תאריך פרסום מקורי: 30 באוקטובר 2025
מזהה KB: 5068198
|
מאמר זה כולל הדרכה עבור:
הערה: אם אתה אדם שב בעלותו של מכשיר Windows אישי, עיין במאמר מכשירי Windows עבור משתמשים ביתיים, עסקים ובתי ספר עם עדכונים המנוהלות על-ידי Microsoft. |
|
הזמינות של תמיכה זו
|
במאמר זה:
-
מבוא
-
מדיניות קבוצתית תצורת אובייקט (GPO) של אובייקט
מבוא
מסמך זה מתאר את התמיכה בפריסה, ניהול וניטור של עדכוני אישור האתחול המאובטח באמצעות אובייקט מדיניות קבוצתית מאובטח. ההגדרות מורכבות מ:
-
היכולת להפעיל פריסה במכשיר
-
הגדרה להצטרפות/ביטול הצטרפות למיכלים בעלי רמת מהימנות גבוהה
-
הגדרה להצטרפות/ביטול הצטרפות לניהול עדכונים של Microsoft
מדיניות קבוצתית תצורת אובייקט (GPO) של אובייקט
שיטה זו מציעה הגדרת אתחול מאובטח מדיניות קבוצתית שמנהלי תחום יכולים להגדיר לפריסת עדכוני אתחול מאובטח בכל הלקוחות והשרתים המצורפים לתחום של Windows. בנוסף, ניתן לנהל שני סיועי אתחול מאובטח באמצעות הגדרות הסכמת הצטרפות/ביטול הצטרפות.
כדי לקבל את העדכונים הכוללים את המדיניות לפריסת עדכוני אישור אתחול מאובטח, הורד את הגירסה העדכנית ביותר של תבניות הניהול שפורסמו ב- 23 באוקטובר 2025 או לאחר מכן.
ניתן למצוא מדיניות זו תחת הנתיב הבא בממשק מדיניות קבוצתית המשתמש:
תצורת מחשב->תבניות ניהול->-רכיבי Windows->מאובטח
הגדרות תצורה זמינות
שלוש ההגדרות הזמינות עבור פריסת אישור אתחול מאובטח מתוארות כאן. הגדרות אלה תואמות למפתחות הרישום המתוארים במאמר עדכוני מפתח רישום עבור אתחול מאובטח: מכשירי Windows עם עדכונים המנוהלי על-ידי IT.
הפוך פריסת אישור אתחול מאובטח לזמינה
מדיניות קבוצתית הגדרה: הפוך פריסת אישור אתחול מאובטח לזמינה
תיאור תיאור: מדיניות זו קובעת אם Windows יוזם את תהליך פריסת אישור האתחול המאובטח במכשירים.
-
זמין: Windows מתחיל באופן אוטומטי לפרוס אישורי אתחול מאובטח מעודכנים במהלך תחזוקה מתוזמנת.
-
לא זמין: Windows אינו פורס אישורים באופן אוטומטי.
-
לא נקבעה תצורה: אופן הפעולה המהווה ברירת מחדל חל (אין פריסה אוטומטית).
הערות:
-
המשימה שמעבדת הגדרה זו פועלת כל 12 שעות. עדכונים מסוימים עשויים לדרוש הפעלה מחדש כדי להשלים בבטחה.
-
לאחר החלת האישורים על הקושחה, לא ניתן להסיר אותם מ- Windows. יש לבצע ניקוי אישורים באמצעות ממשק הקושחה.
-
הגדרה זו נחשבת להעדפה; אם GPO הוסר, ערך הרישום יישאר.
-
מתאים למפתח הרישום AvailableUpdates.
פריסת אישורים אוטומטית באמצעות עדכונים
מדיניות קבוצתית ההגדרה: פריסת אישור אוטומטית באמצעות עדכונים
תיאור תיאור: מדיניות זו קובעת אם עדכוני אישור אתחול מאובטח מוחלים באופן אוטומטי באמצעות עדכוני אבטחה ועדכונים שאינם עדכוני אבטחה חודשיים של Windows. מכשירים ש- Microsoft אומתה כמסוגלים לעבד עדכונים משתנים של אתחול מאובטח יקבלו עדכונים אלה כחלק משירות מצטבר ויחילו אותם באופן אוטומטי.
