Data original publicada: 30 de outubro de 2025
ID da BDC: 5068198
|
Este artigo tem orientações para:
Nota: se for um indivíduo proprietário de um dispositivo Windows pessoal, consulte o artigo Dispositivos Windows para utilizadores domésticos, empresas e escolas com atualizações geridas pela Microsoft. |
|
Disponibilidade deste suporte
|
Neste artigo:
-
Introdução
-
Política de Grupo Object (GPO) configuration method (Método de configuração do Objeto Política de Grupo [GPO])
Introdução
Este documento descreve o suporte para implementar, gerir e monitorizar as atualizações do certificado de Arranque Seguro com o objeto Política de Grupo de Arranque Seguro. As definições consistem em:
-
A capacidade de acionar a implementação num dispositivo
-
Uma definição para optar ativamente por participar/optar ativamente por não participar em registos de alta confiança
-
Uma definição para optar ativamente por não participar/optar ativamente por não participar na gestão de atualizações da Microsoft
Política de Grupo Object (GPO) configuration method (Método de configuração do Objeto Política de Grupo [GPO])
Este método oferece uma definição de Política de Grupo de Arranque Seguro simples que os administradores de domínio podem definir para implementar atualizações de Arranque Seguro em todos os clientes e servidores Windows associados a um domínio. Além disso, dois auxiliares de Arranque Seguro podem ser geridos com definições de opt-in/opt-out.
Para obter as atualizações que incluem a política de implementação de atualizações de certificados de Arranque Seguro, transfira a versão mais recente dos Modelos Administrativospublicada em ou depois de 23 de outubro de 2025.
Esta política pode ser encontrada no seguinte caminho na IU do Política de Grupo:
Configuração do Computador >Modelos Administrativos >Componentes do Windows >Arranque Seguro
Definições de Configuração Disponíveis
As três definições disponíveis para a implementação de certificados de Arranque Seguro estão descritas aqui. Estas definições correspondem às chaves de registo descritas em Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI.
Ativar a Implementação de Certificados de Arranque Seguro
Política de Grupo nome da definição: Ativar a Implementação do Certificado de Arranque Seguro
Descrição: Esta política controla se o Windows inicia o processo de implementação do certificado de Arranque Seguro nos dispositivos.
-
Ativado: o Windows começa automaticamente a implementar certificados de Arranque Seguro atualizados durante a manutenção agendada.
-
Desativado: o Windows não implementa certificados automaticamente.
-
Não Configurado: o comportamento predefinido aplica-se (sem implementação automática).
Observações:
-
A tarefa que processa esta definição é executada a cada 12 horas. Algumas atualizações podem exigir um reinício para serem concluídas em segurança.
-
Depois de os certificados serem aplicados ao firmware, não podem ser removidos do Windows. A limpeza de certificados tem de ser feita através da interface de firmware.
-
Esta definição é considerada uma preferência; se o GPO for removido, o valor do registo permanece.
-
Corresponde à chave de registo AvailableUpdates.
Implementação Automática de Certificados através de Atualizações
Política de Grupo nome da definição: Implementação Automática de Certificados através de Atualizações
Descrição: Esta política controla se as atualizações de certificados de Arranque Seguro são aplicadas automaticamente através de atualizações de segurança e não relacionadas com segurança do Windows. Os dispositivos que a Microsoft validou como capazes de processar atualizações de variáveis de Arranque Seguro receberão estas atualizações como parte da manutenção cumulativa e serão aplicados automaticamente.
-
Ativado: os dispositivos com resultados de atualização validados receberão atualizações de certificado automaticamente durante a manutenção.
-
Desativado: a implementação automática está bloqueada; as atualizações têm de ser geridas manualmente.
-
Não Configurado: a implementação automática ocorre por predefinição.
Observações:
-
Destina-se a dispositivos confirmados para processar atualizações com êxito.
-
Configure esta política para optar ativamente por não participar na implementação automática.
-
Corresponde à chave de registo HighConfidenceOptOut.
Implementação de Certificados através da Implementação controlada de funcionalidades
Política de Grupo nome da definição: Implementação de Certificados através da Implementação controlada de funcionalidades
Descrição: Esta política permite que as empresas participem numa implementação de Funcionalidades Controladas de atualizações de certificados de Arranque Seguro geridas pela Microsoft.
-
Ativado: a Microsoft ajuda na implementação de certificados em dispositivos inscritos na implementação.
-
Desativado ou Não Configurado: nenhuma participação na implementação controlada.
Requisitos:
-
O dispositivo tem de enviar os dados de diagnóstico necessários para a Microsoft. Para obter detalhes, consulte Configurar dados de diagnóstico do Windows na sua organização – Privacidade do Windows | Microsoft Learn.
-
Corresponde à chave de registo MicrosoftUpdateManagedOptIn.
