни.
  • Дезактивирано: Windows не разполага сертификати автоматично.
  • Не е конфигурирано: Прилага се поведение по подразбиране (няма автоматично разполагане).

Забележка

  • Задачата, която обработва тази настройка, се изпълнява на всеки 12 часа. Някои актуализации може да изискват рестартиране, за да завършат безопасно.
  • След като сертификатите са приложени към фърмуера, те не могат да бъдат премахнати от Windows. Изчистването на сертификатите трябва да се извърши чрез интерфейса на фърмуера.
  • Тази настройка се счита за предпочитание; ако обектът с групови правила (GPO) бъде премахнат, стойността в системния регистър остава.
  • Съответства на ключа от системния регистър AvailableUpdates.

Автоматично внедряване на сертификат чрез Актуализации

Име на настройката на групови правила: Автоматично внедряване на сертификат чрез Актуализации

изображения.

Описание:
Тези правила контролират дали актуализациите на сертификата за защитено стартиране се прилагат автоматично чрез месечни актуализации на защитата и несвързани със защитата на Windows. Устройства, които Microsoft е проверил като способни да обработват променливи актуализации на защитеното стартиране, ще получат тези актуализации като част от кумулативно обслужване и ще ги приложат автоматично. 

Забележка

Разрешаването на тези правила забранява автоматичното разполагане на сертификат чрез Актуализации. Това е еквивалентно на настройване на ключа от системния регистър HighConfidenceOptOut на 1.
Забраняването на тези правила включва автоматично внедряване на сертификат чрез Актуализации, което е еквивалентно на настройка на HighConfidenceOptOut на 0.

  • Разрешено: Автоматичното разполагане е блокирано; Актуализациите трябва да се управляват ръчно.
  • Дезактивирано: Устройства с проверени резултати от актуализацията ще получават автоматично актуализации на сертификати по време на обслужване.
  • Не е конфигурирано: Автоматичното разполагане се извършва по подразбиране.

Забележка

  • Предвидените устройства са потвърдени за успешна обработка на актуализациите.
  • Конфигурирайте тези правила, за да изберете автоматично разполагане.
  • Съответства на ключа от системния регистър HighConfidenceOptOut.

Разполагане на сертификат чрез контролирано внедряване на функции

Име на настройката на групови правила: Внедряване на сертификат чрез контролирано внедряване на функции

картина

Описание:
Тези правила позволяват на предприятията да участват в контролирано внедряване на функция за актуализация на сертификат за защитено стартиране, управлявана от Microsoft.

  • Разрешено: Microsoft помага при разполагането на сертификати на устройства, които са записани в внедряването.
  • Дезактивирано или не е конфигурирано: Няма участие в контролирано внедряване.

Изисквания:

Ресурси

Вижте също Актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии , за подробности относно ключовете от системния регистър UEFICA2023Status и UEFICA2023Error за наблюдение на резултатите за устройствата.

Вижте събития за актуализиране на база данни за защитено стартиране и DBX променливи за събития, които са полезни за разбирането на състоянието на устройствата, атрибутите на устройствата и ИД на набора устройства. Обърнете специално внимание на събитията от 1801 г. и 1808 г., описани на страницата със събития.

За MSI за групови правила и справочната електронна таблица за настройки на GP използвайте връзките по-долу или се уверете, че административните шаблони, които използвате, са публикувани на или след датите, посочени в таблицата.

Платформа Публикуван MSI Публикувана справочна електронна таблица за настройки на GP
Клиент
Забележка: Административните шаблони (.admx) не зависят от операционната система и работят във ВСИЧКИ поддържани операционни системи.
Изтегляне на административни шаблони (.admx) за актуализация на Windows 11 2025 (25H2) – v2.0 от официалния сайт на Microsoft
Публикувано: 27.10.2025 г.
Изтегляне на справочна електронна таблица за настройки на групови правила за актуализация на Windows 11 2025 (25H2) – v2.0 от официалния сайт на Microsoft
Публикувано: 2.10.2025 г.
Сървър
Забележка: Административните шаблони (.admx) не зависят от операционната система и работят във ВСИЧКИ поддържани операционни системи.
Изтегляне на административни шаблони (.admx) за Windows Server 2025 (издание от 25 октомври) от официалния сайт на Microsoft
Публикувано: 27.10.2025 г.
Изтегляне на справочна електронна таблица за настройки на групови правила за Windows Server 2025 (издание от 25 октомври) от официалния сайт на Microsoft
Публикувано: 27.10.2025 г.