Csoportházirend-objektumok (GPO) módszer a biztonságos indításhoz windowsos eszközökön, IT által kezelt frissítésekkel

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzététel dátuma: 2025. október 30.
  • Tudásbáziscikk azonosítója: 5068198
Ez a cikk a következőkre nyújt útmutatást:

  • Azok a szervezetek, amelyek saját informatikai részleggel kezelik a windowsos eszközöket és frissítéseket.
Megjegyzés: Ha Ön személyes windowsos eszközzel rendelkezik, olvassa el a Windows eszközök otthoni felhasználóknak, vállalatoknak és iskoláknak a Microsoft által felügyelt frissítésekkel című cikket.
A támogatás elérhetősége
  • 2025. november 11.: A még támogatott Windows-verziók esetén.
Módosítási napló
Dátum módosítása Módosítás leírása
2026. február 20.
  • Frissítettük a "Támogatás elérhetősége" szakaszt
  • Frissítettük a "Bevezetés" szakaszt
  • Az "Erőforrások" területen megjegyzés hozzáadva mind az ügyfélhez, mind a kiszolgálóhoz.
2025. november 11.
  • Az ügyfélhivatkozás frissült az "Erőforrások" alatt innen: - "https://www.microsoft.com/download/details.aspx?id=108394" nak nek – www.microsoft.com/en-us/download/details.aspx?id=108428.
  • A közzététel dátuma 2025.09.29-ről 2025.10.27-re módosult
2025. november 26-i kiadás
  • Új megjegyzés hozzáadva az "Automatikus tanúsítványtelepítés Frissítések segítségével" részhez.
  • Felcseréltük az Engedélyezve és a Letiltva definíciót az "Automatikus tanúsítványtelepítés Frissítések segítségével" területen.

A cikk tartalma:

Bevezetés

Ez a dokumentum a biztonságos rendszerindítási tanúsítvány frissítéseinek Secure Boot Csoportházirend objektummal történő telepítésének, kezelésének és figyelésének támogatását ismerteti. A beállítások az alábbiakból állnak:

  • A központi telepítés elindításának lehetősége egy eszközön
  • A nagy megbízhatóságú gyűjtők engedélyezése, illetve az azok letiltására szolgáló beállítás
  • A frissítések Microsoft általi kezelésének jóváhagyása/letiltása

Megjegyzés: A felügyeleti sablonokat (.admx) és a Csoportházirendet a Microsoft hivatalos webhelyéről kell letölteni. Lásd: Források.

Csoportházirend-objektum konfigurációs módszere

Ez a módszer egy egyszerű biztonságos rendszerindítási Csoportházirend-beállítást kínál, amelyet a tartományi rendszergazdák beállíthatnak a biztonságos rendszerindítási frissítések telepítéséhez minden tartományhoz csatlakoztatott Windows-ügyfélre és -kiszolgálóra. Emellett két biztonságos rendszerindítási segéd is kezelhető az opt-in/opt out beállításokkal.

A biztonságos rendszerindítási tanúsítvány frissítéseinek telepítésére vonatkozó házirendet tartalmazó frissítések beszerzéséhez tekintse meg az alábbi Források szakaszt.

Ez a házirend a következő elérési úton található a Csoportházirend felhasználói felületén:

Számítógép konfigurációja-Felügyeleti> sablonok-Windows-összetevők-Biztonságos>> rendszerindítás

Fontos

A biztonságos rendszerindítás frissítései az eszköz belső vezérlőprogramjától függenek, és egyes eszközökön kompatibilitási problémák jelentkezhetnek. A biztonságos bevezetés érdekében:

  1. Ellenőrizze a frissítési házirendet a szervezet minden eszköztípusához legalább egy reprezentatív eszközön.
  2. Győződjön meg arról, hogy a biztonságos rendszerindítási tanúsítványokat sikeresen alkalmazta az UEFI DB-re és a KEK-re. A részletes lépésekért lásd : Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakemberek és szervezetek számára.
  3. Az ellenőrzés után csoportosítsa az eszközöket gyűjtőkivonat szerint , és alkalmazza a szabályzatot ezekre az eszközökre egy ellenőrzött bevezetéshez.

Rendelkezésre álló konfigurációs beállítások

Kép

A biztonságos rendszerindítási tanúsítvány telepítéséhez elérhető három beállítást itt ismertetjük. Ezek a beállítások megfelelnek a Biztonságos rendszerindítás beállításkulcs-frissítései: informatikai felügyeletű frissítésekkel rendelkező Windows-eszközök: beállításkulcsok frissítése című cikkben leírt beállításkulcsoknak.

Biztonságos rendszerindítási tanúsítvány telepítésének engedélyezése

Csoportházirend-beállítás neve: Biztonságos rendszerindítási tanúsítvány telepítésének engedélyezése

képek

Leírás:
Ez a házirend azt szabályozza, hogy a Windows elindítja-e a biztonságos rendszerindítási tanúsítvány telepítési folyamatát az eszközökön. 

  • Engedélyezve: A Windows automatikusan megkezdi a frissített biztonságos rendszerindítási tanúsítványok üzembe helyezését a biztonságos rendszerindítási feladat futtatása után.
  • Letiltva: A Windows nem telepíti automatikusan a tanúsítványokat.
  • Nincs konfigurálva: Az alapértelmezett működés érvényes (nincs automatikus telepítés).

