pravilnik grupe metode sigurnog pokretanja objekata (GPO) za uređaje sa sustavom Windows s ažuriranjima kojima upravlja IT

Izvorno objavljeno: 30. listopada 2025.

KB ID: 5068198

Ovaj članak sadrži smjernice za:

Tvrtke ili ustanove koje imaju vlastiti IT odjel koji upravlja uređajima i ažuriranjima sustava Windows.

Napomena: ako ste osoba koja je vlasnik osobnog uređaja sa sustavom Windows, pročitajte članak Uređaji sa sustavom Windows za kućne korisnike, tvrtke i obrazovne ustanove s Microsoftovim ažuriranjima.

Dostupnost ove podrške

14. listopada 2025.: podržane verzije obuhvaćaju Windows 10, verziju 22H2 i novije verzije (uključujući 21H2 LTSC), sve podržane verzije sustava Windows 11 kao i Windows Server 2022 i novije.
11. studenog 2025.: za verzije sustava Windows koje još uvijek podržavaju.

U ovom članku:

Uvod
pravilnik grupe metoda konfiguracije objekta (GPO)
Dostupne postavke konfiguracije
Resursi

Uvod

U ovom se dokumentu opisuje podrška za implementaciju ažuriranja certifikata za sigurno pokretanje, upravljanje i nadzor ažuriranja certifikata za sigurno pokretanje pomoću objekta sigurnog pravilnik grupe pokretanja. Postavke se sastoje od:

Mogućnost pokretanja implementacije na uređaju
Postavka za uključivanje/odustajanje od grupa visoke pouzdanosti
Postavka za uključivanje/odustajanje od Microsoftova upravljanja ažuriranjima

pravilnik grupe metoda konfiguracije objekta (GPO)

Ova metoda nudi izravnu postavku sigurnog pokretanja pravilnik grupe administratori domene mogu postaviti na implementaciju ažuriranja sigurnog pokretanja na sve klijente i poslužitelje sustava Windows pridružene domeni. Uz to, dva pomoćnika za sigurno pokretanje mogu se upravljati pomoću postavki za uključivanje/odustajanje.

Ažuriranja koja obuhvaćaju pravilnik za implementaciju ažuriranja certifikata za sigurno pokretanje potražite u odjeljku Resursi u nastavku.

Taj se pravilnik može pronaći na sljedećem putu u korisničkom sučelju pravilnik grupe:

Konfiguracija računala->Administrativni predlošci->komponente sustava Windows->sigurno pokretanje

Važno: Ažuriranja sigurnog pokretanja ovise o firmveru uređaja, a neki uređaji mogu naići na probleme s kompatibilnošću. Da biste osigurali sigurno postavljanje:

Provjerite valjanost pravilnika o ažuriranju na najmanje jednom reprezentativnom uređaju za svaku vrstu uređaja u vašoj tvrtki ili ustanovi.
Provjerite jesu li certifikati za sigurno pokretanje uspješno primijenjeni na UEFI DB i KEK. Detaljne korake potražite na stranici Ažuriranja certifikata za sigurno pokretanje: Smjernice za IT profesionalce i tvrtke ili ustanove.
Nakon provjere valjanosti grupirajte uređaje prema raspršivanje grupa i primijenite pravilnik na te uređaje radi kontroliranog pokretanja.

Dostupne postavke konfiguracije

Slika

Tri postavke dostupne za implementaciju certifikata sigurnog pokretanja opisane su ovdje. Te postavke odgovaraju ključevima registra opisanima u ažuriranjima ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT.

Omogući implementaciju certifikata za sigurno pokretanje

pravilnik grupe postavke: Omogući implementaciju certifikata za sigurno pokretanje

slike

Opis: Ovim se pravilnikom određuje pokreće li Windows postupak implementacije certifikata sigurnog pokretanja na uređajima.

Omogućeno: Windows automatski započinje implementaciju ažuriranih certifikata za sigurno pokretanje nakon pokretanja zadatka sigurnog pokretanja.
Onemogućeno: Windows ne implementira certifikate automatski.
Nije konfigurirano: primjenjuje se zadano ponašanje (nema automatske implementacije).

Napomene:

Zadatak koji obrađuje tu postavku pokreće se svakih 12 sati. Neka ažuriranja mogu zahtijevati ponovno pokretanje da bi se sigurno dovršila.
Kada se certifikati primjenjuju na opremu, ne mogu se ukloniti iz sustava Windows. Brisanje certifikata mora se izvršiti putem sučelja programske opreme.
Ta se postavka smatra preferencama; ako se GPO ukloni, vrijednost registra ostaje.
Odgovara ključu registra AvailableUpdates.

