Metoda Objekti pravilnika grupe (GPO) za sigurno pokretanje na uređajima sa sustavom Windows s ažuriranjima kojima upravlja IT

Primjenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Napomena

  • Izvorni datum objave: 30. listopada 2025
  • ID baze znanja: 5068198
Ovaj članak sadrži smjernice za:

  • Tvrtke ili ustanove koje imaju vlastite IT odjele koji upravljaju uređajima sa sustavom Windows i ažuriranjima.
Napomena: ako ste pojedinac koji posjeduje osobni uređaj sa sustavom Windows, pogledajte članak Uređaji sa sustavom Windows za kućne korisnike, tvrtke i škole s ažuriranjima, kojima upravlja Microsoft.
Dostupnost ove podrške
  • 11. studenog 2025.: Za verzije sustava Windows koje su i dalje obuhvaćene podrškom.
Zapisnik promjena
Promjena datuma Opis izmjene
Veljače 20, 2026
  • Ažuriran je odjeljak "Dostupnost ove podrške"
  • Ažuriran odjeljak - "Uvod"
  • Dodana je napomena u odjeljku "Resursi" za klijenta i poslužitelja.
Studenog 11, 2025
  • Veza s klijentom ažurirana je u odjeljku "Resursi" iz - "https://www.microsoft.com/download/details.aspx?id=108394" Da biste "www.microsoft.com/en-us/download/details.aspx?id=108428."
  • Datum objave promijenjen je s 29. 9. 2025. na 27. 10. 2025.
Studenog 26, 2025
  • Dodana nova bilješka u odjeljku "Automatska implementacija certifikata putem Ažuriranja".
  • Zamijenjene su definicije omogućeno i Onemogućeno u odjeljku "Automatska implementacija certifikata putem Ažuriranja".

Sadržaj članka:

Uvod

U ovom se dokumentu opisuje podrška za implementaciju, upravljanje i nadzor ažuriranja certifikata sigurnog pokretanja sustava pomoću objekta pravilnik grupe sigurnog pokretanja sustava. Postavke se sastoje od:

  • Mogućnost pokretanja implementacije na uređaju
  • Postavka za pristajanje/odustajanje od grupa visoke pouzdanosti
  • Postavka za pristajanje/odustajanje od Microsoftova upravljanja ažuriranjima

Napomena: Administrativni predlošci (.admx) i pravilnik grupe morat će se preuzeti sa službenog web-mjesta tvrtke Microsoft. Pogledajte sljedeće: Resursi.

Metoda konfiguracije objekta pravilnik grupe (GPO)

Ta metoda nudi jednostavnu postavku pravilnik grupe sigurnog pokretanja koju administratori domene mogu postaviti za implementaciju ažuriranja sigurnog pokretanja sustava na sve klijente i poslužitelje sustava Windows pridružene domeni. Osim toga, dvama pomoćnicima za sigurno pokretanje može se upravljati pomoću postavki prijave/odustajanja.

Da biste dobili ažuriranja koja obuhvaćaju pravilnik za implementaciju ažuriranja certifikata sigurnog pokretanja sustava, pogledajte odjeljak Resursi u nastavku.

Taj se pravilnik može pronaći na sljedećem putu u korisničkom sučelju pravilnik grupe:

Konfiguracija računala-Administrativni> predlošci-Komponente> sustava Windows-Sigurno> pokretanje

Važno

Ažuriranja sigurnog pokretanja ovise o opremi uređaja, a neki uređaji mogu imati problema s kompatibilnošću. Da biste osigurali sigurno uvođenje:

  1. Provjerite valjanost pravilnika o ažuriranju na barem jednom reprezentativnom uređaju za svaku vrstu uređaja u tvrtki ili ustanovi.
  2. Provjerite jesu li certifikati sigurnog pokretanja uspješno primijenjeni na UEFI DB i KEK. Detaljne korake potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.
  3. Nakon provjere valjanosti grupirajte uređaje prema ključu grupe i primijenite pravilnik na te uređaje za kontrolirano uvođenje.

Dostupne postavke konfiguracije

Slika

Ovdje su opisane tri postavke dostupne za implementaciju certifikata za sigurno pokretanje. Te postavke odgovaraju ključevima registra opisanima u članku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT odjel.

Omogućivanje implementacije certifikata za sigurno pokretanje sustava

Naziv postavke pravilnik grupe: Omogući uvođenje certifikata sigurnog pokretanja sustava

slike

Opis:
Ovaj pravilnik kontrolira pokreće li sustav Windows postupak implementacije certifikata za sigurno pokretanje sustava na uređajima. 

  • Omogućeno: Windows automatski započinje s implementacijom ažuriranih certifikata za sigurno pokretanje sustava nakon pokretanja zadatka sigurnog pokretanja.
  • Onemogućeno: Windows certifikate ne implementira automatski.
  • Nije konfigurirano: primjenjuje se zadano ponašanje (nema automatske implementacije).

