Дата публикации: 30 октября 2025 г.
Идентификатор базы знаний: 5068198
|
В этой статье содержатся рекомендации по следующим вопросам:
Примечание. Если вы являетесь владельцем личного устройства Windows, см. статью Устройства Windows для домашних пользователей, предприятий и учебных заведений с обновлениями под управлением Майкрософт. |
|
Доступность этой поддержки
|
В этой статье:
-
Введение
-
Метод конфигурации объекта групповая политика (GPO)
Введение
В этом документе описывается поддержка развертывания, администрирования и мониторинга обновлений сертификатов безопасной загрузки с помощью объекта Secure Boot групповая политика. Параметры состоят из следующих параметров:
-
Возможность запуска развертывания на устройстве
-
Параметр для согласия или отказа от контейнеров с высоким уровнем доверия
-
Параметр для согласия или отказа от использования обновлений для управления обновлениями майкрософт
Метод конфигурации объекта групповая политика (GPO)
Этот метод предлагает простой параметр безопасной загрузки групповая политика, который администраторы домена могут настроить для развертывания обновлений безопасной загрузки для всех присоединенных к домену клиентов и серверов Windows. Кроме того, с помощью параметров согласия и отказа можно управлять двумя помощниками по безопасной загрузке.
Чтобы получить обновления, включающие политику развертывания обновлений сертификатов безопасной загрузки, скачайте последнюю версию административных шаблонов, опубликованных 23 октября 2025 г. или позже.
Эту политику можно найти по следующему пути в пользовательском интерфейсе групповая политика:
Конфигурация компьютера >административные шаблоны >компоненты Windows >безопасная загрузка
Доступные параметры конфигурации
Три параметра, доступные для развертывания сертификата безопасной загрузки, описаны здесь. Эти параметры соответствуют разделам реестра, описанным в разделе Обновления разделов реестра для безопасной загрузки: устройства Windows с обновлениями, управляемыми ИТ.
Включение развертывания сертификатов безопасной загрузки
имя параметра групповая политика: Включение развертывания сертификата безопасной загрузки
Описание: Эта политика определяет, инициирует ли Windows процесс развертывания сертификата безопасной загрузки на устройствах.
-
Включено. Windows автоматически начинает развертывание обновленных сертификатов безопасной загрузки во время запланированного обслуживания.
-
Отключено: Windows не развертывает сертификаты автоматически.
-
Не настроено: применяется поведение по умолчанию (без автоматического развертывания).
Примечания.
-
Задача, обрабатывающая этот параметр, выполняется каждые 12 часов. Для безопасного завершения некоторых обновлений может потребоваться перезагрузка.
-
После применения сертификатов к встроенному ПО их нельзя удалить из Windows. Очистка сертификатов должна выполняться с помощью интерфейса встроенного ПО.
-
Этот параметр считается предпочтением; Если объект групповой политики удален, значение реестра останется.
-
Соответствует разделу реестра AvailableUpdates.
Автоматическое развертывание сертификатов через Обновления
имя параметра групповая политика: автоматическое развертывание сертификатов с помощью Обновления
Описание: Эта политика определяет, применяются ли обновления сертификатов безопасной загрузки автоматически с помощью ежемесячных обновлений системы безопасности Windows и обновлений, не относящихся к системе безопасности. Устройства, которые корпорация Майкрософт проверила как способные обрабатывать обновления переменных безопасной загрузки, будут получать эти обновления в рамках накопительного обслуживания и применять их автоматически.
-
Включено. Устройства с проверенными результатами обновления будут автоматически получать обновления сертификатов во время обслуживания.
-
Отключено: автоматическое развертывание заблокировано; обновлениями необходимо управлять вручную.
-
Не настроено. Автоматическое развертывание выполняется по умолчанию.
Примечания.
-
Предназначено для устройств, которые успешно обрабатывают обновления.
-
Настройте эту политику, чтобы отказаться от автоматического развертывания.
-
Соответствует разделу реестра HighConfidenceOptOut.
Развертывание сертификата с помощью управляемого развертывания компонентов
имя параметра групповая политика: Развертывание сертификата с помощью управляемого развертывания компонентов
Описание: Эта политика позволяет предприятиям участвовать в контролируемом выпуске обновлений сертификатов безопасной загрузки, управляемых корпорацией Майкрософт.
-
Включено. Корпорация Майкрософт помогает развертывать сертификаты на устройствах, зарегистрированных в выпуске.
-
Отключено или не настроено: отсутствует участие в управляемом выпуске.
Требования:
-
Устройство должно отправлять необходимые диагностические данные в корпорацию Майкрософт. Дополнительные сведения см . в статье Настройка диагностических данных Windows в организации — конфиденциальность Windows | Microsoft Learn.