-
זמין: מכשירים עם תוצאות עדכון מאומתות יקבלו עדכוני אישורים באופן אוטומטי במהלך מתן שירות.
-
לא זמין: פריסה אוטומטית חסומה; יש לנהל עדכונים באופן ידני.
-
לא נקבעה תצורה: פריסה אוטומטית מתרחשת כברירת מחדל.
הערות:
-
מיועד למכשירים שאושרו לעבד עדכונים בהצלחה.
-
קבע תצורה של מדיניות זו כדי לבטל את ההצטרפות לפריסה אוטומטית.
-
תואם למפתח הרישום HighConfidenceOptOut.
פריסת אישור באמצעות פריסת תכונה מבוקרת
מדיניות קבוצתית הגדרה: פריסת אישור באמצעות פריסת תכונה מבוקרת
תיאור תיאור: מדיניות זו מאפשרת לארגונים להשתתף בפריסת תכונות מבוקרת של עדכוני אישור אתחול מאובטח המנוהלת על-ידי Microsoft.
-
זמין: Microsoft מסייעת בפריסה של אישורים למכשירים הרשומים לפריסה.
-
לא זמין או לא נקבעה תצורה: אין השתתפות בהפצה מבוקרת.
דרישות:
-
המכשיר חייב לשלוח נתוני אבחון נדרשים ל- Microsoft. לקבלת פרטים, ראה קביעת התצורה של נתוני אבחון של Windows בארגון שלך - פרטיות של Windows | Microsoft Learn.
-
מתאים למפתח הרישום MicrosoftUpdateManagedOptIn.
מבט כולל על תצורת GPO
-
שם מדיניות (לא סופי): "הפוך פריסת מפתח אתחול מאובטח לזמינה" (תחת תצורת מחשב).
-
נתיב מדיניות: צומת חדש תחת תצורת מחשב > מנהליות >רכיבי Windows >מאובטח. לבהירות, יש ליצור קטגוריית משנה כגון "אתחול עדכונים" כדי לאחסן מדיניות זו.
-
טווח: מחשב (הגדרה ברחבי המחשב): הוא מתמקד HKEY_LOCAL_MACHINE הכוורת ומשפיע על מצב ה- UEFI של המכשיר.
-
פעולת מדיניות: כאשר אפשרות זו זמינה, המדיניות תגדיר את מפתח המשנה הבא של הרישום.
מיקום רישום
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
שם DWORD
AvailableUpdatesPolicy
ערך DWORD
0x5944
הערות
פעולה זו מסמנת את המכשיר להתקנת כל העדכונים הזמינים של מפתח האתחול המאובטח בהזדמנות הבאה.
הערה: בשל אופיו של מדיניות קבוצתית, המדיניות תוחל מחדש לאורך זמן, והסיביות של AvailableUpdates יימחקו בעת עיבודן. לכן, יש צורך במפתח רישום נפרד בשם AvailableUpdatesPolicy כדי שהלוגיקה המשמשת תחילה תוכל לעקוב אם המפתחות נפרסו. כאשר AvailableUpdatesPolicy מוגדר כ- 0x5944, TPMTasks יגדיר את AvailableUpdates ל- 0x5944 וירשום שתהליך זה נעשה כדי למנוע החלה מחדש על AvailableUpdates מספר פעמים. הגדרת AvailableUpdatesPolicy ל- Diabled תגרום לניקוי TPMTasks, או הגדרה ל- 0 AvailableUpdates ורשום שפריט זה הושלם.
