Avaldamise algne kuupäev: 30. oktoober 2025
KB ID: 5068198
|
Selles artiklis on toodud juhised järgmiseks.
Märkus. Kui olete isik, kes omab isiklikku Windowsi seadet, lugege artiklit Windowsi seadmed kodukasutajatele, ettevõtetele ja koolidele koos Microsofti hallatavate värskendustega. |
|
Selle toe kättesaadavus
|
Selles artiklis kirjeldatakse järgmist.
-
Sissejuhatus
-
objekti (GPO) konfigureerimismeetodi Rühmapoliitika
Sissejuhatus
Selles dokumendis kirjeldatakse secure Booti serdi värskenduste juurutamise, haldamise ja jälgimise tuge objekti Secure Boot Rühmapoliitika abil. Sätted koosnevad järgmistest järgmistest.
-
Võimalus käivitada seadmes juurutamine
-
Suure usaldusväärsusega salvedest loobumise säte
-
Microsofti värskenduste haldamisest loobumise säte
objekti (GPO) konfigureerimismeetodi Rühmapoliitika
See meetod pakub lihtsat turvalise käivitamise Rühmapoliitika sätet, mille domeeniadministraatorid saavad seada juurutama turvalise algkäivituse värskendused kõigile domeeniga liitunud Windowsi klientrakendustele ja serveritele. Lisaks saab kahte Secure Booti abilist hallata nõustumis- ja loobumissätetega.
Turbekäivituse serdi värskenduste juurutamise poliitikat käsitlevate värskenduste hankimiseks laadige alla 23. oktoobril 2025 või hiljem avaldatud haldusmallideuusim versioon.
Selle poliitika leiate Rühmapoliitika kasutajaliidese järgmisest teest:
Arvuti konfiguratsioon- >Haldusmallid- >Windowsi komponendid - >turvaline käivitamine
Saadaolevad konfigureerimissätted
Siin on kirjeldatud kolme Secure Booti serdi juurutuse jaoks saadaolevat sätet. Need sätted vastavad registrivõtmetele, mida on kirjeldatud jaotises Secure Booti registrivõtmete värskendused: Windowsi seadmed, kus on IT-hallatud värskendused.
Secure Boot Serdi juurutamise lubamine
Rühmapoliitika sätte nimi: Turvalise algkäivitusserdi juurutamise lubamine
Kirjeldus: See poliitika määrab, kas Windows algatab seadmetes turvalise algkäivituse serdi juurutamise protsessi.
-
Lubatud: Windows hakkab ajastatud hoolduse ajal automaatselt juurutama värskendatud turbekäivituse serte.
-
Keelatud: Windows ei juuruta serte automaatselt.
-
Konfigureerimata: rakendatakse vaikekäitumine (automaatset juurutamist pole).
Märkused.
-
Seda sätet töötlev toiming töötab iga 12 tunni järel. Mõni värskendus võib vajada ohutuks lõpuleviimiseks taaskäivitamist.
-
Kui serdid on püsivarale rakendatud, ei saa neid Windowsist eemaldada. Sertide kustutamine tuleb teha püsivara liidese kaudu.
-
Seda sätet peetakse eelistuseks; kui GPO eemaldatakse, jääb registriväärtus alles.
-
Vastab registrivõtmele AvailableUpdates.
Automaatne serdi juurutamine Teabevärskendused kaudu
Rühmapoliitika sätte nimi: automaatne serdi juurutamine Teabevärskendused kaudu
Kirjeldus: See poliitika määrab, kas turbekäivitusserdi värskendused rakendatakse automaatselt Windowsi igakuiste turbe- ja turbega mitteseotud värskenduste kaudu. Seadmed, mille Microsoft on valideerinud turvalise algkäivituse muutujate värskenduste töötlemiseks, saavad need värskendused kumulatiivse teeninduse osana ja rakendavad need automaatselt.
-
Lubatud: valideeritud värskendustulemustega seadmed saavad hoolduse ajal automaatselt serdivärskendusi.
-
Keelatud: automaatne juurutamine on blokeeritud; värskendusi tuleb hallata käsitsi.
-
Konfigureerimata: automaatne juurutamine toimub vaikimisi.
Märkused
-
Mõeldud seadmetele, mis on kinnitatud värskenduste töötlemiseks.
-
Konfigureerige see poliitika automaatsest juurutamisest loobumiseks.
-
Vastab registrivõtmele HighConfidenceOptOut.
Serdi juurutamine piiratud funktsioonivärskenduskomplekti kaudu
Rühmapoliitika sätte nimi: serdi juurutamine piiratud funktsioonide väljalaske kaudu
Kirjeldus: See poliitika võimaldab ettevõtetel osaleda Microsofti hallatavate Secure Booti serdi värskenduste piiratud funktsioonide väljaandmisel .
-
Lubatud: Microsoft aitab juurutada serte väljalaske registreeritud seadmetes.
-
Keelatud või konfigureerimata: juhitud väljalaskes puudub osalemine.
Nõuded:
-
Seade peab Microsoftile saatma nõutavad diagnostikaandmed. Lisateavet leiate artiklist Windowsi diagnostikaandmete konfigureerimine teie asutuses – Windowsi privaatsus | Microsoft Learn.
-
Vastab registrivõtmele MicrosoftUpdateManagedOptIn.
