Eredeti közzététel dátuma: 2025. október 30.
TUDÁSBÁZIS-azonosító: 5068198
|
Ez a cikk a következőhöz nyújt útmutatást:
Megjegyzés: Ha Ön egy személyes Windows-eszköz tulajdonosa, olvassa el a Windows-eszközök a Microsoft által felügyelt frissítésekkel rendelkező otthoni felhasználóknak, vállalkozásoknak és iskoláknak című cikket. |
|
A támogatás elérhetősége
|
Ebben a cikkben:
-
Ismertető
-
Csoportházirend objektum (GPO) konfigurációs módszere
Ismertető
Ez a dokumentum a Biztonságos rendszerindítási tanúsítvány frissítéseinek központi telepítésének, kezelésének és figyelésének támogatását ismerteti a Secure Boot Csoportházirend objektummal. A beállítások a következőkből állnak:
-
Az üzembe helyezés aktiválásának lehetősége egy eszközön
-
A megbízhatósági gyűjtők letiltására/letiltására vonatkozó beállítás
-
Beállítás a Frissítések kezelésének a Microsoft általi letiltásához/letiltásához
Csoportházirend objektum (GPO) konfigurációs módszere
Ez a módszer egy egyszerű Biztonságos rendszerindítási Csoportházirend beállítást biztosít, amelyet a tartományi rendszergazdák beállíthatnak a biztonságos rendszerindítási frissítések központi telepítésére az összes tartományhoz csatlakoztatott Windows-ügyfélen és -kiszolgálón. Emellett két Biztonságos rendszerindítási segéd is kezelhető a jóváhagyási/elutasítási beállításokkal.
A Biztonságos rendszerindítási tanúsítvány frissítéseinek központi telepítésére vonatkozó szabályzatot tartalmazó frissítések beszerzéséhez töltse le a 2025. október 23-án vagy azt követően közzétett felügyeleti sablonoklegújabb verzióját.
Ez a szabályzat a következő elérési úton található a Csoportházirend felhasználói felületén:
Számítógép konfigurációja >Felügyeleti sablonok >Windows-összetevők >biztonságos rendszerindítás
Elérhető konfigurációs beállítások
A Biztonságos rendszerindítási tanúsítvány üzembe helyezéséhez elérhető három beállítást itt ismertetjük. Ezek a beállítások megfelelnek a Biztonságos rendszerindítás beállításkulcs-frissítéseinek: Informatikai felügyelettel rendelkező Windows-eszközök beállításkulcsainak.
Biztonságos rendszerindítási tanúsítvány üzembe helyezésének engedélyezése
Csoportházirend beállítás neve: Biztonságos rendszerindítási tanúsítvány üzembe helyezésének engedélyezése
Leírás: Ez a szabályzat szabályozza, hogy a Windows kezdeményezi-e a biztonságos rendszerindítási tanúsítvány központi telepítését az eszközökön.
-
Engedélyezve: A Windows automatikusan megkezdi a frissített biztonságos rendszerindítási tanúsítványok telepítését az ütemezett karbantartás során.
-
Letiltva: A Windows nem telepíti automatikusan a tanúsítványokat.
-
Nincs konfigurálva: Az alapértelmezett viselkedés érvényes (nincs automatikus üzembe helyezés).
Megjegyzések:
-
A beállítást feldolgozó feladat 12 óránként fut. Egyes frissítések biztonságos befejezéséhez újraindításra lehet szükség.
-
Miután alkalmazta a tanúsítványokat a belső vezérlőprogramra, azok nem távolíthatók el a Windowsból. A tanúsítványok törlését a belső vezérlőprogram felületén kell elvégezni.
-
Ez a beállítás előnynek minősül; ha a GPO el lett távolítva, a beállításjegyzék értéke megmarad.
-
Az AvailableUpdates beállításkulcsnak felel meg.
