Uwaga
- Data publikacji oryginału: 30 października 2025 r.
- Identyfikator KB: 5068198
Ten artykuł zawiera wskazówki dotyczące następujących tematów:
|
|---|
Dostępność tej pomocy technicznej
|
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 20 luty 2026 r |
|
| 11 listopada 2025 r. |
|
| 26 listopada 2025 r. |
|
Tematy w tym artykule:
Wprowadzenie
W tym dokumencie opisano obsługę wdrażania, zarządzania i monitorowania aktualizacji certyfikatu bezpiecznego rozruchu przy użyciu obiektu zasady grupy bezpiecznego rozruchu. Ustawienia składają się z następujących elementów:
- Możliwość wyzwalania wdrożenia na urządzeniu
- Ustawienie umożliwiające włączenie lub rezygnację z korzystania z zasobników o wysokim poziomie pewności
- Ustawienie umożliwiające wyrażenie zgody na zarządzanie aktualizacjami przez firmę Microsoft lub rezygnację z tego
Uwaga: Szablony administracyjne (admx) i zasady grupy należy pobrać z oficjalnej witryny firmy Microsoft. Odnosić się do: Zasoby.
Metoda konfiguracji obiektu zasady grupy (GPO)
Ta metoda oferuje proste ustawienie zasady grupy bezpiecznego rozruchu, które administratorzy domeny mogą skonfigurować w celu wdrażania aktualizacji bezpiecznego rozruchu na wszystkich klientach i serwerach systemu Windows przyłączonych do domeny. Ponadto można zarządzać dwoma asystentami bezpiecznego rozruchu za pomocą ustawień opt-in/opt-out.
Aby uzyskać aktualizacje zawierające zasady wdrażania aktualizacji certyfikatów bezpiecznego rozruchu, zobacz sekcję Zasoby poniżej.
Te zasady można znaleźć w następującej ścieżce w interfejsie użytkownika zasady grupy:
Konfiguracja komputera-Szablony> administracyjne-Składniki> systemu Windows-Bezpieczny> rozruch
Ważne
Aktualizacje bezpiecznego rozruchu zależą od oprogramowania układowego urządzenia, a w przypadku niektórych urządzeń mogą wystąpić problemy ze zgodnością. Aby zapewnić bezpieczne wdrożenie:
- Sprawdź poprawność zasad aktualizacji na co najmniej jednym reprezentatywnym urządzeniu dla każdego typu urządzenia w Twojej organizacji.
- Upewnij się, że certyfikaty bezpiecznego rozruchu zostały pomyślnie zastosowane do bazy danych i klucza KEK interfejsu UEFI. Aby uzyskać szczegółowe instrukcje, odwiedź stronę Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla specjalistów IT i organizacji.
- Po weryfikacji pogrupuj urządzenia według skrótu zasobnika i zastosuj zasady do tych urządzeń w celu kontrolowanego wdrożenia.
Dostępne ustawienia konfiguracji
Tutaj opisano trzy ustawienia dostępne dla wdrażania certyfikatu bezpiecznego rozruchu. Te ustawienia odpowiadają kluczom rejestru opisanym w artykule Aktualizacje kluczy rejestru dla funkcji Bezpieczny rozruch: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT.
Enable Secure Boot Certificate Deployment
Nazwa ustawienia zasady grupy: Enable Secure Boot Certificate Deployment
Opis:
Ta zasada określa, czy system Windows inicjuje proces wdrażania certyfikatu bezpiecznego rozruchu na urządzeniach.
- Włączone: system Windows automatycznie rozpoczyna wdrażanie zaktualizowanych certyfikatów bezpiecznego rozruchu po uruchomieniu zadania bezpiecznego rozruchu.
- Wyłączone: System Windows nie wdraża certyfikatów automatycznie.
- Nieskonfigurowane: Ma zastosowanie zachowanie domyślne (brak wdrożenia automatycznego).
Uwaga
- Zadanie, które przetwarza to ustawienie, jest uruchamiane co 12 godzin. Niektóre aktualizacje mogą wymagać ponownego uruchomienia w celu ich bezpiecznego ukończenia.