GPO konfiguratsiooni ülevaade
-
Poliitika nimi (ebalev): "Enable Secure Boot Key Rollout" (Luba secure boot key rollout) (jaotises Arvuti konfiguratsioon).
-
Poliitika tee: Uus sõlm jaotises Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > turvaline algkäivitus. Selguse huvides tuleks selle poliitika salvestamiseks luua alamkategooria, näiteks "Secure Boot Teabevärskendused".
-
Ulatus: Arvuti (kogu arvutit hõlmav säte): see sihib HKEY_LOCAL_MACHINE ja mõjutab seadme UEFI-olekut.
-
Poliitikatoiming: Kui see on lubatud, määratakse poliitikale järgmine registri alamvõti.
Registri asukoht
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD-i nimi
AvailableUpdatesPolicy
DWORD-väärtus
0x5944
Kommentaarid
See märgib seadme lipuga, et installida järgmisel võimalusel kõik saadaolevad secure Booti võtmevärskendused.
Märkus. Rühmapoliitika olemuse tõttu rakendatakse poliitika aja jooksul uuesti ja AvailableUpdate'i bitid kustutatakse töötlemise ajal. Seetõttu on vaja eraldi registrivõtit nimega AvailableUpdatesPolicy , et aluseks olev loogika saaks jälgida, kas võtmed on juurutatud. Kui atribuudi AvailableUpdatesPolicyväärtuseks on määratud 0x5944, määrab TPMTasks sätte AvailableUpdatesväärtuseks 0x5944 ja arvestab, et seda on tehtud , et vältida AvailableUpdates'i uuestileidmist mitu korda. Sätte AvailableUpdatesPolicyväärtuseKs Diabled (Diabled ) seadmisel TPMTasks tühjendatakse või seatakse väärtuseks 0 AvailableUpdates ja pange tähele, et see on lõpule viidud.
-
Keelatud/konfigureerimata: Kui see on seatud väärtusele Konfigureerimata, siis poliitika ei muuda (Secure Booti värskendused jäävad lubatuks ja neid ei käivitata, kui seda ei käivitata muul viisil). Kui selle sätte väärtuseks on määratud Keelatud, peaks poliitika AvailableUpdates määrama väärtuseks 0, et tagada, et seade ei prooviks Secure Booti võtme rulli, või lõpetama väljalaske, kui midagi läheb valesti.
-
HighConfidenceOptOut saab lubada või keelata. Lubamisel määratakse selle võtme väärtuseks 1 ja keelamisel määratakse selle väärtuseks 0.
ADMX-i rakendamine: See poliitika rakendatakse standardse haldusmalli (ADMX) abil. See kasutab väärtuse kirjutamiseks registripoliitika mehhanismi. Näiteks määratleks ADMX-määratlus:
-
Registrivõti: Tarkvara\Poliitikad\... Märkus. Rühmapoliitika kirjutab tavaliselt poliitikaharusse, kuid sel juhul peame mõjutama HKEY_LOCAL_MACHINE\SYSTEM taru. Me kasutame Rühmapoliitika võimet kirjutada otse HKEY_LOCAL_MACHINE taru masinapoliitikate jaoks. ADMX saab elementi kasutada koos tegeliku sihtteega.
-
Nimi: AvailableUpdatesPolicy
-
DWORD-i väärtus: 0x5944
Kui GPO rakendatakse, loob või värskendab Rühmapoliitika klienditeenus igas sihtarvutis selle registriväärtuse. Järgmine kord, kui Secure Booti teenindusülesanne (TPMTasks) selles arvutis töötab, tuvastab see 0x5944 ja viib värskenduse läbi.
Märkus. Windowsis käivitatakse ajastatud toiming "TPMTask" iga 12 tunni järel selliste secure Booti värskenduste lippude töötlemiseks. Administraatorid saavad toimingut ka käsitsi käivitada või soovi korral taaskäivitada.
Näidispoliitika kasutajaliides
-
Millega Secure Boot Key Rollouti lubamine: Kui see on lubatud, installib seade värskendatud turvalise algkäivituse serdid (2023 CAs) ja seotud algkäivitushalduri värskenduse. Seadme püsivara Secure Booti võtmed ja konfiguratsioonid värskendatakse järgmises hooldusaknas. Olekut saab jälgida registri (UEFICA2023Status ja UEFICA2023Error) või Windowsi sündmuselogi kaudu.
-
Valikud Lubatud / keelatud / konfigureerimata
See ühe sätte meetod hoiab selle lihtsana kõigi klientide jaoks (kasutab alati soovitatud 0x5944 väärtust).
Tähtis: Kui tulevikus on vaja täpsemat kontrolli, tuleks kasutusele võtta täiendavad poliitikad või võimalused. Kuid praegused juhised on, et kõik uued secure Booti võtmed ja uus käivitushaldur tuleks juurutada koos peaaegu kõigis stsenaariumites, nii et ühekordne juurutamine on asjakohane.
Turbe- & õigused: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet taru kirjutamiseks on vaja administraatoriõigusi. Rühmapoliitika töötab klientrakendustes kohaliku süsteemina, millel on vajalikud õigused. GPO-t saavad redigeerida administraatorid, kellel on Rühmapoliitika haldusõigused. Standard GPO turvalisus võib takistada mitteadministraatoritel poliitika muutmist.
Poliitika konfigureerimisel kasutatav ingliskeelne tekst on järgmine.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
