Първоначална дата на публикуване: 30 октомври 2025 г.
ИД в КБ: 5068198
|
Тази статия има указания за:
Забележка: Ако сте лице, което притежава лично устройство с Windows, вижте статията Устройства с Windows за домашни потребители, фирми и училища с актуализации, управлявани от Microsoft. |
|
Наличност на тази поддръжка
|
В тази статия:
-
Въведение
-
Метод за конфигуриране на обект на групови правила (GPO)
Въведение
Този документ описва поддръжката за разполагане, управление и следене на актуализациите на сертификата за защитено стартиране с помощта на обекта "Защитено стартиране групови правила". Настройките се състоят от:
-
Възможността за активиране на разполагане на устройство
-
Настройка за отписване/отписване от набори с висока достоверност
-
Настройка за отписване/отписване от управлението на актуализации от Microsoft
Метод за конфигуриране на обект на групови правила (GPO)
Този метод предлага ясна групови правила настройка на защитеното стартиране, която администраторите на домейни могат да настроят за разполагане на актуализации на защитеното стартиране за всички клиенти и сървъри на Windows, присъединени към домейна. Освен това два помощника за защитено стартиране могат да бъдат управлявани с настройки за отписване/отписване.
За да получите актуализациите, които включват правилата за разполагане на актуализации на сертификат за защитено стартиране, изтеглете най-новата версия на административните шаблони, публикувани на или след 23 октомври 2025 г.
Тези правила могат да бъдат намерени под следния път в потребителския интерфейс на групови правила:
Компютърна конфигурация >Административни шаблони >компоненти на Windows – защитено стартиране >
Налични настройки за конфигуриране
Трите настройки, налични за разполагане на сертификат за защитено стартиране, са описани тук. Тези настройки съответстват на ключовете от системния регистър, описани в актуализации на ключове от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от ИТ.
Разрешаване на разполагане на сертификат за защитено стартиране
име на настройка на групови правила: Разрешаване на разполагане на сертификат за защитено стартиране
Описание: Тези правила контролират дали Windows започва процеса на разполагане на сертификат за защитено стартиране на устройства.
-
Разрешено: Windows автоматично започва разполагането на актуализирани сертификати за защитено стартиране по време на планирана профилактика.
-
Забранено: Windows не разполага автоматично сертификатите.
-
Не е конфигурирано: Прилага се поведението по подразбиране (няма автоматично разполагане).
Забележки:
-
Задачата, която обработва тази настройка, се изпълнява на всеки 12 часа. Някои актуализации може да изискват рестартиране, за да завършите безопасно.
-
След като сертификатите бъдат приложени към фърмуера, те не могат да бъдат премахнати от Windows. Изчистването на сертификати трябва да се извърши чрез интерфейса на фърмуера.
-
Тази настройка се счита за предпочитание; ако GPO бъде премахнат, стойността в системния регистър остава.
-
Отговаря на ключа от системния регистър AvailableUpdates.
Автоматично разполагане на сертификати чрез Актуализации
име на настройка на групови правила: автоматично разполагане на сертификат чрез Актуализации
Описание: Тези правила контролират дали актуализациите на сертификата за защитено стартиране се прилагат автоматично чрез месечни актуализации на защитата и актуализации, които не са свързани със защитата на Windows. Устройства, които Microsoft е проверил като способни да обработват променливите актуализации на защитеното стартиране, ще получат тези актуализации като част от кумулативното обслужване и ще ги прилагат автоматично.
-
Разрешено: Устройства с проверени резултати от актуализацията ще получават актуализации на сертификата автоматично по време на обслужването.
-
Забранено: Автоматичното разполагане е блокирано; актуализациите трябва да се управляват ръчно.
-
Не е конфигурирано: Автоматичното разполагане се извършва по подразбиране.
Бележки:
-
Предназначен за устройства, за които е потвърдено, че обработват актуализациите успешно.
-
Конфигурирайте тези правила, за да се отпишете от автоматичното разполагане.
-
Отговаря на ключа от системния регистър HighConfidenceOptOut.
Разполагане на сертификат чрез контролирано внедряване на функции
име на настройка на групови правила: Разполагане на сертификат чрез контролирано внедряване на функции
Описание: Тези правила позволяват на предприятията да участват в контролирано внедряване на функции за актуализации на сертификат за защитено стартиране, управлявани от Microsoft.
-
Разрешено: Microsoft помага за разполагането на сертификати за устройства, записани в внедряването.
-
Забранено или Не конфигурирано: Няма участие в контролирано внедряване.
Изисквания:
-
Устройството трябва да изпрати задължителни диагностични данни на Microsoft. За подробности вижте Конфигуриране на диагностични данни на Windows във вашата организация – Поверителност на Windows | Microsoft Learn.
-
Отговаря на ключа от системния регистър MicrosoftUpdateManagedOptIn.
Общ преглед на конфигурацията на GPO
-
Име на правила (под въпрос): "Разрешаване на внедряването на ключ за защитено стартиране" (под "Конфигурация на компютъра").