-
לא זמין/לא נקבעה תצורה: כאשר המדיניות מוגדרת כ'לא מוגדר', המדיניות אינה מבצעת שינויים (עדכוני אתחול מאובטח נשארים כהצטרפות ולא יפעלו אלא אם מופעלים על-ידי אמצעים אחרים). אם המדיניות מוגדרת כלא זמינה, המדיניות צריכה להגדיר את AvailableUpdates ל- 0, כדי להבטיח באופן מפורש שהמכשיר לא ינסה לבצע את סרט המקשים של האתחול המאובטח או להפסיק את הפריסה אם משהו משתבש.
-
ניתן להפוך את HighConfidenceOptOut לזמין או ללא זמין. הפיכת מפתח זה לזמינה תגדיר מפתח זה ל- 1 והפיכתו ללא זמין תגדיר אותו ל - 0.
יישום ADMX: מדיניות זו תיושם באמצעות תבנית ניהול סטנדרטית (ADMX). הוא משתמש במנגנון מדיניות הרישום כדי לכתוב את הערך. לדוגמה, הגדרת ADMX תציין:
-
מפתח רישום: Software\Policies\... הערה: מדיניות קבוצתית כתוב בדרך כלל בענף 'מדיניות', אך במקרה זה, עלינו להשפיע על HKEY_LOCAL_MACHINE\SYSTEM הכוורת. אנחנו נשתמש מדיניות קבוצתית יכולתו לכתוב ישירות לכוורת HKEY_LOCAL_MACHINE עבור מדיניות מכונה. ה- ADMX יכול להשתמש ברכיב עם נתיב היעד האמיתי.
-
שם: AvailableUpdatesPolicy
-
ערך DWORD: 0x5944
בעת החלת ה- GPO, שירות מדיניות קבוצתית הלקוח של כל מחשב ייעודי ייצור או יעדכן ערך רישום זה. בפעם הבאה שהמשימה של מתן שירות לאתחול מאובטח (TPMTasks) תפעל במחשב זה, היא תאתר 0x5944 ותבצע את העדכון.
הערה: בתכנון, ב- Windows , המשימה המתוזמנת "TPMTask" מופעלת כל 12 שעות כדי לעבד דגלים כאלה של עדכון אתחול מאובטח. מנהלי מערכת יכולים גם לזרז על-ידי הפעלה ידנית של המשימה או הפעלה מחדש, אם אתה מעוניין בכך.
ממשק משתמש לדוגמה של מדיניות
-
הגדרה הפוך פריסת מפתח אתחול מאובטח לזמינה: כאשר אפשרות זו זמינה, המכשיר יתקין את אישורי האתחול המאובטח המעודכנים (2023 CAs) ואת העדכון המשויך של מנהל האתחול. המקשים והתצורות של האתחול המאובטח של הקושחה של המכשיר יעודכנו בחלון התחזוקה הבא. ניתן לעקוב אחר המצב באמצעות הרישום (UEFICA2023Status ו- UEFICA2023Error) או יומן האירועים של Windows.
-
אפשרויות זמין / לא זמין / לא מוגדר
גישה יחידה זו להגדרה מאפשרת לכל הלקוחות להשתמש בקלות (תמיד משתמשת 0x5944 המומלץ).
חשוב: במקרה של צורך בפקד פרטני יותר בעתיד, ניתן להציג פריטי מדיניות או אפשרויות נוספים. עם זאת, הנחיה נוכחית היא שיש לפרוס יחד את כל מפתחות האתחול המאובטח החדשים ואת מנהל האתחול החדש כמעט בכל התרחישים, כך שפריסה עם לחצן דו-מצבי אחד מתאימה.
הרשאות & אבטחה: כתיבה לכוורתHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet דורשת הרשאות ניהוליות. מדיניות קבוצתית היא פועלת כמערכת מקומית עבור לקוחות, שיש לה את הזכויות הנחוצות. מנהלי מערכת בעלי זכויות ניהול מדיניות קבוצתית יוכלו לערוך את ה- GPO עצמו. Standard GPO יכולה למנוע ממשתמשים שאינם מנהלי מערכת לשנות את המדיניות.
הטקסט באנגלית המשמש בעת קביעת התצורה של המדיניות הוא כדלקמן.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