Automatikus tanúsítványtelepítés a Frissítések
Csoportházirend beállítás neve: Automatikus tanúsítványtelepítés Frissítések
Leírás: Ez a szabályzat szabályozza, hogy a rendszer automatikusan alkalmazza-e a biztonságos rendszerindítási tanúsítvány frissítéseit a Windows havi biztonsági és nem biztonsági frissítéseivel. Azok az eszközök, amelyeket a Microsoft a biztonságos rendszerindítási változók frissítéseinek feldolgozására ellenőrzött, az összegző karbantartás részeként megkapják és automatikusan alkalmazzák őket.
-
Engedélyezve: Az ellenőrzött frissítési eredményekkel rendelkező eszközök a karbantartás során automatikusan megkapják a tanúsítványfrissítéseket.
-
Letiltva: Az automatikus üzembe helyezés le van tiltva; a frissítéseket manuálisan kell kezelni.
-
Nincs konfigurálva: Az automatikus üzembe helyezés alapértelmezés szerint megtörténik.
Megjegyzések:
-
A frissítések sikeres feldolgozását visszaigazoló eszközökhöz készült.
-
Konfigurálja ezt a szabályzatot úgy, hogy kikapcsolja az automatikus üzembe helyezést.
-
A HighConfidenceOptOut beállításkulcsnak felel meg.
Tanúsítvány üzembe helyezése szabályozott szolgáltatáskiterjesztéssel
Csoportházirend beállítás neve: Tanúsítvány központi telepítése szabályozott szolgáltatáskiterjesztéssel
Leírás: Ez a szabályzat lehetővé teszi a vállalatok számára, hogy részt vegyenek a Microsoft által kezelt biztonságos rendszerindítási tanúsítványfrissítések ellenőrzött szolgáltatásban való bevezetésében .
-
Engedélyezve: A Microsoft segít a tanúsítványok üzembe helyezésében a bevezetésben regisztrált eszközökön.
-
Letiltva vagy nincs konfigurálva: Nincs részvétel a szabályozott bevezetésben.
Követelmények:
-
Az eszköznek el kell küldenie a szükséges diagnosztikai adatokat a Microsoftnak. Részletekért lásd: A Windows diagnosztikai adatainak konfigurálása a szervezetben – Windows adatvédelem | Microsoft Learn.
-
Az MicrosoftUpdateManagedOptIn beállításkulcsnak felel meg.
Csoportházirend-objektum konfigurációjának áttekintése
-
Szabályzat neve (feltételes): "Biztonságos rendszerindítási kulcs bevezetésének engedélyezése" (a Számítógép konfigurációja területen).
-
Szabályzat elérési útja: Új csomópont a Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > biztonságos rendszerindítás alatt. Az egyértelműség érdekében létre kell hozni egy olyan alkategóriát, mint a "Biztonságos rendszerindítási Frissítések" a szabályzat tárolásához.
-
Hatókör: Számítógép (gépszintű beállítás): A HKEY_LOCAL_MACHINE kaptárat célozza, és hatással van az eszköz UEFI-állapotára.
-
Szabályzatművelet: Ha engedélyezve van, a szabályzat a következő beállításkulcsot állítja be.
Beállításjegyzék helye
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD név
AvailableUpdatesPolicy
DWORD érték
0x5944
Megjegyzések
Ezzel megjelöli az eszközt, hogy a következő lehetőségnél telepítse az összes elérhető biztonságos rendszerindítási kulcsfrissítést.
Megjegyzés: A Csoportházirend természetéből adódóan a szabályzat idővel újra alkalmazva lesz, és az AvailableUpdates bitjei a feldolgozásuk során törlődnek. Ezért szükség van egy különálló, AvailableUpdatesPolicy nevű beállításkulcsra, hogy a mögöttes logika nyomon tudja követni, hogy a kulcsok üzembe lettek-e helyezve. Ha az AvailableUpdatesPolicy0x5944 értékre van állítva, a TPMTasks az AvailableUpdates értékét 0x5944 értékre állítja, és vegye figyelembe, hogy ez azért történt, hogy ne lehessen többször újra alkalmazni az AvailableUpdatesre . Ha az AvailableUpdatesPolicy beállítást Diabled értékre állítja, a TPMTasks elem törlődik, vagy 0 AvailableUpdates értékre van állítva, és vegye figyelembe, hogy ez befejeződött.
