Metoda obiektów zasad grupy (GPO) bezpiecznego rozruchu dla urządzeń z systemem Windows z aktualizacjami zarządzanymi przez dział IT

Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Uwaga

  • Data publikacji oryginału: 30 października 2025 r.
  • Identyfikator KB: 5068198
Ten artykuł zawiera wskazówki dotyczące następujących tematów:

  • Organizacje mające własny dział informatyczny zarządzający urządzeniami i aktualizacjami systemu Windows.
Uwaga: Jeśli jesteś osobą fizyczną, która posiada osobiste urządzenie z systemem Windows, zapoznaj się z artykułem Urządzenia z systemem Windows dla użytkowników domowych, firm i szkół z aktualizacjami zarządzanymi przez firmę Microsoft.
Dostępność tej pomocy technicznej
  • 11 listopada 2025 r.: W przypadku wersji systemu Windows, które są nadal obsługiwane.
Dziennik zmian
Zmień datę Opis zmiany
20 luty 2026 r
  • Zaktualizowano sekcję "Dostępność tej pomocy technicznej"
  • Zaktualizowano sekcję "Wprowadzenie"
  • Dodano uwagę w obszarze "Zasoby" zarówno dla klienta, jak i serwera.
11 listopada 2025 r.
  • Link klienta został zaktualizowany w sekcji "Zasoby" z - "https://www.microsoft.com/download/details.aspx?id=108394" , aby – www.microsoft.com/en-us/download/details.aspx?id=108428.
  • Data publikacji została zmieniona z 29.09.2025 r. na 27.10.2025 r.
26 listopada 2025 r.
  • Dodano nową uwagę w obszarze "Automatyczne wdrażanie certyfikatów za pośrednictwem aktualizacji".
  • Zamieniono definicje włączenia i wyłączenia w sekcji "Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje".

Tematy w tym artykule:

Wprowadzenie

W tym dokumencie opisano obsługę wdrażania, zarządzania i monitorowania aktualizacji certyfikatu bezpiecznego rozruchu przy użyciu obiektu zasady grupy bezpiecznego rozruchu. Ustawienia składają się z następujących elementów:

  • Możliwość wyzwalania wdrożenia na urządzeniu
  • Ustawienie umożliwiające włączenie lub rezygnację z korzystania z zasobników o wysokim poziomie pewności
  • Ustawienie umożliwiające wyrażenie zgody na zarządzanie aktualizacjami przez firmę Microsoft lub rezygnację z tego

Uwaga: Szablony administracyjne (admx) i zasady grupy należy pobrać z oficjalnej witryny firmy Microsoft. Odnosić się do: Zasoby.

Metoda konfiguracji obiektu zasady grupy (GPO)

Ta metoda oferuje proste ustawienie zasady grupy bezpiecznego rozruchu, które administratorzy domeny mogą skonfigurować w celu wdrażania aktualizacji bezpiecznego rozruchu na wszystkich klientach i serwerach systemu Windows przyłączonych do domeny. Ponadto można zarządzać dwoma asystentami bezpiecznego rozruchu za pomocą ustawień opt-in/opt-out.

Aby uzyskać aktualizacje zawierające zasady wdrażania aktualizacji certyfikatów bezpiecznego rozruchu, zobacz sekcję Zasoby poniżej.

Te zasady można znaleźć w następującej ścieżce w interfejsie użytkownika zasady grupy:

Konfiguracja komputera-Szablony> administracyjne-Składniki> systemu Windows-Bezpieczny> rozruch

Ważne

Aktualizacje bezpiecznego rozruchu zależą od oprogramowania układowego urządzenia, a w przypadku niektórych urządzeń mogą wystąpić problemy ze zgodnością. Aby zapewnić bezpieczne wdrożenie:

  1. Sprawdź poprawność zasad aktualizacji na co najmniej jednym reprezentatywnym urządzeniu dla każdego typu urządzenia w Twojej organizacji.
  2. Upewnij się, że certyfikaty bezpiecznego rozruchu zostały pomyślnie zastosowane do bazy danych i klucza KEK interfejsu UEFI. Aby uzyskać szczegółowe instrukcje, odwiedź stronę Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.
  3. Po weryfikacji pogrupuj urządzenia według skrótu zasobnika i zastosuj zasady do tych urządzeń w celu kontrolowanego wdrożenia.

Dostępne ustawienia konfiguracji

Obraz

Tutaj opisano trzy ustawienia dostępne dla wdrażania certyfikatu bezpiecznego rozruchu. Te ustawienia odpowiadają kluczom rejestru opisanym w artykule Aktualizacje kluczy rejestru dla funkcji Bezpieczny rozruch: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT.

Enable Secure Boot Certificate Deployment

Nazwa ustawienia zasady grupy: Enable Secure Boot Certificate Deployment

Zdjęcia

Opis:
Ta zasada określa, czy system Windows inicjuje proces wdrażania certyfikatu bezpiecznego rozruchu na urządzeniach. 

  • Włączone: system Windows automatycznie rozpoczyna wdrażanie zaktualizowanych certyfikatów bezpiecznego rozruchu po uruchomieniu zadania bezpiecznego rozruchu.
  • Wyłączone: System Windows nie wdraża certyfikatów automatycznie.
  • Nieskonfigurowane: Ma zastosowanie zachowanie domyślne (brak wdrożenia automatycznego).

