Opmerking
- Oorspronkelijke publicatiedatum: 30 oktober 2025
- KB-id: 5068198
Dit artikel bevat richtlijnen voor:
|
|---|
Beschikbaarheid van deze ondersteuning
|
Wijzigingenlogboek
| Datum wijzigen | Beschrijving wijzigen |
|---|---|
| 20 februari 2026 |
|
| 11 november 2025 |
|
| 26 november 2025 |
|
In dit artikel:
- Inleiding
- Configuratiemethode voor groepsbeleid-objecten (GPO)
- Beschikbare configuratie-instellingen
- Bronnen
Inleiding
Dit document beschrijft de ondersteuning voor het implementeren, beheren en controleren van de certificaatupdates voor beveiligd opstarten met behulp van het groepsbeleid voor beveiligd opstarten. De instellingen bestaan uit:
- De mogelijkheid om de implementatie op een apparaat te activeren
- Een instelling voor het in-/uitschakelen van buckets met een hoge betrouwbaarheid
- Een instelling om u aan of af te melden voor Microsoft beheren van updates
Opmerking: Beheersjablonen (.admx) en het groepsbeleid moeten worden gedownload van de officiële Microsoft-site. Raadpleeg ook: Informatiebronnen.
Configuratiemethode voor groepsbeleid-objecten (GPO)
Deze methode biedt een eenvoudige instelling voor Secure Boot-groepsbeleid die domeinbeheerders kunnen instellen om Secure Boot-updates te implementeren op alle Windows-clients en -servers die lid zijn van een domein. Bovendien kunnen twee Beveiligd opstart-assistenten worden beheerd met opt-in/opt-out-instellingen.
Als je de updates wilt downloaden die het beleid voor het implementeren van secure boot-certificaatupdates bevatten, raadpleeg je de onderstaande sectie Informatiebronnen.
Dit beleid vindt u onder het volgende pad in de gebruikersinterface van het groepsbeleid:
Computerconfiguratie-Beheersjablonen-Windows-onderdelen-Beveiligd>>> opstarten
Belangrijk
Updates voor beveiligd opstarten zijn afhankelijk van de firmware van het apparaat en sommige apparaten kunnen compatibiliteitsproblemen ondervinden. Voor een veilige implementatie:
- Valideer het updatebeleid op ten minste één apparaat voor elk apparaattype in uw organisatie.
- Bevestig dat certificaten voor beveiligd opstarten zijn toegepast op de UEFI DB en KEK. Ga voor gedetailleerde stappen naar Updates van Secure Boot-certificaat: richtlijnen voor IT-professionals en organisaties.
- Na validatie groepeert u apparaten op bucket-hash en past u het beleid toe op deze apparaten voor een gecontroleerde implementatie.
Beschikbare configuratie-instellingen
De drie instellingen die beschikbaar zijn voor de implementatie van Secure Boot-certificaten worden hier beschreven. Deze instellingen komen overeen met de registersleutels die worden beschreven in Registersleutelupdates voor Secure Boot: Windows-apparaten met door IT beheerde updates.
Secure Boot-certificaatimplementatie inschakelen
Naam van instelling voor groepsbeleid: Implementatie van Secure Boot-certificaat inschakelen
Beschrijving:
Met dit beleid wordt bepaald of Windows het implementatieproces van het Secure Boot-certificaat op apparaten initieert.
- Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte certificaten voor beveiligd opstarten zodra de taak voor beveiligd opstarten is uitgevoerd.
- Uitgeschakeld: Windows implementeert certificaten niet automatisch.
- Niet geconfigureerd: standaardgedrag is van toepassing (geen automatische implementatie).
Opmerking
- De taak waarmee deze instelling wordt verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te worden voltooid.
- Zodra certificaten zijn toegepast op firmware, kunnen deze niet meer uit Windows worden verwijderd. Het wissen van certificaten moet worden gedaan via de firmware-interface.
- Deze instelling wordt beschouwd als een voorkeur; als het groepsbeleidsobject wordt verwijderd, blijft de registerwaarde behouden.
- Komt overeen met de registersleutel AvailableUpdates.
