Oprindelig publiceret dato: 30. oktober 2025
KB-id: 5068198
|
Denne artikel indeholder vejledning til:
Bemærk! Hvis du er en person, der ejer en personlig Windows-enhed, skal du se artiklen Windows-enheder til private brugere, virksomheder og skoler med Microsoft-administrerede opdateringer. |
|
Tilgængelighed af denne support
|
I denne artikel:
-
Introduktion
-
konfigurationsmetode for Gruppepolitik objekt (GPO)
Introduktion
I dette dokument beskrives understøttelse af installation, administration og overvågning af certifikatopdateringer til sikker bootstart ved hjælp af objektet Sikker bootstart Gruppepolitik. Indstillingerne består af:
-
Muligheden for at udløse installation på en enhed
-
En indstilling til at tilmelde sig/fravælge buckets med høj konfidens
-
En indstilling til at tilmelde sig/fravælge Microsoft-administration af opdateringer
konfigurationsmetode for Gruppepolitik objekt (GPO)
Denne metode tilbyder en simpel sikker bootstart Gruppepolitik indstilling, som domæneadministratorer kan indstille til at installere sikker bootstart-opdateringer på alle domænetilknyttede Windows-klienter og -servere. Desuden kan to assistenter til sikker bootstart administreres med indstillinger for tilmelding/fravalg.
Hvis du vil hente de opdateringer, der indeholder politikken til installation af opdateringer til certifikat til sikker bootstart, skal du downloade den nyeste version af administrative skabeloner, der er udgivet den 23. oktober 2025 eller derefter.
Denne politik kan findes under følgende sti i brugergrænsefladen til Gruppepolitik:
Computer Configuration->Administrative Templates->Windows Components->Secure Boot
Tilgængelige konfigurationsindstillinger
De tre indstillinger, der er tilgængelige for installation af certifikat til sikker bootstart, er beskrevet her. Disse indstillinger svarer til de registreringsdatabasenøgler, der er beskrevet i Opdateringer af registreringsdatabasenøgler til sikker bootstart: Windows-enheder med it-administrerede opdateringer.
Aktivér installation af certifikat til sikker bootstart
Gruppepolitik indstillingsnavn: Aktivér installation af certifikat til sikker bootstart
Beskrivelse: Denne politik styrer, om Windows starter installationsprocessen for certifikat til sikker bootstart på enheder.
-
Aktiveret: Windows starter automatisk installation af opdaterede certifikater til sikker bootstart under planlagt vedligeholdelse.
-
Deaktiveret: Windows installerer ikke certifikater automatisk.
-
Ikke konfigureret: Standardfunktionsmåden gælder (ingen automatisk installation).
Bemærk:
-
Den opgave, der behandler denne indstilling, kører hver 12. time. Nogle opdateringer kræver muligvis en genstart for at fuldføre sikkert.
-
Når certifikater er anvendt på firmware, kan de ikke fjernes fra Windows. Rydning af certifikater skal udføres via firmwaregrænsefladen.
-
Denne indstilling betragtes som en præference. Hvis gruppepolitikobjektet fjernes, bevares registreringsdatabaseværdien.
-
Svarer til registreringsdatabasenøglen AvailableUpdates.
Automatisk certifikatinstallation via Opdateringer
Gruppepolitik indstillingsnavn: Automatisk certifikatinstallation via Opdateringer
Beskrivelse: Denne politik styrer, om certifikatopdateringer til sikker bootstart anvendes automatisk via månedlige sikkerheds- og ikke-sikkerhedsrelaterede opdateringer til Windows. Enheder, som Microsoft har valideret som i stand til at behandle variable opdateringer af sikker bootstart, modtager disse opdateringer som en del af den samlede service og anvender dem automatisk.
-
Aktiveret: Enheder med validerede opdateringsresultater modtager automatisk certifikatopdateringer under vedligeholdelse.
-
Deaktiveret: Automatisk installation er blokeret. opdateringer skal administreres manuelt.
-
Ikke konfigureret: Automatisk installation sker som standard.
Bemærk!
-
Beregnet til enheder, der er bekræftet til at behandle opdateringer korrekt.
-
Konfigurer denne politik for at fravælge automatisk installation.
-
Svarer til registreringsdatabasenøglen HighConfidenceOptOut.
Certifikatinstallation via kontrolleret funktionsudrulning
Gruppepolitik indstillingsnavn: Certifikatinstallation via kontrolleret funktionsudrulning
Beskrivelse: Denne politik giver virksomheder mulighed for at deltage i en kontrolleret funktionsudrulning af sikker bootstartcertifikatopdateringer, der administreres af Microsoft.
-
Aktiveret: Microsoft hjælper med at installere certifikater på enheder, der er tilmeldt implementeringen.
-
Deaktiveret eller Ikke konfigureret: Ingen deltagelse i kontrolleret udrulning.
Krav:
-
Enheden skal sende påkrævede diagnosticeringsdata til Microsoft. Du kan finde flere oplysninger under Konfigurere Diagnostiske Windows-data i din organisation – Windows Beskyttelse af personlige oplysninger | Microsoft Learn.
-
Svarer til registreringsdatabasenøglen MicrosoftUpdateManagedOptIn.
