Napomena
- Izvorni datum objave: 30. listopada 2025
- ID baze znanja: 5068198
Ovaj članak sadrži smjernice za:
|
|---|
Dostupnost ove podrške
|
Zapisnik promjena
| Promjena datuma | Opis izmjene |
|---|---|
| Veljače 20, 2026 |
|
| Studenog 11, 2025 |
|
| Studenog 26, 2025 |
|
Sadržaj članka:
Uvod
U ovom se dokumentu opisuje podrška za implementaciju, upravljanje i nadzor ažuriranja certifikata sigurnog pokretanja sustava pomoću objekta pravilnik grupe sigurnog pokretanja sustava. Postavke se sastoje od:
- Mogućnost pokretanja implementacije na uređaju
- Postavka za pristajanje/odustajanje od grupa visoke pouzdanosti
- Postavka za pristajanje/odustajanje od Microsoftova upravljanja ažuriranjima
Napomena: Administrativni predlošci (.admx) i pravilnik grupe morat će se preuzeti sa službenog web-mjesta tvrtke Microsoft. Pogledajte sljedeće: Resursi.
Metoda konfiguracije objekta pravilnik grupe (GPO)
Ta metoda nudi jednostavnu postavku pravilnik grupe sigurnog pokretanja koju administratori domene mogu postaviti za implementaciju ažuriranja sigurnog pokretanja sustava na sve klijente i poslužitelje sustava Windows pridružene domeni. Osim toga, dvama pomoćnicima za sigurno pokretanje može se upravljati pomoću postavki prijave/odustajanja.
Da biste dobili ažuriranja koja obuhvaćaju pravilnik za implementaciju ažuriranja certifikata sigurnog pokretanja sustava, pogledajte odjeljak Resursi u nastavku.
Taj se pravilnik može pronaći na sljedećem putu u korisničkom sučelju pravilnik grupe:
Konfiguracija računala-Administrativni> predlošci-Komponente> sustava Windows-Sigurno> pokretanje
Važno
Ažuriranja sigurnog pokretanja ovise o opremi uređaja, a neki uređaji mogu imati problema s kompatibilnošću. Da biste osigurali sigurno uvođenje:
- Provjerite valjanost pravilnika o ažuriranju na barem jednom reprezentativnom uređaju za svaku vrstu uređaja u tvrtki ili ustanovi.
- Provjerite jesu li certifikati sigurnog pokretanja uspješno primijenjeni na UEFI DB i KEK. Detaljne korake potražite u članku Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove.
- Nakon provjere valjanosti grupirajte uređaje prema ključu grupe i primijenite pravilnik na te uređaje za kontrolirano uvođenje.
Dostupne postavke konfiguracije
Ovdje su opisane tri postavke dostupne za implementaciju certifikata za sigurno pokretanje. Te postavke odgovaraju ključevima registra opisanima u članku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT odjel.
Omogućivanje implementacije certifikata za sigurno pokretanje sustava
Naziv postavke pravilnik grupe: Omogući uvođenje certifikata sigurnog pokretanja sustava
Opis:
Ovaj pravilnik kontrolira pokreće li sustav Windows postupak implementacije certifikata za sigurno pokretanje sustava na uređajima.
- Omogućeno: Windows automatski započinje s implementacijom ažuriranih certifikata za sigurno pokretanje sustava nakon pokretanja zadatka sigurnog pokretanja.
- Onemogućeno: Windows certifikate ne implementira automatski.
- Nije konfigurirano: primjenjuje se zadano ponašanje (nema automatske implementacije).
Napomena
- Zadatak koji obrađuje tu postavku izvodi se svakih 12 sati. Neka ažuriranja mogu zahtijevati ponovno pokretanje kako bi se sigurno završilo.
- Kada se certifikati primijene na opremu, nije ih moguće ukloniti iz sustava Windows. Brisanje certifikata potrebno je obaviti putem sučelja firmvera.
- Ta se postavka smatra preferencom; Ako se objekt pravilnika grupe ukloni, vrijednost registra ostaje.
- Odgovara ključu registra AvailableUpdates.
Automatska implementacija certifikata putem Ažuriranja
Naziv postavke pravilnik grupe: Automatska implementacija certifikata putem Ažuriranja
Opis:
Ovaj pravilnik kontrolira primjenjuju li se automatski ažuriranja certifikata sigurnog pokretanja sustava putem mjesečnih sigurnosnih i nesigurnosnih ažuriranja za Windows. Uređaji za koje je Microsoft potvrdio da mogu obraditi varijabilna ažuriranja sigurnog pokretanja sustava primit će ta ažuriranja kao dio kumulativnog servisiranja i automatski ih primijeniti.
