Oorspronkelijke publicatiedatum: 30 oktober 2025
KB-id: 5068198
|
Dit artikel bevat richtlijnen voor:
Opmerking: Als u een persoon bent die eigenaar bent van een persoonlijk Windows-apparaat, raadpleegt u het artikel Windows-apparaten voor thuisgebruikers, bedrijven en scholen met door Microsoft beheerde updates. |
|
Beschikbaarheid van deze ondersteuning
|
In dit artikel:
-
Inleiding
-
configuratiemethode groepsbeleid Object (GPO)
Inleiding
In dit document wordt de ondersteuning beschreven voor het implementeren, beheren en bewaken van secure boot-certificaatupdates met behulp van het groepsbeleid-object Beveiligd opstarten. De instellingen bestaan uit:
-
De mogelijkheid om implementatie op een apparaat te activeren
-
Een instelling voor het in-/afmelden van buckets met hoge betrouwbaarheid
-
Een instelling voor het in-/afmelden van Microsoft-beheer van updates
configuratiemethode groepsbeleid Object (GPO)
Deze methode biedt een eenvoudige instelling voor beveiligd opstarten groepsbeleid die domeinbeheerders kunnen instellen om Secure Boot-updates te implementeren op alle Windows-clients en -servers die lid zijn van een domein. Daarnaast kunnen twee hulpmiddelen voor beveiligd opstarten worden beheerd met instellingen voor opt-in/opt-out.
Download de nieuwste versie van de beheersjablonendie zijn gepubliceerd op of na 23 oktober 2025 om de updates op te halen die het beleid voor het implementeren van secure boot-certificaatupdates bevatten.
Dit beleid vindt u onder het volgende pad in de gebruikersinterface van groepsbeleid:
Computerconfiguratie->beheersjablonen->Windows Components->Beveiligd opstarten
Beschikbare configuratie-instellingen
De drie instellingen die beschikbaar zijn voor secure boot-certificaatimplementatie worden hier beschreven. Deze instellingen komen overeen met de registersleutels die worden beschreven in Registersleutelupdates voor beveiligd opstarten: Windows-apparaten met door IT beheerde updates.
Implementatie van secure boot-certificaat inschakelen
naam van groepsbeleid instelling: Secure Boot Certificate Deployment inschakelen
Beschrijving: Met dit beleid wordt bepaald of Windows het implementatieproces van het secure boot-certificaat op apparaten start.
-
Ingeschakeld: Windows begint automatisch met het implementeren van bijgewerkte Certificaten voor beveiligd opstarten tijdens gepland onderhoud.
-
Uitgeschakeld: Windows implementeert certificaten niet automatisch.
-
Niet geconfigureerd: standaardgedrag is van toepassing (geen automatische implementatie).
Opmerkingen:
-
De taak die deze instelling verwerkt, wordt elke 12 uur uitgevoerd. Sommige updates moeten mogelijk opnieuw worden opgestart om veilig te kunnen worden voltooid.
-
Zodra certificaten zijn toegepast op firmware, kunnen ze niet meer worden verwijderd uit Windows. Het wissen van certificaten moet worden uitgevoerd via de firmware-interface.
-
Deze instelling wordt beschouwd als een voorkeur; als het groepsbeleidsobject wordt verwijderd, blijft de registerwaarde behouden.
-
Komt overeen met de registersleutel AvailableUpdates.
Automatische certificaatimplementatie via Updates
naam van groepsbeleid instelling: Automatische implementatie van certificaten via Updates
Beschrijving: Dit beleid bepaalt of certificaatupdates voor beveiligd opstarten automatisch worden toegepast via maandelijkse windows-beveiligings- en niet-beveiligingsupdates. Apparaten die door Microsoft zijn gevalideerd als geschikt voor het verwerken van variabele updates voor Beveiligd opstarten, ontvangen deze updates als onderdeel van cumulatieve service en passen ze automatisch toe.
-
Ingeschakeld: Apparaten met gevalideerde updateresultaten ontvangen automatisch certificaatupdates tijdens het onderhoud.
-
Uitgeschakeld: Automatische implementatie is geblokkeerd; updates moeten handmatig worden beheerd.
-
Niet geconfigureerd: automatische implementatie vindt standaard plaats.
Opmerkingen:
-
Bedoeld voor apparaten die zijn bevestigd om updates te verwerken.
-
Configureer dit beleid om u af te zien van automatische implementatie.
-
Komt overeen met de registersleutel HighConfidenceOptOut.
Certificaatimplementatie via gecontroleerde functie-implementatie
naam van groepsbeleid instelling: Certificaatimplementatie via gecontroleerde functie-implementatie
Beschrijving: Met dit beleid kunnen ondernemingen deelnemen aan de implementatie van gecontroleerde functies van certificaatupdates voor beveiligd opstarten die worden beheerd door Microsoft.
-
Ingeschakeld: Microsoft helpt bij het implementeren van certificaten op apparaten die zijn ingeschreven bij de implementatie.
-
Uitgeschakeld of niet geconfigureerd: geen deelname aan gecontroleerde implementatie.
Vereisten:
-
Het apparaat moet vereiste diagnostische gegevens naar Microsoft verzenden. Zie Diagnostische Windows-gegevens in uw organisatie configureren - Windows Privacy | Microsoft Learn.
-
Komt overeen met de registersleutel MicrosoftUpdateManagedOptIn.
Overzicht van GPO-configuratie
-
Beleidsnaam (voorlopig): 'Secure Boot Key Rollout inschakelen' (onder Computerconfiguratie).