-
Път до правилата: Нов възел под Компютърна конфигурация > Административни шаблони > компоненти на Windows > защитено стартиране. За по-голяма яснота трябва да се създаде подкатегория, като например "защитено стартиране Актуализации", за да се съхраняват тези правила.
-
Обхват: Компютър (настройка за цялата машина): Той е насочен към кошерния HKEY_LOCAL_MACHINE и влияе върху състоянието на UEFI на устройството.
-
Действие на правилата: Когато са разрешени, правилата ще зададат следния подключ от системния регистър.
Местоположение на системния регистър
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Име на ДВ ДУМА
AvailableUpdatesPolicy
DWORD стойност
0x5944
Коментари
Това маркира устройството с флаг, за да инсталира всички налични актуализации на ключа за защитено стартиране при следваща възможност.
Бележка: Поради естеството на групови правила правилата ще се прилагат отново с течение на времето и битовете на AvailableUpdates се изчистват, когато се обработват. Затова е необходимо да имате отделен ключ от системния регистър с име AvailableUpdatesPolicy , така че базовата логика да може да проследява дали ключовете са разположени. Когато AvailableUpdatesPolicy е настроено на 0x5944, TPMTasks ще зададе AvailableUpdates за 0x5944 и ще отбележи, че това е направено, за да се предотврати повторното прилагане на AvailableUpdates няколко пъти. Задаването на AvailableUpdatesPolicy на Diabled ще доведе до изчистване на TPMTasks или задаване на 0 AvailableUpdates и отбелязва, че това е завършило.
-
Забранено/не е конфигурирано: Когато е настроено на Не е конфигурирано, правилата не правят промени (актуализациите на защитеното стартиране остават като отписани и няма да се изпълняват, освен ако не се задействат с други средства). Ако е настроено на Дезактивирано, правилата трябва да зададат AvailableUpdates на 0, за да се гарантира, че устройството не се опитва да извърши стабилното стартиране на ключа или да спре внедряването, ако нещо се обърка.
-
HighConfidenceOptOut може да бъде разрешен или забранен. Разрешаването ще зададе този ключ на 1 и забраняването ще го зададе на 0.
ADMX реализация: Тези правила ще бъдат внедрени с помощта на стандартен административен шаблон (ADMX). Той използва механизъм на правилата на системния регистър за записване на стойността. Например дефиницията ADMX задава:
-
Ключ от системния регистър: Software\Policies\... Забележка: групови правила обикновено пише в клона Правила, но в този случай трябва да засегнем HKEY_LOCAL_MACHINE\SYSTEM кошерен файл. Ще използваме възможността на групови правила да пише директно в кошерния кошерен HKEY_LOCAL_MACHINE за правилата за машини. ADMX може да използва елемента с реалния целеви път.
-
Име: AvailableUpdatesPolicy
-
DWORD стойност: 0x5944
Когато се приложи GPO, клиентската услуга на групови правила на всяка целева машина ще създаде или актуализира тази стойност в системния регистър. Следващия път, когато задачата за обслужване на защитеното стартиране (TPMTasks) се изпълнява на този компютър, тя ще открие 0x5944 и ще изпълни актуализацията.
Бележка: По проект на Windows планираната задача "TPMTask" се изпълнява на всеки 12 часа , за да се обработят такива флагове за актуализация на защитено стартиране. Администраторите могат също така да ускорят работата чрез ръчно изпълнение на задачата или рестартиране, ако желаете.
Примерен потребителски интерфейс за правила
-
Настройка Разрешаване на внедряването на ключ за защитено стартиране: Когато е разрешено, устройството ще инсталира актуализираните сертификати за защитено стартиране (2023 CAs) и свързаната актуализация на диспечера за зареждане. Ключовете и конфигурациите за защитено стартиране на фърмуера на устройството ще се актуализират в следващия прозорец за поддръжка. Състоянието може да бъде проследявано чрез системния регистър (UEFICA2023Status и UEFICA2023Error) или регистъра на събитията на Windows.
-
Опции Разрешено / забранено / не е конфигурирано
Този подход за единична настройка улеснява всички клиенти (винаги използва препоръчваната стойност на 0x5944).
Важен: Ако в бъдеще е необходим по-поетапен контрол, могат да бъдат въведени допълнителни правила или опции. Въпреки това текущите указания са, че всички нови ключове за защитено стартиране и новият диспечер за зареждане трябва да бъдат разположени заедно в почти всички сценарии, така че е подходящо разполагане с превключване на един.
Разрешения за & защита: Писането в кошеренHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet изисква административни привилегии. групови правила се изпълнява като локална система на клиенти, която има необходимите права. Самият GPO може да бъде редактиран от администратори с групови правила права за управление. Standard защитата на GPO може да попречи на администраторите, които не са администратори, да променят правилата.
Английският текст, използван при конфигуриране на правилата, е както следва.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
