Pôvodný dátum publikovania: 30. októbra 2025
IDENTIFIKÁCIA DATABÁZY KB: 5068198
|
Tento článok obsahuje návod na:
Poznámka: Ak ste jednotlivec, ktorý vlastní osobné zariadenie s Windowsom, pozrite si článok Zariadenia s Windowsom určené pre domácich používateľov, podniky a školy s aktualizáciami spravovanými spoločnosťou Microsoft. |
|
Dostupnosť tejto podpory
|
V tomto článku:
-
Úvod
-
metóda konfigurácie objektu skupinová politika (GPO)
Úvod
Tento dokument popisuje podporu nasadenia, spravovania a monitorovania aktualizácií certifikátu zabezpečeného spustenia pomocou objektu secure boot skupinová politika. Nastavenia pozostávajú z týchto:
-
Možnosť spustenia nasadenia v zariadení
-
Nastavenie prihlásenia alebo odhlásenia zo sektorov s vysokou spoľahlivosťou
-
Nastavenie explicitného nesúhlasu so spravovaním aktualizácií spoločnosťou Microsoft
metóda konfigurácie objektu skupinová politika (GPO)
Táto metóda ponúka jednoduché nastavenie skupinová politika zabezpečeného spustenia, ktoré môžu správcovia domény nastaviť na nasadenie aktualizácií zabezpečeného spustenia do všetkých klientov a serverov Windowsu pripojených k doméne. Okrem toho je možné spravovať dve asistencie zabezpečeného spustenia s nastavením explicitného explicitného nesúhlasu.
Ak chcete získať aktualizácie, ktoré obsahujú politiku nasadenia aktualizácií certifikátov zabezpečeného spustenia, stiahnite si najnovšiu verziu šablón na správu publikovaných23. októbra 2025 alebo po nich.
Táto politika sa nachádza pod nasledujúcou cestou v používateľskom rozhraní skupinová politika:
Computer Configuration->Administrative Templates->Windows Components->Secure Boot
Dostupné nastavenia konfigurácie
Tu sú popísané tri nastavenia dostupné pre nasadenie certifikátu zabezpečeného spustenia. Tieto nastavenia zodpovedajú kľúčom databázy Registry popísaným v aktualizáciách kľúčov databázy Registry pre zabezpečené spustenie: zariadenia s Windowsom s aktualizáciami spravovanými IT.
Povoliť nasadenie certifikátu zabezpečeného spustenia
názov nastavenia skupinová politika: Povolenie nasadenia certifikátu zabezpečeného spustenia
Popis: Táto politika určuje, či Windows spustí proces nasadenia certifikátu zabezpečeného spustenia v zariadeniach.
-
Povolené: Systém Windows automaticky začne nasadzovať aktualizované certifikáty zabezpečeného spustenia počas plánovanej údržby.
-
Zakázané: Windows nenasadzuje certifikáty automaticky.
-
Nie je nakonfigurované: Použije sa predvolené správanie (žiadne automatické nasadenie).
Poznámky:
-
Úloha, ktorá spracováva toto nastavenie, sa spúšťa každých 12 hodín. Niektoré aktualizácie môžu na bezpečné dokončenie vyžadovať reštartovanie.
-
Po použití certifikátov na firmvér nie je možné ich z Windowsu odstrániť. Vymazávanie certifikátov sa musí vykonať prostredníctvom rozhrania firmvéru.
-
Toto nastavenie sa považuje za preferenciu. ak sa objekt GPO odstráni, hodnota databázy Registry zostane.
-
Zodpovedá kľúču databázy Registry AvailableUpdates.
Automatické nasadenie certifikátov prostredníctvom Aktualizácie
názov nastavenia skupinová politika: Automatické nasadenie certifikátu prostredníctvom Aktualizácie
Popis: Táto politika určuje, či sa aktualizácie certifikátov zabezpečeného spustenia použijú automaticky prostredníctvom mesačných aktualizácií zabezpečenia windowsu a aktualizácií netýkajúce sa zabezpečenia. Zariadenia, ktoré spoločnosť Microsoft overila ako schopné spracovávať aktualizácie premenných zabezpečeného spustenia, dostanú tieto aktualizácie ako súčasť kumulatívnej služby a automaticky ich použijú.