Automatska implementacija certifikata putem Ažuriranja

pravilnik grupe postavke: automatska implementacija certifikata putem Ažuriranja

slike.

Opis: Ovim se pravilnikom određuje primjenjuju li se ažuriranja certifikata sigurnog pokretanja automatski putem mjesečnih sigurnosnih i nesigurnih ažuriranja sustava Windows. Uređaji za koje je Microsoft potvrdio da mogu obrađivati ažuriranja varijabli sigurnog pokretanja primit će ta ažuriranja kao dio kumulativnog servisiranja i automatski ih primijeniti.

Omogućeno: uređaji s potvrđenim rezultatima ažuriranja automatski će primati ažuriranja certifikata tijekom servisiranja.
Onemogućeno: automatska implementacija je blokirana; ažuriranjima se mora upravljati ručno.
Nije konfigurirano: automatska implementacija po zadanom se odvija.

Napomene:

Planirani uređaji za koje je potvrđeno da uspješno obrađuju ažuriranja.
Konfigurirajte pravilnik da biste se odlučili za automatsku implementaciju.
Odgovara ključu registra HighConfidenceOptOut.

Implementacija certifikata putem kontroliranog uvođenja značajki

pravilnik grupe postavke: Implementacija certifikata putem kontroliranog uvođenja značajki

slika

Opis: Ovaj pravilnik omogućuje tvrtkama da sudjeluju u kontroliranom implementaciji značajke ažuriranja certifikata sigurnog pokretanja kojim upravlja Microsoft.

Omogućeno: Microsoft pomaže pri implementaciji certifikata na uređaje koji su uključeni u uvođenje.
Onemogućeno ili Nije konfigurirano: nema sudjelovanja u kontroliranom uočju.

Preduvjeti:

Uređaj Microsoftu mora poslati obavezne dijagnostičke podatke. Detalje potražite u članku Konfiguriranje dijagnostičkih podataka o sustavu Windows u vašoj tvrtki ili ustanovi - Zaštita privatnosti u sustavu Windows | Microsoft Learn.
Odgovara ključu registra MicrosoftUpdateManagedOptIn.

Resursi

Pogledajte i ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT za pojedinosti o UEFICA2023Status i UEFICA2023Pogreška ključeva registra za praćenje rezultata uređaja.

Događaje ažuriranja za događaje korisne za razumijevanje statusa uređaja, atributa uređaja i ID-ova grupe uređaja potražite u člancima Secure Boot DB i DBX variable update events. Obratite posebnu pozornost na događaje 1801 i 1808 opisane na stranici događaja.

Za pravilnik grupe MSI-je i referentnu proračunsku tablicu gp postavki koristite veze u nastavku ili provjerite jesu li administrativni predlošci koje koristite objavljeni na datumima navedenim u tablici ili nakon toga.

Platforma	Objavljeni MSI	Objavljena referentna proračunska tablica postavki GP-a
Klijent	Preuzimanje administrativnih predložaka (.admx) za Windows 11 2025 Update (25H2) - V2.0 s službenog Microsoftova web-mjesta Objavljeno: 29.9.2025.	Preuzmite pravilnik grupe pošte reference na postavke za Windows 11 2025 ažuriranje (25H2) – V2.0 sa službenog Microsoftova web-mjesta Objavljeno: 2. 10. 2025.
Poslužitelj	Preuzimanje administrativnih predložaka (.admx) za Windows Server 2025. (izdanje od 25. listopada) sa službenog Microsoftova web-mjesta Objavljeno: 27.10.2025.	Preuzmite pravilnik grupe pošte za postavke za Windows Server 2025 (izdanje od 25. listopada) sa službenog Microsoftova web-mjesta Objavljeno: 27.10.2025.

Platforma

Objavljeni MSI

Objavljena referentna proračunska tablica postavki GP-a

Klijent

Preuzimanje administrativnih predložaka (.admx) za Windows 11 2025 Update (25H2) - V2.0 s službenog Microsoftova web-mjesta

Objavljeno: 29.9.2025.

Preuzmite pravilnik grupe pošte reference na postavke za Windows 11 2025 ažuriranje (25H2) – V2.0 sa službenog Microsoftova web-mjesta

Objavljeno: 2. 10. 2025.

Poslužitelj

Preuzimanje administrativnih predložaka (.admx) za Windows Server 2025. (izdanje od 25. listopada) sa službenog Microsoftova web-mjesta

Objavljeno: 27.10.2025.

Preuzmite pravilnik grupe pošte za postavke za Windows Server 2025 (izdanje od 25. listopada) sa službenog Microsoftova web-mjesta