Opprinnelig publisert dato: 30. oktober 2025
KB-ID: 5068198
|
Denne artikkelen har veiledning for:
Obs! Hvis du er en person som eier en personlig Windows-enhet, kan du se artikkelen Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer. |
|
Tilgjengelighet for denne støtten
|
I denne artikkelen:
-
Innledning
-
konfigurasjonsmetode for gruppepolicy object (GPO)
Innledning
Dette dokumentet beskriver støtte for distribusjon, administrasjon og overvåking av sertifikatoppdateringer for sikker oppstart ved hjelp av objektet Secure Boot gruppepolicy. Innstillingene består av:
-
Muligheten til å utløse distribusjon på en enhet
-
En innstilling for å melde deg på/velge bort samlinger med høy visshet
-
En innstilling for å melde deg på/melde deg ut av Microsoft-administrasjonsoppdateringer
konfigurasjonsmetode for gruppepolicy object (GPO)
Denne metoden tilbyr en enkel sikker oppstart gruppepolicy innstilling som domeneadministratorer kan angi for å distribuere oppdateringer for sikker oppstart til alle domenetilknyttede Windows-klienter og -servere. I tillegg kan to sikre oppstartsassister administreres med innstillinger for innmelding/utmelding.
Hvis du vil ha oppdateringene som inkluderer policyen for distribusjon av sertifikatoppdateringer for sikker oppstart, kan du laste ned den nyeste versjonen av administrative malersom er publisert 23. oktober 2025.
Du finner denne policyen under følgende bane i brukergrensesnittet for gruppepolicy:
Datamaskinkonfigurasjon->Administrative maler->Windows-komponenter->sikker oppstart
Tilgjengelige konfigurasjonsinnstillinger
De tre innstillingene som er tilgjengelige for distribusjon av sertifikat for sikker oppstart, er beskrevet her. Disse innstillingene tilsvarer registernøklene som er beskrevet i registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer.
Aktiver distribusjon av sertifikat for sikker oppstart
gruppepolicy innstillingsnavn: Aktiver distribusjon av sertifikat for sikker oppstart
Beskrivelse: Denne policyen kontrollerer om Windows starter distribusjonsprosessen for sertifikat for sikker oppstart på enheter.
-
Aktivert: Windows begynner automatisk å distribuere oppdaterte sertifikater for sikker oppstart under planlagt vedlikehold.
-
Deaktivert: Windows distribuerer ikke sertifikater automatisk.
-
Ikke konfigurert: Standard virkemåte gjelder (ingen automatisk distribusjon).
Merknader:
-
Oppgaven som behandler denne innstillingen, kjører hver 12. time. Noen oppdateringer kan kreve en omstart for å fullføres på en trygg vis.
-
Når sertifikater er brukt på fastvare, kan de ikke fjernes fra Windows. Fjerning av sertifikater må gjøres via fastvaregrensesnittet.
-
Denne innstillingen regnes som en innstilling. hvis gruppepolicyobjektet fjernes, beholdes registerverdien.
-
Tilsvarer registernøkkelen AvailableUpdates.
Automatisk sertifikatdistribusjon via Oppdateringer
gruppepolicy innstillingsnavn: Automatisk sertifikatdistribusjon via Oppdateringer
Beskrivelse: Denne policyen kontrollerer om oppdateringer av sertifikater for sikker oppstart brukes automatisk via månedlig sikkerhet og ikke-sikkerhetsrelaterte oppdateringer i Windows. Enheter som Microsoft har validert som i stand til å behandle variable oppdateringer for sikker oppstart, mottar disse oppdateringene som en del av kumulativ service og bruker dem automatisk.
-
Aktivert: Enheter med validerte oppdateringsresultater mottar sertifikatoppdateringer automatisk under service.
-
Deaktivert: Automatisk distribusjon er blokkert. oppdateringer må administreres manuelt.
-
Ikke konfigurert: Automatisk distribusjon skjer som standard.
Merknader:
-
Beregnet for enheter som er bekreftet for å behandle oppdateringer.
-
Konfigurer denne policyen til å velge bort automatisk distribusjon.
-
Tilsvarer registernøkkelen HighConfidenceOptOut.
Sertifikatdistribusjon via kontrollert funksjonsutrulling
gruppepolicy innstillingsnavn: Sertifikatdistribusjon via kontrollert funksjonsutrulling
Beskrivelse: Denne policyen gjør det mulig for virksomheter å delta i en kontrollert funksjonsutrulling av sertifikatoppdateringer for sikker oppstart som administreres av Microsoft.
-
Aktivert: Microsoft bistår med distribusjon av sertifikater til enheter som er registrert i utrullingen.
-
Deaktivert eller ikke konfigurert: Ingen deltakelse i kontrollert utrulling.
Krav:
-
Enheten må sende nødvendige diagnosedata til Microsoft. Hvis du vil ha mer informasjon, kan du se Konfigurere Windows-diagnosedata i organisasjonen – Personvern for Windows | Microsoft Learn.
-
Tilsvarer registernøkkelen MicrosoftUpdateManagedOptIn.