-
Povolené: Zariadenia s overenými výsledkami aktualizácií budú počas údržby automaticky dostávať aktualizácie certifikátov.
-
Zakázané: Automatické nasadenie je zablokované. aktualizácie sa musia spravovať manuálne.
-
Nie je nakonfigurované: Automatické nasadenie sa predvolene vykonáva.
Poznámky:
-
Určené pre zariadenia s potvrdením úspešného spracovania aktualizácií.
-
Nakonfigurujte túto politiku a odhláste sa z automatického nasadenia.
-
Zodpovedá kľúču databázy Registry HighConfidenceOptOut.
Nasadenie certifikátu prostredníctvom riadeného zavádzania funkcií
názov nastavenia skupinová politika: Nasadenie certifikátu prostredníctvom zavádzania kontrolovaných funkcií
Popis: Táto politika umožňuje podnikom podieľať sa na riadenom zavádzaní funkcií aktualizácií certifikátov zabezpečeného spustenia spravovaných spoločnosťou Microsoft.
-
Povolené: Spoločnosť Microsoft pomáha s nasadením certifikátov v zariadeniach zaregistrovaných v uvedenom programe.
-
Zakázané alebo nie je nakonfigurované: Žiadna účasť na riadenom zavádzaní.
Požiadavky:
-
Zariadenie musí spoločnosti Microsoft odoslať požadované diagnostické údaje. Podrobnosti nájdete v téme Konfigurácia diagnostických údajov Windowsu vo vašej organizácii – Ochrana osobných údajov vo Windowse | Microsoft Learn.
-
Zodpovedá kľúču databázy Registry MicrosoftUpdateManagedOptIn.
Prehľad konfigurácie objektu GPO
-
Názov politiky (nezáväzne): "Enable Secure Boot Key Rollout" (Povoliť zavádzanie kľúča zabezpečeného spustenia) (v časti Konfigurácia počítača).
-
Cesta politiky: Nový uzol v časti Konfigurácia počítača > šablóny na správu > súčasti systému Windows > zabezpečeného spustenia. Aby bolo jasné, mala by sa na uloženie tejto politiky vytvoriť podkategória, napríklad "Secure Boot Aktualizácie".
-
Rozsah: Počítač (nastavenie v celom počítači): Zameriava sa na úľ HKEY_LOCAL_MACHINE a ovplyvňuje stav UEFI zariadenia.
-
Akcia politiky: Ak je táto možnosť povolená, politika nastaví nasledujúci podkľúč databázy Registry.
Umiestnenie databázy Registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Názov DWORD
AvailableUpdatesPolicy
Hodnota DWORD
0x5944
Komentáre
Týmto sa zariadenie označí príznakom na inštaláciu všetkých dostupných aktualizácií kľúča zabezpečeného spustenia pri ďalšej príležitosti.
Poznámka: Vzhľadom na povahu skupinová politika sa politika bude časom opätovne používať a pri spracovaní sa vymažú bity dostupných aktualizácií. Preto je potrebné mať samostatný kľúč databázy Registry s názvom AvailableUpdatesPolicy , aby základná logika mohla sledovať, či boli kľúče nasadené. Keď je politika AvailableUpdatesPolicy nastavená na 0x5944, úlohy modulu TPM nastavia hodnotu AvailableUpdates na 0x5944 a zaznamenajú, že sa to urobilo, aby sa zabránilo opakovanému použitiu na availableupdates viackrát. Nastavenie availableUpdatesPolicy na Diabled spôsobí, že funkcia TPMTasks sa vymaže alebo nastaví na hodnotu 0 AvailableUpdates a všimnite si, že táto úloha bola dokončená.
