Původní datum publikování: 30. října 2025
ID znalostní báze: 5068198
|
Tento článek obsahuje pokyny pro:
Poznámka: Pokud jste osoba, která vlastní osobní zařízení s Windows, přečtěte si článek Zařízení s Windows pro domácí uživatele, firmy a školy s aktualizacemi spravovanými Microsoftem. |
|
Dostupnost této podpory
|
V tomto článku:
-
Úvod
-
Metoda konfigurace objektu Zásady skupiny (GPO)
Úvod
Tento dokument popisuje podporu nasazení, správy a monitorování aktualizací certifikátů zabezpečeného spouštění pomocí objektu zabezpečeného spouštění Zásady skupiny. Nastavení se skládají z:
-
Možnost aktivovat nasazení na zařízení
-
Nastavení pro odhlášení nebo odhlášení z vysoce důvěryhodných kontejnerů
-
Nastavení pro výslovný nesouhlas se správou aktualizací microsoftem
Metoda konfigurace objektu Zásady skupiny (GPO)
Tato metoda nabízí jednoduché nastavení zabezpečeného spouštění Zásady skupiny, které můžou správci domény nastavit tak, aby nasadili aktualizace zabezpečeného spouštění do všech klientů a serverů Windows připojených k doméně. Kromě toho je možné spravovat dva pomocníky zabezpečeného spouštění pomocí nastavení výslovného souhlasu a odhlášení.
Pokud chcete získat aktualizace, které zahrnují zásady pro nasazení aktualizací certifikátů zabezpečeného spouštění, stáhněte si nejnovější verzi šablon pro správupublikované 23. října 2025 nebo později.
Tuto zásadu najdete v uživatelském rozhraní Zásady skupiny pod následující cestou:
Konfigurace počítače >šablony pro správu >součásti systému Windows >zabezpečené spouštění
Dostupná nastavení konfigurace
Tři dostupná nastavení pro nasazení certifikátu zabezpečeného spouštění jsou popsána tady. Tato nastavení odpovídají klíčům registru popsaným v tématu Aktualizace klíčů registru pro zabezpečené spouštění: Zařízení s Windows s aktualizacemi spravovanými IT.
Povolení nasazení certifikátu zabezpečeného spouštění
název nastavení Zásady skupiny: Povolit nasazení certifikátu zabezpečeného spouštění
Popis: Tato zásada určuje, jestli systém Windows zahájí proces nasazení certifikátu zabezpečeného spouštění na zařízeních.
-
Povoleno: Systém Windows automaticky začne nasazovat aktualizované certifikáty zabezpečeného spouštění během plánované údržby.
-
Zakázáno: Systém Windows nenasazuje certifikáty automaticky.
-
Nenakonfigurováno: Platí výchozí chování (bez automatického nasazení).
Poznámky:
-
Úloha, která toto nastavení zpracovává, se spouští každých 12 hodin. Některé aktualizace můžou vyžadovat restartování, aby se bezpečně dokončily.
-
Jakmile se certifikáty použijí na firmware, nelze je ze systému Windows odebrat. Vymazání certifikátů se musí provádět prostřednictvím rozhraní firmwaru.
-
Toto nastavení je považováno za předvolbu; Pokud se objekt zásad odebere, hodnota registru zůstane.
-
Odpovídá klíči registru AvailableUpdates.
Automatické nasazení certifikátu přes Aktualizace
název nastavení Zásady skupiny: Automatické nasazení certifikátu prostřednictvím Aktualizace
Popis: Tato zásada určuje, jestli se aktualizace certifikátů zabezpečeného spouštění automaticky použijí prostřednictvím měsíčních aktualizací zabezpečení Windows a aktualizací nesouvisecích se zabezpečením. Zařízení, u která Společnost Microsoft ověřila, že jsou schopná zpracovávat aktualizace proměnných zabezpečeného spouštění, obdrží tyto aktualizace v rámci kumulativní údržby a automaticky je použijí.
-
Povoleno: Zařízení s ověřenými výsledky aktualizací obdrží aktualizace certifikátů během údržby automaticky.
-
Zakázáno: Automatické nasazení je blokováno; aktualizace musí být spravovány ručně.
-
Nenakonfigurováno: Automatické nasazení probíhá ve výchozím nastavení.
Poznámky:
-
Určeno pro zařízení s potvrzením úspěšného zpracování aktualizací.
-
Nakonfigurujte tuto zásadu tak, aby se odhlásila z automatického nasazení.
-
Odpovídá klíči registru HighConfidenceOptOut.
Nasazení certifikátů prostřednictvím zavedení řízené funkce
název nastavení Zásady skupiny: Nasazení certifikátu prostřednictvím zavedení řízené funkce
Popis: Tato zásada umožňuje podnikům účastnit se řízeného zavádění funkcí aktualizací certifikátů zabezpečeného spouštění spravovaných Microsoftem.
-
Povoleno: Microsoft pomáhá s nasazením certifikátů do zařízení zaregistrovaných v zavedení.
-
Zakázáno nebo Není nakonfigurováno: Žádná účast na řízeném zavedení.
Požadavky:
-
Zařízení musí společnosti Microsoft odesílat požadovaná diagnostická data. Podrobnosti najdete v tématu Konfigurace diagnostických dat Windows ve vaší organizaci – Ochrana osobních údajů ve Windows | Microsoft Learn.
-
Odpovídá klíči registru MicrosoftUpdateManagedOptIn.