Megjegyzés

  • A beállítást feldolgozó feladat 12 óránként fut. Egyes frissítések biztonságos végrehajtásához újraindításra lehet szükség.
  • A belső vezérlőprogramra alkalmazott tanúsítványok nem távolíthatók el a Windowsból. A tanúsítványok törlését a belső vezérlőprogram felületén keresztül kell elvégezni.
  • Ez a beállítás preferenciának számít; A csoportházirend-objektum eltávolítása esetén a beállításazonosító megmarad.
  • Az AvailableUpdates beállításkulcsnak felel meg.

Automatikus tanúsítványtelepítés a Frissítések segítségével

Csoportházirend-beállítás neve: Automatikus tanúsítványtelepítés a Frissítések szolgáltatáson keresztül

Képek lehetőséget.

Leírás:
Ez a házirend azt szabályozza, hogy a biztonságos rendszerindítási tanúsítvány frissítései automatikusan alkalmazva legyenek-e a Windows havi biztonsági és nem biztonsági frissítésein keresztül. Azok az eszközök, amelyekről a Microsoft ellenőrizte, hogy alkalmasak a biztonságos rendszerindítási változófrissítések feldolgozására, ezeket a frissítéseket a kumulatív karbantartás részeként kapják meg, és automatikusan alkalmazzák őket. 

Megjegyzés

Ennek a házirendnek az engedélyezése letiltja az automatikus tanúsítványtelepítést a Frissítések szolgáltatáson keresztül. Ez egyenértékű a HighConfidenceOptOut beállításkulcs 1-re állításával.
Ennek a házirendnek a letiltása engedélyezi az automatikus tanúsítványtelepítést a Frissítések segítségével, ami egyenértékű a HighConfidenceOptOut 0 értékre állításával.

  • Engedélyezve: Az automatikus üzembe helyezés le van tiltva; A frissítéseket manuálisan kell kezelni.
  • Letiltva: Az ellenőrzött frissítési eredményekkel rendelkező eszközök automatikusan megkapják a tanúsítványfrissítéseket a karbantartás során.
  • Nincs konfigurálva: Az automatikus központi telepítés alapértelmezés szerint megtörténik.

Megjegyzés

  • Megerősítette, hogy a tervezett eszközök sikeresen feldolgozzák a frissítéseket.
  • Konfigurálja ezt a házirendet az automatikus üzembe helyezés engedélyezéséhez.
  • A HighConfidenceOptout beállításkulcsnak felel meg.

Tanúsítványtelepítés ellenőrzött funkcióbevezetésen keresztül

Csoportházirend-beállítás neve: Tanúsítványok telepítése szabályozott funkcióbevezetésen keresztül

kép

Leírás:
Ez a házirend lehetővé teszi a vállalatok számára, hogy részt vegyenek a Microsoft által felügyelt biztonságos rendszerindítási tanúsítványfrissítés szabályozott funkcióinak kibocsátásában .

  • Engedélyezve: A Microsoft segít a tanúsítványok üzembe helyezésében a bevezetésben regisztrált eszközökön.
  • Letiltva vagy nincs konfigurálva: Nem vehet részt a szabályozott kibocsátásban.

Követelmények:

Források

Az UEFICA2023Status és az UEFICA2023Error rendszerleíró kulcsokkal kapcsolatos információkért tekintse meg még: Beállításkulcs-frissítések a biztonságos rendszerindításhoz: Windows eszközök informatikai részleg által felügyelt frissítésekkel az eszközeredmények figyeléséhez.

Az eszközök, az eszközattribútumok és az eszköz gyűjtőazonosítóinak megértéséhez hasznos eseményekről tekintse meg a biztonságos rendszerindítási DB- és DBX-változófrissítési eseményeket . Fordítson kiemelt figyelmet az események lapon leírt 1801-es és 1808-as eseményekre.

A Csoportházirend MSI-k és a GP Settings Reference Spreadsheet (GP beállítások-referencia) használatához használja az alábbi hivatkozásokat, vagy győződjön meg arról, hogy az Ön által használt felügyeleti sablonok a táblázatban felsorolt dátumokon vagy azt követően lettek közzétéve.

Platform Közzétett MSI GP Settings Reference Spreadsheet (GP beállítások) közzététele
Ügyfél
Megjegyzés: A felügyeleti sablonok (.admx) agnosztikusak, és MINDEN támogatott operációs rendszerben működnek.
Felügyeleti sablonok (.admx) letöltése a Windows 11 2025-ös frissítéshez (25H2) – V2.0 a Microsoft hivatalos webhelyéről
Közzétéve: 2025.10.27.
Töltse le a Windows 11 2025 frissítés (25H2) – V2.0 Csoportházirend-beállítások referencia-számolótábláját a Microsoft hivatalos webhelyéről
Közzétéve: 2025.10.02.
Kiszolgáló
Megjegyzés: A felügyeleti sablonok (.admx) agnosztikusak, és MINDEN támogatott operációs rendszerben működnek.
Felügyeleti sablonok (.admx) letöltése a Windows Server 2025-höz (október 25-i kiadás) a Microsoft hivatalos webhelyéről
Közzétéve: 2025.10.27.
Töltse le a Windows Server 2025 (október 25-i kiadás) Csoportházirend-beállítások referenciatáblázatát a Microsoft hivatalos webhelyéről
Közzétéve: 2025.10.27.