Uwaga

  • Zadanie, które przetwarza to ustawienie, jest uruchamiane co 12 godzin. Niektóre aktualizacje mogą wymagać ponownego uruchomienia w celu ich bezpiecznego ukończenia.
  • Certyfikatów zastosowanych do oprogramowania układowego nie można usunąć z systemu Windows. Czyszczenie certyfikatów musi odbywać się za pośrednictwem interfejsu oprogramowania układowego.
  • To ustawienie jest traktowane jako preferencja; jeśli obiekt zasad grupy zostanie usunięty, wartość rejestru pozostanie.
  • Odpowiada kluczowi rejestru AvailableUpdates.

Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje

Nazwa zasady grupy ustawienia: Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje

obrazy.

Opis:
Ta zasada określa, czy aktualizacje certyfikatu bezpiecznego rozruchu są stosowane automatycznie w ramach comiesięcznych aktualizacji zabezpieczeń i niezwiązanych z zabezpieczeniami systemu Windows. Urządzenia, które firma Microsoft potwierdziła jako zdolne do przetwarzania aktualizacji zmiennych bezpiecznego rozruchu, otrzymają te aktualizacje w ramach obsługi zbiorczej i zastosują je automatycznie. 

Uwaga

Włączenie tej zasady wyłącza automatyczne wdrażanie certyfikatów za pośrednictwem aktualizacji. Jest to równoważne ustawieniu klucza rejestru HighConfidenceOptOut na 1.
Wyłączenie tych zasad powoduje włączenie automatycznego wdrażania certyfikatów za pośrednictwem funkcji aktualizacji, co jest równoznaczne z ustawieniem parametru HighConfidenceOptOut na wartość 0.

  • Włączone: automatyczne wdrażanie jest zablokowane; Aktualizacje należy zarządzać ręcznie.
  • Wyłączone: urządzenia ze zweryfikowanymi wynikami aktualizacji będą automatycznie otrzymywać aktualizacje certyfikatów podczas serwisowania.
  • Nieskonfigurowane: domyślnie występuje wdrożenie automatyczne.

Uwaga

  • Potwierdzono, że zamierzone urządzenia pomyślnie przetwarzają aktualizacje.
  • Skonfiguruj te zasady, aby wybrać wdrażanie automatyczne.
  • Odpowiada kluczowi rejestru HighConfidenceOptOut.

Wdrażanie certyfikatów za pośrednictwem kontrolowanego wprowadzania funkcji

Nazwa ustawienia zasady grupy: Wdrażanie certyfikatu za pośrednictwem kontrolowanego wdrażania funkcji

obraz

Opis:
Te zasady umożliwiają przedsiębiorstwom uczestniczenie w kontrolowanym wdrażaniu funkcji aktualizacji certyfikatu bezpiecznego rozruchu zarządzanej przez firmę Microsoft.

  • Włączone: firma Microsoft pomaga we wdrażaniu certyfikatów na urządzeniach zarejestrowanych w ramach wdrożenia.
  • Wyłączone lub nieskonfigurowane: Brak udziału w kontrolowanym wdrażaniu.

Wymagania:

Zasoby

Zobacz też Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT, aby uzyskać szczegółowe informacje na temat kluczy rejestru UEFICA2023Status i UEFICA2023Error do monitorowania wyników urządzenia.

Zobacz zdarzenia przydatne w zrozumieniu stanu urządzeń, atrybutów urządzeń i identyfikatorów zasobników urządzeń, zobacz zdarzenia aktualizacji zmiennych bezpiecznego rozruchu i DBX . Zwróć szczególną uwagę na wydarzenia 1801 i 1808 opisane na stronie wydarzeń.

W przypadku arkusza kalkulacyjnego MSI dotyczącego zasady grupy i ustawień usługi GP użyj poniższych linków lub upewnij się, że używane szablony administracyjne są publikowane w dniu lub po datach wymienionych w tabeli.

Platforma Opublikowano MSI Opublikowany arkusz kalkulacyjny referencyjny ustawień GP
Klient
Uwaga: Szablony administracyjne (admx) są niezależne od systemu operacyjnego i działają we WSZYSTKICH obsługiwanych systemach operacyjnych.
Pobierz szablony administracyjne (admx) dla aktualizacji systemu Windows 11 2025 (25H2) — wersja 2.0 z oficjalnej strony firmy Microsoft
Opublikowano: 27.10.2025
Pobierz arkusz kalkulacyjny referencyjny ustawień zasady grupy dla aktualizacji Windows 11 2025 r. (25H2) — wersja 2.0 z oficjalnej witryny firmy Microsoft
Opublikowano: 02.10.2025
Serwer
Uwaga: Szablony administracyjne (admx) są niezależne od systemu operacyjnego i działają we WSZYSTKICH obsługiwanych systemach operacyjnych.
Pobierz szablony administracyjne (.admx) dla systemu Windows Server 2025 (wydanie z 25 października) z oficjalnej strony Microsoft
Opublikowano: 27.10.2025
Pobierz arkusz kalkulacyjny ustawień zasady grupy dla systemu Windows Server 2025 (wydanie z 25 października) z oficjalnej strony firmy Microsoft
Opublikowano: 27.10.2025