-
Beleidspad: Een nieuw knooppunt onder Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Beveiligd opstarten. Voor de duidelijkheid moet een subcategorie zoals 'Beveiligd opstarten Updates' worden gemaakt om dit beleid op te slaan.
-
Bereik: Computer (instelling voor de hele machine): deze is gericht op de HKEY_LOCAL_MACHINE hive en beïnvloedt de UEFI-status van het apparaat.
-
Beleidsactie: Wanneer dit is ingeschakeld, stelt het beleid de volgende registersubsleutel in.
Registerlocatie
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD-naam
AvailableUpdatesPolicy
DWORD-waarde
0x5944
Opmerkingen
Hiermee wordt het apparaat bij de volgende gelegenheid gevlagd om alle beschikbare sleutelupdates voor beveiligd opstarten te installeren.
Opmerking: Vanwege de aard van groepsbeleid wordt het beleid na verloop van tijd opnieuw toegepast en worden de bits van de AvailableUpdates gewist terwijl ze worden verwerkt. Daarom is het noodzakelijk om een afzonderlijke registersleutel met de naam AvailableUpdatesPolicy te hebben, zodat de onderliggende logica kan bijhouden of de sleutels zijn geïmplementeerd. Wanneer AvailableUpdatesPolicy is ingesteld op 0x5944, stelt TPMTasks AvailableUpdates in op 0x5944 en ziet u dat dit is gedaan om te voorkomen dat opnieuw wordt toegepast op AvailableUpdates meerdere keren. Als u AvailableUpdatesPolicy instelt op Diabled , worden TPMTasks gewist of ingesteld op 0 AvailableUpdates en wordt er rekening mee gehouden dat dit is voltooid.
-
Uitgeschakeld/niet geconfigureerd: Wanneer deze optie is ingesteld op Niet geconfigureerd, wordt het beleid niet gewijzigd (Updates voor beveiligd opstarten blijven als opt-in en worden niet uitgevoerd, tenzij ze op een andere manier worden geactiveerd). Als deze optie is ingesteld op Uitgeschakeld, moet het beleid AvailableUpdates instellen op 0, om er expliciet voor te zorgen dat het apparaat niet probeert de secure boot-sleutel te implementeren of om de implementatie te stoppen als er iets misgaat.
-
HighConfidenceOptOut kan worden in- of uitgeschakeld. Als u inschakelt, wordt deze sleutel ingesteld op 1 en als u deze uitschakelt, wordt deze ingesteld op 0.
ADMX-implementatie: Dit beleid wordt geïmplementeerd met behulp van een standaardbeheersjabloon (ADMX). Het maakt gebruik van het mechanisme voor registerbeleid om de waarde te schrijven. De ADMX-definitie geeft bijvoorbeeld het volgende op:
-
Registersleutel: Software\Beleid\... Opmerking: groepsbeleid schrijft normaal gesproken naar de beleidsvertakking, maar in dit geval moeten we de HKEY_LOCAL_MACHINE\SYSTEM hive beïnvloeden. We gebruiken de mogelijkheid van groepsbeleid om rechtstreeks naar de HKEY_LOCAL_MACHINE hive te schrijven voor computerbeleidsregels. De ADMX kan het element gebruiken met het echte doelpad.
-
Naam: AvailableUpdatesPolicy
-
DWORD-waarde: 0x5944
Wanneer het groepsbeleidsobject wordt toegepast, wordt deze registerwaarde gemaakt of bijgewerkt door de groepsbeleid clientservice op elke doelcomputer. De volgende keer dat de servicetaak Voor beveiligd opstarten (TPMTasks) op die computer wordt uitgevoerd, worden 0x5944 gedetecteerd en wordt de update uitgevoerd.
Opmerking: Standaard wordt in Windows de geplande taak TPMTask elke 12 uur uitgevoerd om dergelijke updatevlagmen voor beveiligd opstarten te verwerken. Beheerders kunnen ook versnellen door de taak handmatig uit te voeren of opnieuw op te starten, indien gewenst.
Voorbeeld van gebruikersinterface voor beleid
-
Montuur Implementatie van secure boot-sleutel inschakelen: Wanneer dit is ingeschakeld, installeert het apparaat de bijgewerkte certificaten voor beveiligd opstarten (2023 CA's) en de bijbehorende opstartbeheerupdate. De firmwaresleutels en configuraties voor beveiligd opstarten van het apparaat worden bijgewerkt in het volgende onderhoudsvenster. De status kan worden bijgehouden via het register (UEFICA2023Status en UEFICA2023Error) of windows-gebeurtenislogboek.
-
Opties Ingeschakeld / uitgeschakeld / niet geconfigureerd
Deze benadering voor één instelling houdt het eenvoudig voor alle klanten (altijd met behulp van de aanbevolen 0x5944 waarde).
Belangrijk: Als in de toekomst gedetailleerdere controle nodig is, kunnen aanvullende beleidsregels of opties worden geïntroduceerd. De huidige richtlijnen zijn echter dat alle nieuwe sleutels voor beveiligd opstarten en het nieuwe opstartbeheer samen moeten worden geïmplementeerd in bijna alle scenario's, dus een implementatie met één wisselknop is geschikt.
Machtigingen voor beveiliging &: Voor het schrijven naar deHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet hive zijn beheerdersbevoegdheden vereist. groepsbeleid wordt uitgevoerd als Lokaal systeem op clients, dat de benodigde rechten heeft. Het groepsbeleidsobject zelf kan worden bewerkt door beheerders met groepsbeleid beheerrechten. Standaard GPO-beveiliging kan voorkomen dat niet-beheerders het beleid wijzigen.
De Engelse tekst die wordt gebruikt bij het configureren van het beleid is als volgt.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