Automatische certificaatimplementatie via Updates
Naam van instelling voor groepsbeleid: Automatische certificaatimplementatie via Updates
Beschrijving:
Met dit beleid wordt bepaald of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse beveiligings- en niet-beveiligingsupdates voor Windows. Apparaten die door Microsoft zijn gevalideerd als apparaten die variabel beveiligd opstarten kunnen verwerken, ontvangen deze updates als onderdeel van cumulatief onderhoud en passen deze automatisch toe.
Opmerking
Als u dit beleid inschakelt, wordt automatische certificaatimplementatie via Updates uitgeschakeld. Dit komt overeen met het instellen van de registersleutel HighConfidenceOptOut op 1.
Als u dit beleid uitschakelt, wordt gekozen voor automatische certificaatimplementatie via Updates. Dit komt overeen met het instellen van HighConfidenceOptOut op 0.
- Enabled: Automatische implementatie is geblokkeerd. updates moeten handmatig worden beheerd.
- Uitgeschakeld: Apparaten met gevalideerde updateresultaten ontvangen automatisch certificaatupdates tijdens onderhoud.
- Niet geconfigureerd: automatische implementatie vindt standaard plaats.
Opmerking
- Beoogde apparaten hebben bevestigd om updates met succes te verwerken.
- Configureer dit beleid om te kiezen voor automatische implementatie.
- Komt overeen met de registersleutel HighConfidenceOptOut.
Certificaatimplementatie via gecontroleerde functie-implementatie
Naam van instelling voor groepsbeleid: Certificaatimplementatie via gecontroleerde functie-implementatie
Beschrijving:
Met dit beleid kunnen ondernemingen deelnemen aan een gecontroleerde functie-implementatie van een Secure Boot-certificaatupdate beheerd door Microsoft.
- Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn geregistreerd bij de implementatie.
- Uitgeschakeld of niet geconfigureerd: geen deelname aan gecontroleerde implementatie.
Vereisten:
- Het apparaat moet vereiste diagnostische gegevens verzenden naar Microsoft. Zie Diagnostische Windows-gegevens configureren in uw organisatie - Windows-privacy | Microsoft Learn.
- Komt overeen met de registersleutel MicrosoftUpdateManagedOptIn.
Bronnen
Zie ook Registersleutelupdates voor beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie over de registersleutels UEFICA2023Status en UEFICA2023Error voor het bewaken van apparaatresultaten.
Zie Gebeurtenissen voor variabele updates van Secure Boot DB en DBX voor gebeurtenissen die nuttig zijn om inzicht te krijgen in de status van apparaten, apparaatkenmerken en apparaatbucket-id's. Besteed speciale aandacht aan gebeurtenissen 1801 en 1808 die op de evenementenpagina worden beschreven.
Gebruik de onderstaande koppelingen voor de MSI's voor het groepsbeleid en het referentiewerkblad voor huisartsinstellingen of zorg ervoor dat de beheersjablonen die u gebruikt, zijn gepubliceerd op of na de datums die in de tabel zijn vermeld.
| Platform | Gepubliceerde MSI | Gepubliceerde GP-instellingen Reference Spreadsheet |
|---|---|---|
|
Client Opmerking: De beheersjablonen (.admx) zijn OS-onafhankelijk en werken in ALLE ondersteunde besturingssystemen. |
Download Beheersjablonen (.admx) voor Windows 11 2025 Update (25H2) - V2.0 van de officiële Microsoft-site Gepubliceerd: 27-10-2025 |
Download groepsbeleid Referentiespreadsheet voor instellingen voor Windows 11 2025 Update (25H2) - V2.0 van de officiële Microsoft-site Gepubliceerd: 2-10-2025 |
|
Server Opmerking: De beheersjablonen (.admx) zijn OS-onafhankelijk en werken in ALLE ondersteunde besturingssystemen. |
Download beheersjablonen (.admx) voor Windows Server 2025 (release van 25 oktober) van de officiële Microsoft-site Gepubliceerd: 27-10-2025 |
Download Spreadsheet met instellingen voor groepsbeleid voor Windows Server 2025 (release van 25 oktober) van de officiële Microsoft-site Gepubliceerd: 27-10-2025 |