Napomena
Omogućivanjem tog pravilnika onemogućuje se automatska implementacija certifikata putem značajke Ažuriranja. To odgovara postavljanju ključa registra HighConfidenceOptOut na 1.
Onemogućivanjem tog pravilnika omogućuje automatsku implementaciju certifikata putem Ažuriranja, što odgovara postavljanju funkcije HighConfidenceOptOut na 0.
- Omogućeno: automatska je implementacija blokirana; Ažuriranjima se mora upravljati ručno.
- Onemogućeno: uređaji s potvrđenim rezultatima ažuriranja automatski će primiti ažuriranja certifikata tijekom servisiranja.
- Nije konfigurirano: automatska implementacija se odvija prema zadanim postavkama.
Napomena
- Potvrđena je uspješna obrada ažuriranja na predviđenim uređajima.
- Konfigurirajte taj pravilnik da biste se odlučili za automatsku implementaciju.
- Odgovara ključu registra HighConfidenceOptOut.
Implementacija certifikata putem kontroliranog uvođenja značajki
Naziv postavke pravilnik grupe: Implementacija certifikata putem kontroliranog uvođenja značajke
Opis:
Taj pravilnik tvrtkama ili ustanovama omogućuje sudjelovanje u kontroliranom uvođenju ažuriranja certifikata sigurnog pokretanja sustava kojim upravlja Microsoft.
- Omogućeno: Microsoft pomaže pri implementaciji certifikata na uređaje uključene u implementaciju.
- Onemogućeno ili nekonfigurirano: nema sudjelovanja u kontroliranom uvođenju.
Preduvjeti:
- Uređaj mora poslati obavezne dijagnostičke podatke Microsoftu. Pojedinosti potražite u odjeljku Konfiguriranje dijagnostičkih podataka o sustavu Windows u vašoj tvrtki ili ustanovi – Zaštita privatnosti u sustavu Windows | Microsoft Learn.
- Odgovara ključu registra MicrosoftUpdateManagedOptIn.
Resursi
Pogledajte i Ažuriranja ključa registra za sigurno pokretanje: Windows uređaji s ažuriranjima kojima upravlja IT za pojedinosti o ključevima registra UEFICA2023Status i UEFICA2023Error za praćenje rezultata uređaja.
Pogledajte događaje ažuriranja varijable DBX sigurnog pokretanja sustava i DBX za događaje korisne za razumijevanje statusa uređaja, atributa uređaja i ID-ova grupe uređaja. Obratite posebnu pozornost na događaje 1801 i 1808 opisane na stranici događaja.
Veze u nastavku za MSI-jeve pravilnik grupe i referentnu proračunsku tablicu s postavkama GP-a ili provjerite jesu li administrativni predlošci koje koristite objavljeni na datume navedene u tablici ili nakon njih.
| Platforma | Objavljeni MSI | Objavljena referentna proračunska tablica s postavkama GP-a |
|---|---|---|
|
Klijent Napomena: Administrativni predlošci (.admx) neovisni su o OS-u i funkcioniraju na SVIM podržanim OS-ovima. |
Preuzmite administrativne predloške (.admx) za ažuriranje Windows 11 2025 (25H2) – v2.0 sa službenog web-mjesta tvrtke Microsoft Objavljeno: 27.10.2025. |
Preuzmite referentnu proračunsku tablicu s postavkama pravilnik grupe za ažuriranje Windows 11 2025 (25H2) – v2.0 sa službenog web-mjesta tvrtke Microsoft Objavljeno: 2.10.2025. |
|
Poslužitelj Napomena: Administrativni predlošci (.admx) neovisni su o OS-u i funkcioniraju na SVIM podržanim OS-ovima. |
Preuzmite administrativne predloške (.admx) za Windows Server 2025 (izdanje od 25. listopada) sa službenog web-mjesta tvrtke Microsoft Objavljeno: 27.10.2025. |
Preuzmite referentnu proračunsku tablicu za postavke pravilnik grupe za Windows Server 2025 (izdanje od 25. listopada) sa službenog web-mjesta tvrtke Microsoft Objavljeno: 27.10.2025. |