Izvirni objavljeni datum: 30. oktober 2025
ID zbirke znanja: 5068198
|
V tem članku so navodila za:
Opomba: Če ste posameznik, ki je lastnik osebne naprave s sistemom Windows, glejte članek Naprave s sistemom Windows za domače uporabnike, podjetja in šole s posodobitvami, ki jih upravlja Microsoft. |
|
Razpoložljivost te podpore
|
V tem članku:
-
Uvod
-
pravilnik skupine način konfiguracije predmeta (GPO)
Uvod
V tem dokumentu je opisana podpora za uvajanje, upravljanje in nadzorovanje posodobitev potrdila varnega zagona s predmetom varnega pravilnik skupine zagona. Nastavitve so sestavljene iz:
-
Možnost proženja uvedbe v napravi
-
Nastavitev za privolitev v sodelovanje ali zavrnitev veder z visoko stopnjo zaupanja
-
Nastavitev za privolitev v microsoftovo upravljanje posodobitev/odjava od tega
pravilnik skupine način konfiguracije predmeta (GPO)
Ta način ponuja preprosto nastavitev varnega zagona, pravilnik skupine jo lahko skrbniki domen nastaviti tako, da uvedejo posodobitve varnega zagona za vse odjemalce in strežnike sistema Windows, pridružene domeni. Poleg tega lahko z nastavitvami za privolitev v sodelovanje/odjavo upravljate dve pomoči za varni zagon.
Če želite pridobiti posodobitve, ki vključujejo pravilnik za uvajanje posodobitev potrdil varnega zagona, prenesite najnovejšo različico skrbniških predlog, objavljenih 23. oktobra 2025 ali po tem.
Ta pravilnik najdete na naslednji poti v uporabniškem pravilnik skupine:
Konfiguracija računalnika – >skrbniške predloge – >komponente sistema Windows – >varni zagon
Razpoložljive nastavitve konfiguracije
Tri nastavitve, ki so na voljo za uvedbo potrdila za varni zagon, so opisane tukaj. Te nastavitve ustrezajo registrskim ključem, opisanim v posodobitvah registrskega ključa za varni zagon: naprave s sistemom Windows, v katerih so nameščene posodobitve, ki jih upravlja IT.
Omogočanje uvajanja potrdila za varni zagon
pravilnik skupine nastavitev: Omogočanje uvajanja potrdila za varni zagon
Opis: (Opis) Ta pravilnik nadzira, ali Sistem Windows v napravah zažene postopek uvajanja potrdila za varni zagon.
-
Omogočeno: Sistem Windows samodejno začne uvajati posodobljene certifikate varnega zagona med načrtovanim vzdrževanjem.
-
Onemogočeno: Sistem Windows ne uvede potrdil samodejno.
-
Ni konfigurirano: Privzeto delovanje je uporabljeno (brez samodejnega uvajanja).
Opombe:
-
Opravilo, ki obdela to nastavitev, se zažene vsakih 12 ur. Za varno dokončanje nekaterih posodobitev boste morda morali znova zagnati računalnik.
-
Ko so potrdila uporabljena za vdelano programsko opremo, jih ni mogoče odstraniti iz sistema Windows. Brisanje potrdil je treba izvesti prek vmesnika vdelane programske opreme.
-
Ta nastavitev velja za prednost; če je predmet pravilnika skupin odstranjen, ostane vrednost registra.
-
Ustreza registrskem ključu AvailableUpdates.
Samodejna uvedba potrdila prek Posodobitve
pravilnik skupine nastavitev: Samodejna uvedba potrdila prek Posodobitve
Opis: (Opis) Ta pravilnik nadzira, ali se posodobitve potrdil za varni zagon samodejno uporabijo prek mesečnih varnostnih posodobitev in posodobitev, ki niso varnostne. Naprave, ki jih je Microsoft potrdil, da lahko obdelujejo spremenljive posodobitve varnega zagona, bodo te posodobitve prejele kot del zbirnega servisiranja in jih samodejno uporabili.
-
Omogočeno: naprave z rezultati potrjenih posodobitev bodo med servisiranjem samodejno prejemale posodobitve potrdil.
-
Onemogočeno: samodejna uvedba je blokirana; je treba posodobitve upravljati ročno.
-
Ni konfigurirano: Samodejna uvedba se privzeto izvede.
Opombe:
-
Namenjeno napravam, ki so potrjene za uspešno obdelavo posodobitev.
-
Konfigurirajte ta pravilnik za zavrnitev samodejnega uvajanja.
-
Ustreza registrskem ključu HighConfidenceOptOut.
Uvajanje potrdila z nadzorovano uvedbo funkcij
pravilnik skupine nastavitev: Uvajanje potrdila prek nadzorovane uvedbe funkcij
Opis: (Opis) S tem pravilnikom lahko podjetja sodelujejo pri nadzorovani namestitvi funkcij posodobitev potrdil za varni zagon, ki jih upravlja Microsoft.
-
Omogočeno: Microsoft pomaga pri uvajanju potrdil v naprave, včlanene v uvedbo.
-
Onemogočeno ali Ni konfigurirano: Brez sodelovanja v nadzorovani uve eno.
Zahteve:
-
Naprava mora Microsoftu poslati zahtevane diagnostične podatke. Če želite več podrobnosti, glejte Konfiguriranje diagnostičnih podatkov sistema Windows v organizaciji – Zasebnost sistema Windows | Microsoft Learn.
-
Ustreza registrskem ključu MicrosoftUpdateManagedOptIn.
