Observação
- Data da Publicação Original: 30 de outubro de 2025
- ID da base de dados: 5068198
Este artigo tem diretrizes para:
|
|---|
Disponibilidade deste suporte
|
Log de alterações
| Data da Alteração | Descrição da alteração |
|---|---|
| 20 de fevereiro de 2026 |
|
| 11 de novembro de 2025 |
|
| 26 de novembro de 2025 |
|
Neste artigo:
- Introdução
- Método de configuração de Objeto Política de Grupo (GPO)
- Definições de configuração disponíveis
- Informações
Introdução
Este documento descreve o suporte para implantação, gerenciamento e monitoramento das atualizações de certificado de Inicialização Segura usando o objeto de Política de Grupo de Inicialização Segura. As configurações consistem em:
- A capacidade de disparar a implantação em um dispositivo
- Uma configuração para aceitar/recusar buckets de alta confiança
- Uma configuração para aceitar/recusar o gerenciamento de atualizações pela Microsoft
Observação: Os Modelos Administrativos (.admx) e a Política de Grupo precisarão ser baixados do site oficial da Microsoft. Consulte Recursos.
Método de configuração de Objeto Política de Grupo (GPO)
Esse método oferece uma configuração simples de Política de Grupo de Inicialização Segura que os administradores de domínio podem definir para implantar atualizações de Inicialização Segura em todos os clientes e servidores Windows ingressados no domínio. Além disso, duas assistências de inicialização segura podem ser gerenciadas com configurações de ativação/desativação.
Para obter as atualizações que incluem a política de implantação de atualizações de certificado de Inicialização Segura, consulte a seção Recursos abaixo.
Essa política pode ser encontrada no seguinte caminho na interface do usuário da Política de Grupo:
Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Inicialização Segura
Importante
As atualizações de Inicialização Segura dependem do firmware do dispositivo, e alguns dispositivos podem ter problemas de compatibilidade. Para garantir uma distribuição segura:
- Valide a política de atualização em pelo menos um dispositivo representativo para cada tipo de dispositivo em sua organização.
- Confirme se os certificados de Inicialização Segura foram aplicados com êxito ao UEFI DB e ao KEK. Para obter etapas detalhadas, visite Atualizações do Certificado de Inicialização Segura: diretrizes para profissionais de TI e organizações.
- Após a validação, agrupe os dispositivos por hash de bucket e aplique a política a esses dispositivos para uma distribuição controlada.
Definições de configuração disponíveis
As três configurações disponíveis para a implantação de certificado de Inicialização Segura são descritas aqui. Essas configurações correspondem às chaves do Registro descritas em Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI.
Habilitar a implantação de certificado de Inicialização Segura
Nome de configuração da Política de Grupo: Habilitar a implantação de certificado de Inicialização Segura
Descrição:
Essa política controla se o Windows inicia o processo de implantação de certificado de Inicialização Segura em dispositivos.
- Habilitado: o Windows começa automaticamente a implantar certificados de Inicialização Segura atualizados assim que a tarefa de Inicialização Segura é executada.
- Desabilitado: o Windows não implanta certificados automaticamente.
- Não configurado: o comportamento padrão se aplica (sem implantação automática).
Observação
- A tarefa que processa essa configuração é executada a cada 12 horas. Algumas atualizações podem exigir uma reinicialização para serem concluídas com segurança.
- Depois que os certificados são aplicados ao firmware, eles não podem ser removidos do Windows. A limpeza de certificados deve ser feita por meio da interface de firmware.
- Essa configuração é considerada uma preferência; Se o GPO for removido, o valor do Registro permanecerá.
- Corresponde à chave do Registro AvailableUpdates.
Implantação Automática de Certificado via Atualizações
Nome de configuração da Política de Grupo: Implantação Automática de Certificado por meio de Atualizações
Descrição:
Essa política controla se as atualizações de certificado de Inicialização Segura são aplicadas automaticamente por meio de atualizações mensais de segurança e não de segurança do Windows. Os dispositivos validados pela Microsoft como capazes de processar atualizações de variáveis da Inicialização Segura receberão essas atualizações como parte da manutenção cumulativa e as aplicarão automaticamente.
Observação
Habilitar essa política desabilita a Implantação Automática de Certificado por meio de Atualizações. Isso é equivalente a definir a chave do Registro HighConfidenceOptOut como 1.
Desabilitar essa política opta pela Implantação Automática de Certificado por meio de Atualizações, o que equivale a definir HighConfidenceOptOut como 0.
- Habilitada: a implantação automática está bloqueada; As atualizações devem ser gerenciadas manualmente.
- Desabilitado: dispositivos com resultados de atualização validados receberão atualizações de certificado automaticamente durante a manutenção.
- Não configurado: a implantação automática ocorre por padrão.
Observação
- Os dispositivos pretendidos foram confirmados para processar atualizações com êxito.
- Configure essa política para optar pela implantação automática.
- Corresponde à chave do Registro HighConfidenceOptOut.
Implantação de Certificado por meio de Distribuição de Recursos Controlados
Nome de configuração da Política de Grupo: Implantação de Certificado por meio da Distribuição de Recursos Controlados
Descrição:
Essa política permite que as empresas participem de uma distribuição de Recurso Controlado da atualização de certificado de Inicialização Segura gerenciada pela Microsoft.
- Habilitado: a Microsoft auxilia na implantação de certificados em dispositivos registrados na distribuição.
- Desabilitado ou não configurado: nenhuma participação na distribuição controlada.
Requisitos:
- O dispositivo deve enviar os dados de diagnóstico necessários à Microsoft. Para obter detalhes, consulte Configurar os dados de diagnóstico do Windows em sua organização - Privacidade do Windows | Microsoft Learn.
- Corresponde à chave do Registro MicrosoftUpdateManagedOptIn.
Informações
Consulte também Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI para obter detalhes sobre o UEFICA2023Status e UEFICA2023Chaves de registro de erro para monitorar os resultados do dispositivo.
Consulte Eventos de atualização de variável Secure Boot DB e DBX para eventos úteis para entender o status de dispositivos, atributos de dispositivo e IDs de bucket de dispositivo. Preste atenção especial aos eventos 1801 e 1808 descritos na página de eventos.
Para os MSIs da Política de Grupo e a Planilha de Referência de Configurações da Política de Grupo, use os links abaixo ou verifique se os modelos administrativos usados foram publicados nas datas listadas na tabela ou após elas.