- Certyfikatów zastosowanych do oprogramowania układowego nie można usunąć z systemu Windows. Czyszczenie certyfikatów musi odbywać się za pośrednictwem interfejsu oprogramowania układowego.
- To ustawienie jest traktowane jako preferencja; jeśli obiekt zasad grupy zostanie usunięty, wartość rejestru pozostanie.
- Odpowiada kluczowi rejestru AvailableUpdates.
Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje
Nazwa zasady grupy ustawienia: Automatyczne wdrażanie certyfikatów za pośrednictwem Aktualizacje
Opis:
Ta zasada określa, czy aktualizacje certyfikatu bezpiecznego rozruchu są stosowane automatycznie w ramach comiesięcznych aktualizacji zabezpieczeń i niezwiązanych z zabezpieczeniami systemu Windows. Urządzenia, które firma Microsoft potwierdziła jako zdolne do przetwarzania aktualizacji zmiennych bezpiecznego rozruchu, otrzymają te aktualizacje w ramach obsługi zbiorczej i zastosują je automatycznie.
Uwaga
Włączenie tej zasady wyłącza automatyczne wdrażanie certyfikatów za pośrednictwem aktualizacji. Jest to równoważne ustawieniu klucza rejestru HighConfidenceOptOut na 1.
Wyłączenie tych zasad powoduje włączenie automatycznego wdrażania certyfikatów za pośrednictwem funkcji aktualizacji, co jest równoznaczne z ustawieniem parametru HighConfidenceOptOut na wartość 0.
- Włączone: automatyczne wdrażanie jest zablokowane; Aktualizacje należy zarządzać ręcznie.
- Wyłączone: urządzenia ze zweryfikowanymi wynikami aktualizacji będą automatycznie otrzymywać aktualizacje certyfikatów podczas serwisowania.
- Nieskonfigurowane: domyślnie występuje wdrożenie automatyczne.
Uwaga
- Potwierdzono, że zamierzone urządzenia pomyślnie przetwarzają aktualizacje.
- Skonfiguruj te zasady, aby wybrać wdrażanie automatyczne.
- Odpowiada kluczowi rejestru HighConfidenceOptOut.
Wdrażanie certyfikatów za pośrednictwem kontrolowanego wprowadzania funkcji
Nazwa ustawienia zasady grupy: Wdrażanie certyfikatu za pośrednictwem kontrolowanego wdrażania funkcji
Opis:
Te zasady umożliwiają przedsiębiorstwom uczestniczenie w kontrolowanym wdrażaniu funkcji aktualizacji certyfikatu bezpiecznego rozruchu zarządzanej przez firmę Microsoft.
- Włączone: firma Microsoft pomaga we wdrażaniu certyfikatów na urządzeniach zarejestrowanych w ramach wdrożenia.
- Wyłączone lub nieskonfigurowane: Brak udziału w kontrolowanym wdrażaniu.
Wymagania:
- Urządzenie musi wysyłać wymagane dane diagnostyczne do firmy Microsoft. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji — Prywatność w systemie Windows | Microsoft Learn.
- Odpowiada kluczowi rejestru MicrosoftUpdateManagedOptIn.
Zasoby
Zobacz też Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT, aby uzyskać szczegółowe informacje na temat kluczy rejestru UEFICA2023Status i UEFICA2023Error do monitorowania wyników urządzenia.
Zobacz zdarzenia przydatne w zrozumieniu stanu urządzeń, atrybutów urządzeń i identyfikatorów zasobników urządzeń, zobacz zdarzenia aktualizacji zmiennych bezpiecznego rozruchu i DBX . Zwróć szczególną uwagę na wydarzenia 1801 i 1808 opisane na stronie wydarzeń.
W przypadku arkusza kalkulacyjnego MSI dotyczącego zasady grupy i ustawień usługi GP użyj poniższych linków lub upewnij się, że używane szablony administracyjne są publikowane w dniu lub po datach wymienionych w tabeli.