Oversikt over GPO-konfigurasjon
-
Policynavn (foreløpig): "Aktiver utrulling av sikker oppstartsnøkkel" (under datamaskinkonfigurasjon).
-
Policybane: En ny node under Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > sikker oppstart. For klarhet bør det opprettes en underkategori som «Sikker oppstart Oppdateringer» for å lagre denne policyen.
-
Omfang: Datamaskin (maskinomfattende innstilling): Den retter seg mot HKEY_LOCAL_MACHINE bikube og påvirker enhetens UEFI-tilstand.
-
Policyhandling: Når den er aktivert, angir policyen følgende registerundernøkkel.
Registerplassering
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD-navn
AvailableUpdatesPolicy
DWORD-verdi
0x5944
Kommentarer
Dette flagger enheten for å installere alle tilgjengelige nøkkeloppdateringer for sikker oppstart ved neste mulighet.
Obs!: På grunn av innholdet i gruppepolicy, vil policyen bli brukt på nytt over tid, og biter av AvailableUpdates fjernes når de behandles. Det er derfor nødvendig å ha en egen registernøkkel med navnet AvailableUpdatesPolicy , slik at den underliggende logikken kan spore om nøklene er distribuert. Når AvailableUpdatesPolicy er satt til 0x5944, angir TPMTasks AvailableUpdates til 0x5944 og noterer at dette er gjort for å hindre at du bruker AvailableUpdates på nytt flere ganger. Hvis du angir AvailableUpdatesPolicy til Diabled , fjernes TPMTasks eller settes til 0 AvailableUpdates og noterer at dette er fullført.
-
Deaktivert/ikke konfigurert: Når policyen er satt til Ikke konfigurert, endres ikke policyen (oppdateringer for sikker oppstart forblir som påmelding og kjøres ikke med mindre den utløses på andre måter). Hvis den er satt til Deaktivert, bør policyen angi AvailableUpdates til 0 for å eksplisitt sikre at enheten ikke prøver nøkkelrullen for sikker oppstart eller for å stoppe utrullingen hvis noe går galt.
-
HighConfidenceOptOut kan aktiveres eller deaktiveres. Aktivering setter denne nøkkelen til 1 , og deaktivering setter den til 0.
ADMX-implementering: Denne policyen implementeres ved hjelp av en standard administrativ mal (ADMX). Den bruker registerpolicymekanismen til å skrive verdien. ADMX-definisjonen angir for eksempel:
-
Registernøkkel: Software\Policies\... Obs! gruppepolicy skriver vanligvis til policygrenen, men i dette tilfellet må vi påvirke HKEY_LOCAL_MACHINE\SYSTEM struktur. Vi vil bruke gruppepolicy evne til å skrive direkte til HKEY_LOCAL_MACHINE bikube for maskinpolitikk. ADMX kan bruke elementet med den virkelige målbanen.
-
Navn: AvailableUpdatesPolicy
-
DWORD-verdi: 0x5944
Når gruppepolicyobjektet brukes, oppretter eller oppdaterer gruppepolicy klienttjeneste på hver målrettede maskin denne registerverdien. Neste gang TPMTasks (Secure Boot Servicing Task) kjører på den maskinen, vil den oppdage 0x5944 og utføre oppdateringen.
Obs!: På Windows kjører den planlagte oppgaven TPMTask hver 12. time for å behandle slike flagg for sikker oppstartsoppdatering. Administratorer kan også fremskynde oppgaven manuelt eller starte den på nytt hvis ønskelig.
Eksempel på policygrensesnitt
-
Innstilling Aktiver utrulling av nøkkel for sikker oppstart: Når den er aktivert, installerer enheten de oppdaterte sertifikatene for sikker oppstart (2023 CAer) og tilknyttet oppstartsbehandlingsoppdatering. Enhetens fastvare, sikre oppstartsnøkler og konfigurasjoner, oppdateres i neste vedlikeholdsvindu. Status kan spores via registeret (UEFICA2023Status og UEFICA2023Error) eller Windows-hendelsesloggen.
-
Alternativer Aktivert / deaktivert / ikke konfigurert
Denne enkle innstillingstilnærmingen gjør det enkelt for alle kunder (alltid ved hjelp av anbefalt 0x5944 verdi).
Viktig: Hvis mer detaljert kontroll i fremtiden er nødvendig, kan ytterligere policyer eller alternativer innføres. Gjeldende veiledning er imidlertid at alle nye secure boot-nøkler og den nye oppstartsbehandlingen bør distribueres sammen i nesten alle scenarioer, slik at en en-veksledistribusjon er riktig.
Sikkerhetstillatelser &: Skriving tilHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet struktur krever administrative rettigheter. gruppepolicy kjører som lokalt system på klienter, som har de nødvendige rettighetene. Selve gruppepolicyobjektet kan redigeres av administratorer med gruppepolicy administrasjonsrettigheter. Standard GPO-sikkerhet kan hindre at ikke-administratorer endrer policyen.
Den engelske teksten som brukes når du konfigurerer policyen, er som følger.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