-
Соответствует разделу реестра MicrosoftUpdateManagedOptIn.
Общие сведения о конфигурации объекта групповой политики
-
Имя политики (предварительное): "Включить развертывание ключа безопасной загрузки" (в разделе Конфигурация компьютера).
-
Путь к политике: Новый узел в разделе Конфигурация компьютера > административные шаблоны > Компоненты Windows > безопасная загрузка. Для ясности для хранения этой политики необходимо создать подкатегорию, например "Безопасная загрузка Обновления".
-
Область: компьютер (параметр на уровне компьютера). Он предназначен для HKEY_LOCAL_MACHINE куста и влияет на состояние UEFI устройства.
-
Действие политики: Если этот параметр включен, политика задаст следующий подраздел реестра.
Расположение реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Имя DWORD
AvailableUpdatesPolicy
Значение DWORD
0x5944
Комментарии
Это помечает устройство для установки всех доступных обновлений ключей безопасной загрузки при следующей возможности.
Примечание. Из-за характера групповая политика политика будет применяться повторно со временем, а биты AvailableUpdates очищаются по мере их обработки. Поэтому необходимо иметь отдельный раздел реестра с именем AvailableUpdatesPolicy , чтобы базовая логика могла отслеживать, были ли развернуты ключи. Если параметр AvailableUpdatesPolicy имеет значение 0x5944, TPMTasks установит значение AvailableUpdates0x5944 и заметит, что это было сделано, чтобы предотвратить повторное применение к AvailableUpdates несколько раз. Если для параметра AvailableUpdatesPolicy задано значение Diabledd , TPMTasks будет удален или задано значение 0 AvailableUpdates , и обратите внимание, что это выполнено.
-
Отключено или не настроено: Если задано значение Не настроено, политика не вносит никаких изменений (обновления безопасной загрузки остаются при согласии и не будут выполняться, если они не активируются другими способами). Если задано значение Отключено, политика должна задать значение AvailableUpdates равным 0, чтобы явно убедиться, что устройство не попытается выполнить свертывку ключа безопасной загрузки или остановить развертывание, если что-то пойдет не так.
-
HighConfidenceOptOut можно включить или отключить. При включении для этого ключа будет задано значение 1 , а при отключении — значение 0.
Реализация ADMX: Эта политика будет реализована с помощью стандартного административного шаблона (ADMX). Для записи значения используется механизм политики реестра. Например, определение ADMX будет указывать:
-
Раздел реестра: Программное обеспечение\Policies\... Примечание. групповая политика обычно записывает данные в ветвь Policies, но в этом случае необходимо повлиять на HKEY_LOCAL_MACHINE\SYSTEM hive. Мы будем использовать возможность групповая политика для записи непосредственно в HKEY_LOCAL_MACHINE hive для политик компьютера. ADMX может использовать элемент с реальным целевым путем.
-
Имя: AvailableUpdatesPolicy
-
Значение DWORD: 0x5944
При применении объекта групповой политики служба клиента групповая политика на каждом целевом компьютере создаст или обновит это значение реестра. При следующем запуске задачи обслуживания безопасной загрузки (TPMTasks) на этом компьютере она обнаружит 0x5944 и выполнит обновление.
Примечание. В Windows запланированная задача TPMTask выполняется каждые 12 часов для обработки таких флагов безопасного обновления. Администраторы также могут ускорить работу, вручную запустив задачу или перезапустив, если это необходимо.
Пример пользовательского интерфейса политики
-
Оправа Включение развертывания ключа безопасной загрузки: Если этот параметр включен, устройство установит обновленные сертификаты безопасной загрузки (ЦС 2023) и соответствующее обновление диспетчера загрузки. Ключи и конфигурации встроенного ПО устройства будут обновлены в следующем окне обслуживания. Состояние можно отслеживать с помощью реестра (UEFICA2023Status и UEFICA2023Error) или журнала событий Windows.
-
Параметры Включено , отключено или не настроено
Этот подход с одним параметром упрощает работу для всех клиентов (всегда использует рекомендуемое значение 0x5944).
Важный: Если в будущем потребуется более детализированное управление, можно ввести дополнительные политики или параметры. Однако в настоящее время руководство заключается в том, что все новые ключи безопасной загрузки и новый диспетчер загрузки должны развертываться вместе почти во всех сценариях, поэтому целесообразно использовать одноключайное развертывание.
Разрешения & безопасности: Для записи в кустHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet требуются права администратора. групповая политика выполняется как локальная система на клиентах с необходимыми правами. Сам объект групповой политики может быть изменен администраторами с групповая политика правами управления. Standard безопасность объекта групповой политики может помешать неадминистратору изменять политику.
Текст на английском языке, используемый при настройке политики, выглядит следующим образом.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
