Забележка
- Първоначална дата на публикуване: 30 октомври 2025 г.
- ИД на БЗ: 5068198
Тази статия има указания за:
|
|---|
Наличност на тази поддръжка
|
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 20 февруари 2026 г. |
|
| 11 ноември 2025 г. |
|
| 26 ноември 2025 г. |
|
В тази статия:
- Въведение
- Метод за конфигуриране на обекти с групови правила (GPO)
- Налични настройки за конфигурация
- Ресурси
Въведение
Този документ описва поддръжката за разполагане, управление и наблюдение на актуализациите на сертификати за защитено стартиране с помощта на обекта групови правила за защитено стартиране. Настройките се състоят от:
- Възможността за задействане на разполагане на устройство
- Настройка за включване/отписване от набори с висока достоверност
- Настройка за включване/отписване от управлението на актуализации от Microsoft
Забележка: Административните шаблони (.admx) и груповите правила ще трябва да се изтеглят от официалния сайт на Microsoft. Вижте: Ресурси.
Метод за конфигуриране на обекти с групови правила (GPO)
Този метод предлага проста настройка на групови правила за защитено стартиране, която администраторите на домейна могат да задават, за да разположат актуализации на защитеното стартиране на всички клиенти и сървъри на Windows, присъединени към домейна. Освен това две помощни действия за защитено стартиране могат да се управляват с настройки за включване/отписване.
За да получите актуализациите, които включват правилата за разполагане на актуализации на сертификати за защитено стартиране, вижте раздела "Ресурси" по-долу.
Тези правила могат да бъдат намерени под следния път в потребителския интерфейс на групови правила:
Компютърна конфигурация –> Административни шаблони –> Компоненти на Windows –> Защитено стартиране
Важно
Актуализациите на защитеното стартиране зависят от фърмуера на устройството и някои устройства може да имат проблеми със съвместимостта. За да осигурите безопасно внедряване:
- Проверете правилата за актуализиране на поне едно представително устройство за всеки тип устройство във вашата организация.
- Уверете се, че сертификатите за защитено стартиране са приложени успешно към UEFI базата данни и KEK. За подробни стъпки посетете "Актуализации на сертификата за защитено стартиране": указания за професионалисти и организации в областта на информационните технологии.
- След проверката групирайте устройствата по хеш на набор и приложете правилата към тях за контролирано внедряване.
Налични настройки за конфигурация
Трите настройки, налични за разполагане на сертификат за защитено стартиране, са описани тук. Тези настройки съответстват на ключовете от системния регистър, описани в актуализациите на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии.
Разрешаване на разполагането на сертификат за защитено стартиране
Име на настройката на групови правила: Разрешаване на внедряването на сертификат за защитено стартиране
Описание:
Тези правила контролират дали Windows инициира процеса на внедряване на сертификата за защитено стартиране на устройствата.
- Разрешено: Windows автоматично започва да разполага актуализирани сертификати за защитено стартиране, след като задачата за защитено стартиране се изпълни.
- Дезактивирано: Windows не разполага сертификати автоматично.
- Не е конфигурирано: Прилага се поведение по подразбиране (няма автоматично разполагане).
Забележка
- Задачата, която обработва тази настройка, се изпълнява на всеки 12 часа. Някои актуализации може да изискват рестартиране, за да завършат безопасно.
- След като сертификатите са приложени към фърмуера, те не могат да бъдат премахнати от Windows. Изчистването на сертификатите трябва да се извърши чрез интерфейса на фърмуера.
- Тази настройка се счита за предпочитание; ако обектът с групови правила (GPO) бъде премахнат, стойността в системния регистър остава.
- Съответства на ключа от системния регистър AvailableUpdates.
Автоматично внедряване на сертификат чрез Актуализации
Име на настройката на групови правила: Автоматично внедряване на сертификат чрез Актуализации
Описание:
Тези правила контролират дали актуализациите на сертификата за защитено стартиране се прилагат автоматично чрез месечни актуализации на защитата и несвързани със защитата на Windows. Устройства, които Microsoft е проверил като способни да обработват променливи актуализации на защитеното стартиране, ще получат тези актуализации като част от кумулативно обслужване и ще ги приложат автоматично.
Забележка
Разрешаването на тези правила забранява автоматичното разполагане на сертификат чрез Актуализации. Това е еквивалентно на настройване на ключа от системния регистър HighConfidenceOptOut на 1.
Забраняването на тези правила включва автоматично внедряване на сертификат чрез Актуализации, което е еквивалентно на настройка на HighConfidenceOptOut на 0.
- Разрешено: Автоматичното разполагане е блокирано; Актуализациите трябва да се управляват ръчно.
- Дезактивирано: Устройства с проверени резултати от актуализацията ще получават автоматично актуализации на сертификати по време на обслужване.
- Не е конфигурирано: Автоматичното разполагане се извършва по подразбиране.
Забележка
- Предвидените устройства са потвърдени за успешна обработка на актуализациите.
- Конфигурирайте тези правила, за да изберете автоматично разполагане.
- Съответства на ключа от системния регистър HighConfidenceOptOut.
Разполагане на сертификат чрез контролирано внедряване на функции
Име на настройката на групови правила: Внедряване на сертификат чрез контролирано внедряване на функции
Описание:
Тези правила позволяват на предприятията да участват в контролирано внедряване на функция за актуализация на сертификат за защитено стартиране, управлявана от Microsoft.
- Разрешено: Microsoft помага при разполагането на сертификати на устройства, които са записани в внедряването.
- Дезактивирано или не е конфигурирано: Няма участие в контролирано внедряване.
Изисквания:
- Устройството трябва да изпрати необходимите диагностични данни на Microsoft. За подробности вж. Конфигуриране на диагностични данни на Windows във вашата организация – поверителност на Windows | Microsoft Learn.
- Отговаря на ключа от системния регистър MicrosoftUpdateManagedOptIn.
Ресурси
Вижте също Актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии , за подробности относно ключовете от системния регистър UEFICA2023Status и UEFICA2023Error за наблюдение на резултатите за устройствата.
Вижте събития за актуализиране на база данни за защитено стартиране и DBX променливи за събития, които са полезни за разбирането на състоянието на устройствата, атрибутите на устройствата и ИД на набора устройства. Обърнете специално внимание на събитията от 1801 г. и 1808 г., описани на страницата със събития.
За MSI за групови правила и справочната електронна таблица за настройки на GP използвайте връзките по-долу или се уверете, че административните шаблони, които използвате, са публикувани на или след датите, посочени в таблицата.