Přehled konfigurace objektů zásad zabezpečení
-
Název zásady (nezávazně): "Povolit zavedení klíče zabezpečeného spouštění" (v části Konfigurace počítače).
-
Cesta k zásadám: Nový uzel v části Konfigurace počítače > Šablony pro správu > součásti systému Windows > zabezpečené spouštění. Pro přehlednost by se měla vytvořit podkategorie jako "Zabezpečené spouštění Aktualizace", do které se tyto zásady ukládají.
-
Obor: Počítač (nastavení pro celý počítač): Cílí na podregistr HKEY_LOCAL_MACHINE a ovlivňuje stav rozhraní UEFI zařízení.
-
Akce zásad: Pokud je tato zásada povolená, nastaví následující podklíč registru.
Umístění registru
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Název DWORD
AvailableUpdatesPolicy
Hodnota DWORD
0x5944
Komentáře
Tím zařízení označíte příznakem, aby při příští příležitosti nainstalovalo všechny dostupné aktualizace klíče zabezpečeného spouštění.
Poznámka: Vzhledem k povaze Zásady skupiny se zásady časem znovu použijí a bity AvailableUpdates se při jejich zpracování vymažou. Proto je nutné mít samostatný klíč registru s názvem AvailableUpdatesPolicy , aby podkladová logika sledovala, jestli byly klíče nasazeny. Pokud je AvailableUpdatesPolicy nastavená na 0x5944, tpMTasks nastaví AvailableUpdates na 0x5944 a všimněte si, že to bylo provedeno, aby se zabránilo opakovanému použití na AvailableUpdates vícekrát. Nastavení AvailableUpdatesPolicy na Diabled způsobí vymazání tpMTasks nebo nastavení na 0 AvailableUpdates a poznamenejte si, že se dokončilo.
-
Zakázáno/Nenakonfigurováno: Pokud je tato zásada nastavená na Nenakonfigurováno, neprovádí žádné změny (aktualizace zabezpečeného spouštění zůstanou jako výslovný souhlas a nespustí se, dokud se neaktivují jiným způsobem). Pokud je tato možnost nastavená na Zakázáno, měla by zásada availableUpdates nastavit na hodnotu 0, aby se zařízení nepokusilo použít klíč zabezpečeného spouštění, nebo aby se jeho zavedení zastavilo, pokud se něco nepovede.
-
Funkci HighConfidenceOptOut je možné povolit nebo zakázat. Povolením se tento klíč nastaví na hodnotu 1 a zakázáním se nastaví na hodnotu 0.
Implementace ADMX: Tato zásada se implementuje pomocí standardní šablony pro správu (ADMX). K zápisu hodnoty používá mechanismus zásad registru. Například definice ADMX by určila:
-
Klíč registru: Software\Policies\... Poznámka: Zásady skupiny obvykle zapisuje do větve Zásady, ale v tomto případě musíme ovlivnit HKEY_LOCAL_MACHINE\SYSTEM podregistr. Pro zásady počítače použijeme schopnost Zásady skupiny zapisovat přímo do podregistru HKEY_LOCAL_MACHINE. ADMX může použít element se skutečnou cílovou cestou.
-
Jméno: AvailableUpdatesPolicy
-
Hodnota DWORD: 0x5944
Po použití objektu zásad skupiny vytvoří nebo aktualizuje tuto hodnotu registru klientská služba Zásady skupiny na každém cílovém počítači. Při příštím spuštění úlohy obsluhy zabezpečeného spouštění (TPMTasks) na daném počítači zjistí, 0x5944 a provede aktualizaci.
Poznámka: Ve Windows se naplánovaná úloha TPMTask záměrně spouští každých 12 hodin , aby tyto příznaky aktualizace zabezpečeného spouštění zpracovávala. Správci můžou také urychlit ručním spuštěním úlohy nebo restartováním, pokud je to potřeba.
Příklad uživatelského rozhraní zásad
-
Nastavení Povolení zavedení klíče zabezpečeného spouštění: Pokud je tato možnost povolená, zařízení nainstaluje aktualizované certifikáty zabezpečeného spouštění (certifikační autority 2023) a přidruženou aktualizaci správce spouštění. Klíče a konfigurace zabezpečeného spouštění firmwaru zařízení se aktualizují v dalším časovém období údržby. Stav je možné sledovat prostřednictvím registru (UEFICA2023Status a UEFICA2023Error) nebo protokolu událostí systému Windows.
-
Volby Povoleno , zakázáno nebo nenakonfigurováno
Díky tomuto jedinému přístupu je jednoduchý pro všechny zákazníky (vždy se používá doporučená hodnota 0x5944).
Důležitý: Pokud bude v budoucnu potřeba podrobnější kontrola, můžou být zavedeny další zásady nebo možnosti. Aktuální pokyny ale ukazují, že všechny nové klíče zabezpečeného spouštění a nový správce spouštění by měly být nasazeny společně téměř ve všech scénářích, takže nasazení s jedním přepínačem je vhodné.
Oprávnění & zabezpečení: Zápis do podregistruHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet vyžaduje oprávnění správce. Zásady skupiny běží na klientech jako místní systém, který má potřebná práva. Samotný objekt zásad skupiny můžou upravovat správci s právy pro správu Zásady skupiny. Standardní zabezpečení objektů zásad skupiny může zabránit dalším správcům ve změně zásad.
Anglický text použitý při konfiguraci zásad je následující.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