-
Zakázané alebo nie je nakonfigurované: Keď je politika nastavená na možnosť Nie je nakonfigurovaná, nevykoná žiadne zmeny (aktualizácie zabezpečeného spustenia zostanú explicitným súhlasom a nespustia sa, pokiaľ sa nespustí iným spôsobom). Ak je nastavená možnosť Vypnuté, politika by mala nastaviť hodnotu AvailableUpdates na hodnotu 0, aby sa výslovne zabezpečilo, že zariadenie sa nepokúsi o rolu kľúča zabezpečeného spustenia alebo zastaví zavádzanie, ak sa vyskytne chyba.
-
HighConfidenceOptOut je možné povoliť alebo zakázať. Povolením nastavíte tento kľúč na hodnotu 1 a vypnutím sa nastaví na hodnotu 0.
Implementácia ADMX: Táto politika sa implementuje pomocou štandardnej šablóny na správu (ADMX). Používa mechanizmus politiky databázy Registry na zápis hodnoty. Definícia ADMX by napríklad určovala:
-
Kľúč databázy Registry: Softvér\Politiky\... Poznámka: skupinová politika zvyčajne píše do vetvy Politiky, ale v tomto prípade musíme ovplyvniť HKEY_LOCAL_MACHINE\SYSTEM hive. Použijeme schopnosť skupinová politika písať priamo do HKEY_LOCAL_MACHINE úľa pre politiky stroja. ADMX môže použiť prvok so skutočnou cieľovou cestou.
-
Meno: AvailableUpdatesPolicy
-
Hodnota DWORD: 0x5944
Keď sa použije objekt GPO, klientska služba skupinová politika v každom cieľovom počítači vytvorí alebo aktualizuje túto hodnotu databázy Registry. Pri ďalšom spustení úlohy údržby zabezpečeného spustenia (TPMTasks) v danom počítači zistí, 0x5944 a vykoná aktualizáciu.
Poznámka: Predvolene sa naplánovaná úloha TPMTask vo Windowse spustí každých 12 hodín na spracovanie takýchto príznakov aktualizácie zabezpečeného spustenia. Správcovia môžu tiež urýchliť manuálne spustenie úlohy alebo reštartovanie v prípade potreby.
Príklad používateľského rozhrania politiky
-
Nastavenie Povoliť zavádzanie kľúča zabezpečeného spustenia: Keď je táto možnosť povolená, zariadenie nainštaluje aktualizované certifikáty zabezpečeného spustenia (2023 CAs) a súvisiacu aktualizáciu správcu spúšťania. Kľúče a konfigurácie zabezpečeného spustenia firmvéru zariadenia sa aktualizujú v ďalšom okne údržby. Stav je možné sledovať prostredníctvom databázy Registry (UEFICA2023Status a UEFICA2023Error) alebo denníka udalostí systému Windows.
-
Možnosti Povolené / Zakázané / Nie je nakonfigurované
Tento prístup s jedným nastavením zachováva jednoduchosť pre všetkých zákazníkov (vždy používa odporúčanú hodnotu 0x5944).
Dôležitý: Ak bude v budúcnosti potrebná podrobnejšia kontrola, môžu sa zaviesť ďalšie politiky alebo možnosti. Aktuálne pokyny sú však v tom, že všetky nové kľúče zabezpečeného spustenia a nový správca spúšťania by mali byť nasadené spolu takmer vo všetkých scenároch, takže je vhodné nasadenie s jedným prepínačom.
Povolenia & zabezpečenia: Zápis doHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet hive vyžaduje oprávnenia správcu. skupinová politika sa spúšťa ako lokálny systém pre klientov, ktorý má potrebné práva. Samotný objekt GPO môžu upravovať správcovia s právami na správu skupinová politika. Standard zabezpečenia objektu GPO môže zabrániť zmene politiky, ktorá nie je správcom.
Anglický text použitý pri konfigurácii politiky je nasledovný.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