-
Letiltva/Nincs konfigurálva: Ha a Nincs konfigurálva értékre van állítva, a szabályzat nem végez módosításokat (a biztonságos rendszerindítási frissítések továbbra is jóváhagyási állapotban maradnak, és csak akkor futnak, ha más módon aktiválódnak). Ha a Letiltva értékre van állítva, a szabályzatnak az AvailableUpdates értékét 0-ra kell állítania, hogy az eszköz ne kísérelje meg a Biztonságos rendszerindítási kulcs roll-t, vagy állítsa le a bevezetést, ha valami probléma merül fel.
-
A HighConfidenceOptOut engedélyezhető vagy letiltható. Az engedélyezéssel ezt a kulcsot 1-re állítja, a letiltás pedig 0-ra.
ADMX-implementáció: Ez a szabályzat egy szabványos felügyeleti sablon (ADMX) használatával lesz implementálva. A beállításjegyzék-szabályzat mechanizmusát használja az érték megírásához. Az ADMX-definíció például a következőket adja meg:
-
Beállításkulcs: Szoftver\Szabályzatok\... Megjegyzés: Csoportházirend általában a Szabályzatok ágba ír, de ebben az esetben ki kell hatnunk a HKEY_LOCAL_MACHINE\SYSTEM kaptárra. A Csoportházirend gépi szabályzatok HKEY_LOCAL_MACHINE hive-ra való közvetlen írási képességét fogjuk használni. Az ADMX használhatja az elemet a valódi célútvonallal.
-
Név: AvailableUpdatesPolicy
-
DWORD érték: 0x5944
A csoportházirend-objektum alkalmazásakor a Csoportházirend ügyfélszolgáltatás minden megcélzott gépen létrehozza vagy frissíti ezt a beállításjegyzék-értéket. Amikor a biztonságos rendszerindítási karbantartási feladat (TPMTasks) legközelebb fut a gépen, észleli a 0x5944, és végrehajtja a frissítést.
Megjegyzés: Windows rendszeren a "TPMTask" ütemezett feladat 12 óránként fut az ilyen biztonságos rendszerindítási frissítési jelzők feldolgozásához. A rendszergazdák a feladat manuális futtatásával vagy szükség esetén újraindításával is felgyorsíthatják a műveletet.
Példa szabályzat felhasználói felületére
-
Beállítás Biztonságos rendszerindítási kulcs bevezetésének engedélyezése: Ha engedélyezve van, az eszköz telepíti a frissített Biztonságos rendszerindítási tanúsítványokat (2023 CA) és a társított rendszerindítás-kezelő frissítést. Az eszköz belső vezérlőprogramjának biztonságos rendszerindítási kulcsai és konfigurációi a következő karbantartási időszakban frissülnek. Az állapot a beállításjegyzékben (UEFICA2023Status és UEFICA2023Error) vagy a Windows eseménynaplójában követhető nyomon.
-
Beállítások Engedélyezve / Letiltva / Nincs konfigurálva
Ez az egyetlen beállítási módszer minden ügyfél számára egyszerű (mindig a javasolt 0x5944 értéket használja).
Fontos: Ha a jövőben részletesebb szabályozásra van szükség, további szabályzatok vagy lehetőségek is bevezethetők. A jelenlegi útmutató azonban az, hogy az összes új biztonságos rendszerindítási kulcsot és az új rendszerindítás-kezelőt együtt kell üzembe helyezni szinte minden forgatókönyvben, ezért egy egy váltógombos üzembe helyezés megfelelő.
Biztonsági & engedélyek: AHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet hive-ba való íráshoz rendszergazdai jogosultság szükséges. Csoportházirend helyi rendszerként fut az ügyfeleken, amely rendelkezik a szükséges jogosultságokkal. Magát a csoportházirend-objektumot a Csoportházirend felügyeleti jogosultsággal rendelkező rendszergazdák szerkeszthetik. A standard csoportházirend-objektum biztonsága megakadályozhatja, hogy a rendszergazdák módosítják a szabályzatot.
A szabályzat konfigurálásakor használt angol nyelvű szöveg a következő.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