Napomena

  • Zadatak koji obrađuje tu postavku izvodi se svakih 12 sati. Neka ažuriranja mogu zahtijevati ponovno pokretanje kako bi se sigurno završilo.
  • Kada se certifikati primijene na opremu, nije ih moguće ukloniti iz sustava Windows. Brisanje certifikata potrebno je obaviti putem sučelja firmvera.
  • Ta se postavka smatra preferencom; Ako se objekt pravilnika grupe ukloni, vrijednost registra ostaje.
  • Odgovara ključu registra AvailableUpdates.

Automatska implementacija certifikata putem Ažuriranja

Naziv postavke pravilnik grupe: Automatska implementacija certifikata putem Ažuriranja

slike.

Opis:
Ovaj pravilnik kontrolira primjenjuju li se automatski ažuriranja certifikata sigurnog pokretanja sustava putem mjesečnih sigurnosnih i nesigurnosnih ažuriranja za Windows. Uređaji za koje je Microsoft potvrdio da mogu obraditi varijabilna ažuriranja sigurnog pokretanja sustava primit će ta ažuriranja kao dio kumulativnog servisiranja i automatski ih primijeniti. 

Napomena

Omogućivanjem tog pravilnika onemogućuje se automatska implementacija certifikata putem značajke Ažuriranja. To odgovara postavljanju ključa registra HighConfidenceOptOut na 1.
Onemogućivanjem tog pravilnika omogućuje automatsku implementaciju certifikata putem Ažuriranja, što odgovara postavljanju funkcije HighConfidenceOptOut na 0.

  • Omogućeno: automatska je implementacija blokirana; Ažuriranjima se mora upravljati ručno.
  • Onemogućeno: uređaji s potvrđenim rezultatima ažuriranja automatski će primiti ažuriranja certifikata tijekom servisiranja.
  • Nije konfigurirano: automatska implementacija se odvija prema zadanim postavkama.

Napomena

  • Potvrđena je uspješna obrada ažuriranja na predviđenim uređajima.
  • Konfigurirajte taj pravilnik da biste se odlučili za automatsku implementaciju.
  • Odgovara ključu registra HighConfidenceOptOut.

Implementacija certifikata putem kontroliranog uvođenja značajki

Naziv postavke pravilnik grupe: Implementacija certifikata putem kontroliranog uvođenja značajke

slika

Opis:
Taj pravilnik tvrtkama ili ustanovama omogućuje sudjelovanje u kontroliranom uvođenju ažuriranja certifikata sigurnog pokretanja sustava kojim upravlja Microsoft.

  • Omogućeno: Microsoft pomaže pri implementaciji certifikata na uređaje uključene u implementaciju.
  • Onemogućeno ili nekonfigurirano: nema sudjelovanja u kontroliranom uvođenju.

Preduvjeti:

Resursi

Pogledajte i Ažuriranja ključa registra za sigurno pokretanje: Windows uređaji s ažuriranjima kojima upravlja IT za pojedinosti o ključevima registra UEFICA2023Status i UEFICA2023Error za praćenje rezultata uređaja.

Pogledajte događaje ažuriranja varijable DBX sigurnog pokretanja sustava i DBX za događaje korisne za razumijevanje statusa uređaja, atributa uređaja i ID-ova grupe uređaja. Obratite posebnu pozornost na događaje 1801 i 1808 opisane na stranici događaja.

Veze u nastavku za MSI-jeve pravilnik grupe i referentnu proračunsku tablicu s postavkama GP-a ili provjerite jesu li administrativni predlošci koje koristite objavljeni na datume navedene u tablici ili nakon njih.

Platforma Objavljeni MSI Objavljena referentna proračunska tablica s postavkama GP-a
Klijent
Napomena: Administrativni predlošci (.admx) neovisni su o OS-u i funkcioniraju na SVIM podržanim OS-ovima.
Preuzmite administrativne predloške (.admx) za ažuriranje Windows 11 2025 (25H2) – v2.0 sa službenog web-mjesta tvrtke Microsoft
Objavljeno: 27.10.2025.
Preuzmite referentnu proračunsku tablicu s postavkama pravilnik grupe za ažuriranje Windows 11 2025 (25H2) – v2.0 sa službenog web-mjesta tvrtke Microsoft
Objavljeno: 2.10.2025.
Poslužitelj
Napomena: Administrativni predlošci (.admx) neovisni su o OS-u i funkcioniraju na SVIM podržanim OS-ovima.
Preuzmite administrativne predloške (.admx) za Windows Server 2025 (izdanje od 25. listopada) sa službenog web-mjesta tvrtke Microsoft
Objavljeno: 27.10.2025.
Preuzmite referentnu proračunsku tablicu za postavke pravilnik grupe za Windows Server 2025 (izdanje od 25. listopada) sa službenog web-mjesta tvrtke Microsoft
Objavljeno: 27.10.2025.