Pregled konfiguracije predmeta pravilnika skupin
-
Ime pravilnika (pogojno): »Enable Secure Boot Key Rollout« (v razdelku Konfiguracija računalnika).
-
Pot pravilnika: Novo vozlišče v razdelku Konfiguracija računalnika >Skrbniške predloge > komponente sistema Windows > varni zagon. Zaradi jasnosti je za shranjevanje tega pravilnika treba ustvariti podkategorijo, kot je Posodobitve Zagon varnega zagona«.
-
Obseg: Računalnik (nastavitev na ravni računalnika): cilja HKEY_LOCAL_MACHINE panj in vpliva na stanje UEFI naprave.
-
Dejanje pravilnika: Ko je ta možnost omogočena, pravilnik nastavi ta registrski podključ.
Mesto registra
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Ime DWORD
AvailableUpdatesPolicy
Vrednost DWORD
0x5944
Pripombe
S tem označite napravo, da ob naslednji priložnosti namesti vse razpoložljive posodobitve ključa za varni zagon.
Opomba: Zaradi vrste težav pravilnik skupine pravilnik znova uporabljen v določenem časovnem obdobju, bitni podatki funkcije AvailableUpdates pa so med obdelavo odstranjeni. Zato morate imeti ločen registrski ključ z imenom AvailableUpdatesPolicy , tako da lahko temeljna logika sledi, če so bili ključi uvedeni. Če je nastavitev AvailableUpdatesPolicynastavljena na 0x5944, TPMTasks nastavi AvailableUpdates na 0x5944 in upoštevajte, da je bilo to opravljeno, da bi se večkrat preprečila vnovična uporaba za AvailableUpdates . Če vrednost AvailableUpdatesPolicy nastavite na Diabled , se bodo opravila TPMTasks počistila ali nastavila na 0 AvailableUpdates in upoštevajte, da je bilo to dokončano.
-
Onemogočeno/ni konfigurirano: Če je pravilnik nastavljen na »Ni konfigurirano«, ne spremeni nastavitev (posodobitve varnega zagona ostanejo kot privolitev v sodelovanje in se ne bodo izvajale, razen če jih sprožijo drugi način). Če je pravilnik nastavljen na Onemogočeno, mora biti nastavitev AvailableUpdates nastavljena na 0, s katero se izrecno zagotovi, da naprava ne poskuša zbira ključa za varni zagon ali da ustavi uvout, če pride do težav.
-
HighConfidenceOptOut lahko omogočite ali onemogočite. Če ga omogočite, nastavite ta ključ na 1 , če ga onemogočite, pa ga nastavite na 0.
Uvedba ADMX:: Ta pravilnik bo uveden s standardno skrbniško predlogo (ADMX). Za pisanje vrednosti uporablja mehanizem pravilnika registra. Definicija ADMX na primer določa:
-
Registrski ključ: Programska oprema\Pravilniki\... Opomba: pravilnik skupine običajno piše v vejo Pravilniki, vendar v tem primeru moramo vplivati na HKEY_LOCAL_MACHINE\SYSTEM panj. Uporabili bomo pravilnik skupine za pisanje neposredno v panj HKEY_LOCAL_MACHINE za strojno politiko. ADMX lahko uporabi element s pravo ciljno potjo.
-
Ime: AvailableUpdatesPolicy
-
Vrednost DWORD: 0x5944
Ko uporabite predmet pravilnika skupin, odjemalska pravilnik skupine v vsakem cilju računalniku ustvari ali posodobi to vrednost registra. Ko se v tem računalniku naslednjič izvaja opravilo servisiranja varnega zagona (TPMTasks), bo sistem zaznal 0x5944 in iznel posodobitev.
Opomba: V sistemu Windows se načrtovano opravilo »TPMTask« zažene vsakih 12 ur, da obdela takšne zastavice posodobitve varnega zagona. Skrbniki lahko po želji pospešijo tudi ročno izvajanje opravila ali vnovični zagon.
Vzorčni pravilnik UI
-
Nastavitev Omogočanje paketa ključa za varni zagon: Ko je ta funkcija omogočena, bo naprava namestila posodobljena potrdila za varni zagon (2023 CAs) in povezano posodobitev upravitelja zagona. Ključi in konfiguracije varnega zagona vdelane programske opreme naprave bodo posodobljeni v naslednjem oknu za vzdrževanje. Stanje je mogoče slediti prek registra (UEFICA2023Status in UEFICA2023Error) ali dnevnika dogodkov sistema Windows.
-
Možnosti Omogočeno/ onemogočeno/ni konfigurirano
Ta pristop z eno nastavitvijo je preprost za vse uporabnike (vedno uporabi priporočeno 0x5944 vrednost).
Pomemben: Če bo v prihodnosti potreben natančnejš nadzor, bodo morda uvedeni dodatni pravilniki ali možnosti. Trenutna navodila pa so, da so vsi novi ključi za varni zagon in novi upravitelj zagona uvedeni skupaj v skoraj vseh scenarijih, zato je uvedba z enim preklopom primerna.
Varnostna & za: Pisanje vHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet zahteva skrbniške pravice. pravilnik skupine se kot lokalni sistem v odjemalcih, ki ima potrebne pravice. Predmet pravilnika skupin lahko urejajo skrbniki z pravilnik skupine za upravljanje. Standard pravilnika skupin lahko preprečite skrbnikom, ki niso skrbniki, da bi spremenili pravilnik.
Besedilo v angleščini, ki se uporablja pri konfiguriranju pravilnika, je tako.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