Oversigt over konfiguration af gruppepolitikobjekt
-
Politiknavn (foreløbig): "Enable Secure Boot Key Rollout" (under Computerkonfiguration).
-
Politiksti: En ny node under Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Sikker bootstart. For overskuelighedens skyld bør der oprettes en underkategori som "Sikker bootstart Opdateringer" for at gemme denne politik.
-
Omfang: Computer (indstilling for hele computeren): Den registrerer den HKEY_LOCAL_MACHINE hive og påvirker enhedens UEFI-tilstand.
-
Politikhandling: Når denne indstilling er aktiveret, angiver politikken følgende undernøgle i registreringsdatabasen.
Placering af registreringsdatabasen
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD-navn
AvailableUpdatesPolicy
DWORD-værdi
0x5944
Kommentarer
Dette markerer enheden med flag for at installere alle tilgængelige opdateringer af nøglen til sikker bootstart ved næste lejlighed.
Bemærk: På grund af arten af Gruppepolitik vil politikken blive anvendt igen over tid, og bits i AvailableUpdates ryddes, når de behandles. Derfor er det nødvendigt at have en separat registreringsdatabasenøgle kaldet AvailableUpdatesPolicy , så den underliggende logik kan spore, om nøglerne er blevet installeret. Når AvailableUpdatesPolicy er indstillet til 0x5944, indstiller TPMTasks AvailableUpdates til 0x5944 og noterer sig, at dette er gjort for at forhindre, at AvailableUpdates genanvendes flere gange. Hvis du angiver AvailableUpdatesPolicy til Diabled , ryddes TPMTasks, eller indstilles til 0 AvailableUpdates , og bemærk, at dette er fuldført.
-
Deaktiveret/ikke konfigureret: Når den er indstillet til Ikke konfigureret, foretager politikken ingen ændringer (opdateringer til sikker bootstart forbliver som tilmelding og kan ikke køres, medmindre de udløses på anden måde). Hvis den er indstillet til Deaktiveret, bør politikken indstille AvailableUpdates til 0 for eksplicit at sikre, at enheden ikke forsøger at rulle nøglen til sikker bootstart eller stoppe implementeringen, hvis noget går galt.
-
HighConfidenceOptOut kan aktiveres eller deaktiveres. Aktivering indstiller denne nøgle til 1 , og deaktivering indstiller den til 0.
ADMX-implementering: Denne politik implementeres ved hjælp af en standard administrativ skabelon (ADMX). Den bruger politikmekanismen i registreringsdatabasen til at skrive værdien. F.eks. ville ADMX-definitionen angive:
-
Registreringsdatabasenøgle: Software\Politikker\... Bemærk: Gruppepolitik skriver normalt til grenen Politikker, men i dette tilfælde skal vi påvirke den HKEY_LOCAL_MACHINE\SYSTEM hive. Vi bruger Gruppepolitik mulighed for at skrive direkte til HKEY_LOCAL_MACHINE-hive for computerpolitikker. ADMX kan bruge elementet med den reelle målsti.
-
Navn: AvailableUpdatesPolicy
-
DWORD-værdi: 0x5944
Når gruppepolitikobjektet anvendes, opretter eller opdaterer den Gruppepolitik klienttjeneste på hver målrettet computer denne registreringsdatabaseværdi. Næste gang serviceringsopgaven for sikker bootstart (TPMTasks) kører på den pågældende computer, registrerer den 0x5944 og udfører opdateringen.
Bemærk: I Windows kører den planlagte opgave "TPMTask" hver 12. time for at behandle sådanne opdateringsflag til sikker bootstart. Administratorer kan også fremskynde ved manuelt at køre opgaven eller genstarte, hvis det ønskes.
Brugergrænseflade for politikeksempel
-
Indstilling Aktivér udrulning af sikker bootstartnøgle: Når den er aktiveret, installerer enheden de opdaterede certifikater til sikker bootstart (2023 CAs) og den tilknyttede opdatering til Boot Manager. Enhedens firmwarenøgler og konfigurationer til sikker bootstart opdateres i det næste vedligeholdelsesvindue. Status kan registreres via registreringsdatabasen (UEFICA2023Status og UEFICA2023Error) eller Windows-hændelsesloggen.
-
Indstillinger Aktiveret / deaktiveret / ikke konfigureret
Denne tilgang med én indstilling holder det enkelt for alle kunder (altid ved hjælp af den anbefalede 0x5944 værdi).
Vigtig: Hvis der i fremtiden er brug for mere detaljeret kontrol, kan der indføres yderligere politikker eller indstillinger. Den aktuelle vejledning er dog, at alle nye nøgler til sikker bootstart og den nye boot manager skal installeres sammen i næsten alle scenarier, så en installation med én til/fra-funktion er passende.
Sikkerheds- & tilladelser: Det kræver administratorrettigheder at skrive til denHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet hive. Gruppepolitik kører som lokalt system på klienter, som har de nødvendige rettigheder. Selve gruppepolitikobjektet kan redigeres af administratorer med Gruppepolitik administrationsrettigheder. Standard GPO-sikkerhed kan forhindre, at ikke-administratorer ændrer politikken.
Den engelske tekst, der bruges til at konfigurere politikken, er som følger:
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