Descrição geral da configuração do GPO
-
Nome da política (tentativa): "Ativar Implementação de Chave de Arranque Seguro" (em Configuração do Computador).
-
Caminho da política: Um novo nó em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Arranque Seguro. Para maior clareza, deve ser criada uma subcategoria como "Atualizações de Arranque Seguro" para armazenar esta política.
-
Âmbito: computador (definição ao nível da máquina): destina-se ao HKEY_LOCAL_MACHINE hive e afeta o estado UEFI do dispositivo.
-
Ação de política: Quando ativada, a política irá definir a seguinte subchave de registo.
Local do Registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Nome DWORD
AvailableUpdatesPolicy
Valor DWORD
0x5944
Comentários
Isto sinaliza o dispositivo para instalar todas as atualizações de chaves de Arranque Seguro disponíveis na próxima oportunidade.
Observação: Devido à natureza do Política de Grupo, a política será reaplicada ao longo do tempo e os bits das AvailableUpdates são limpos à medida que são processados. Por conseguinte, é necessário ter uma chave de registo separada denominada AvailableUpdatesPolicy para que a lógica subjacente possa controlar se as chaves foram implementadas. Quando AvailableUpdatesPolicy estiver definido como 0x5944, o TPMTasks definirá AvailableUpdates como 0x5944 e tomará nota de que isto foi feito para evitar voltar a aplicar a AvailableUpdates várias vezes. Definir AvailableUpdatesPolicy como Diabled fará com que as TPMTasks sejam desmarcadas ou definidas como 0 AvailableUpdates e tenha em atenção que esta ação foi concluída.
-
Desativado/Não Configurado: Quando definida como Não Configurada, a política não efetua alterações (as atualizações de Arranque Seguro permanecem como opt-in e não serão executadas a menos que sejam acionadas por outros meios). Se estiver definida como Desativada, a política deve definir AvailableUpdates como 0, para garantir explicitamente que o dispositivo não tenta o lançamento da chave de Arranque Seguro ou para parar a implementação se algo correr mal.
-
HighConfidenceOptOut pode ser ativado ou desativado. A ativação irá definir esta chave como 1 e a desativação irá defini-la como 0.
Implementação do ADMX: Esta política será implementada com um modelo administrativo padrão (ADMX). Utiliza o mecanismo de política de registo para escrever o valor. Por exemplo, a definição do ADMX especificaria:
-
Chave do registo: Software\Policies\... Nota: normalmente, Política de Grupo escreve no ramo Políticas, mas, neste caso, temos de afetar a HKEY_LOCAL_MACHINE\SYSTEM hive. Vamos utilizar a capacidade do Política de Grupo de escrever diretamente no HKEY_LOCAL_MACHINE hive para políticas de máquinas. O ADMX pode utilizar o elemento com o caminho de destino real.
-
Nome: AvailableUpdatesPolicy
-
Valor DWORD: 0x5944
Quando o GPO é aplicado, o Política de Grupo serviço de cliente em cada computador de destino irá criar ou atualizar este valor de registo. Da próxima vez que a tarefa de manutenção de Arranque Seguro (TPMTasks) for executada nessa máquina, detetará 0x5944 e realizará a atualização.
Observação: Por design, no Windows , a tarefa agendada "TPMTask" é executada a cada 12 horas para processar esses sinalizadores de atualização de Inicialização Segura. Os administradores também podem agilizar executando manualmente a tarefa ou reiniciando, se desejar.
Interface do usuário da política de exemplo
-
Ambiente Habilitar a distribuição da chave de inicialização segura: Quando habilitado, o dispositivo instalará os certificados de Inicialização Segura atualizados (2023 CAs) e a atualização associada do gerenciador de inicialização. As chaves e configurações de inicialização segura do firmware do dispositivo serão atualizadas na próxima janela de manutenção. O status pode ser acompanhado por meio do registro (UEFICA2023Status e UEFICA2023Error) ou do Log de Eventos do Windows.
-
Opções Habilitado / desabilitado / não configurado
Essa abordagem de configuração única mantém simples para todos os clientes (sempre usando o valor de 0x5944 recomendado).
Importante: Se no futuro for necessário um controle mais granular, políticas ou opções adicionais poderão ser introduzidas. No entanto, a diretriz atual é que todas as novas chaves de Inicialização Segura e o novo gerenciador de inicialização devem ser implantados juntos em quase todos os cenários, portanto, uma implantação de alternância única é apropriada.
Permissões de & de segurança: Escrever noHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet hive requer privilégios administrativos. Política de Grupo é executado como Sistema Local em clientes, que tem os direitos necessários. O GPO em si pode ser editado pelos administradores com Política de Grupo direitos de gerenciamento. Standard segurança de GPO pode impedir que não administradores alterem a política.
O texto em inglês usado ao configurar a política é o seguinte.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
