Originalni datum objavljivanja: 30. oktobar 2025.
KB ID: 5068198
|
Ovaj članak sadrži uputstva za:
Napomena: Ako ste vi pojedinac koji poseduje lični Windows uređaj, pročitajte članak Windows uređaji za kućne korisnike, preduzeća i škole sa ispravkama koje kontroliše Microsoft. |
|
Dostupnost ove podrške
|
U ovom članku:
-
Uvod
-
Smernice grupe metod konfiguracije objekta (GPO)
Uvod
Ovaj dokument opisuje podršku za primenu, upravljanje i nadgledanje ažuriranja certifikata za bezbedno pokretanje pomoću objekta "Secure Boot Smernice grupe". Postavke se sastoje od:
-
Mogućnost aktiviranja primene na uređaju
-
Postavka za davanje saglasnosti ili odbijanje saglasnosti za kontejnere visokog stepena pouzdanosti
-
Postavka za odbijanje saglasosti za upravljanje ispravkama korporacije Microsoft
Smernice grupe metod konfiguracije objekta (GPO)
Ovaj metod nudi jednostavnu postavku za bezbedno pokretanje Smernice grupe koju administratori domena mogu podesiti da primene ispravke bezbednog pokretanja na sve Windows klijente i servere pridružene domenu. Pored toga, dve asistencije za bezbedno pokretanje mogu da se upravljaju pomoću postavki za davanje saglasosti/odbijanje saglasosti.
Da biste dobili ispravke koje uključuju smernice za primenu ispravki certifikata za bezbedno pokretanje, preuzmite najnoviju verziju administrativnih predložaka objavljenih 23. oktobra 2025. ili posle toga.
Ove smernice možete pronaći u okviru sledeće putanje u korisničkom Smernice grupe korisničkog interfejsa:
Administrativni predlošci >konfiguracije računara->Windows komponente->bezbedno pokretanje
Dostupne postavke konfiguracije
Ovde su opisane tri postavke dostupne za primenu certifikata za bezbedno pokretanje. Ove postavke odgovaraju ključevima registratora opisanim u članku Ispravke ključa registratora za bezbedno pokretanje : Windows uređaji sa ispravkama kojima upravlja IT.
Omogući primenu certifikata za bezbedno pokretanje
Smernice grupe postavke: Omogući primenu certifikata za bezbedno pokretanje sistema
Opis: Ove smernice kontrolišu da li Windows pokreće proces primene certifikata za bezbedno pokretanje na uređajima.
-
Omogućeno: Windows automatski počinje da primenjuje ažurirane certifikate za bezbedno pokretanje tokom planiranog održavanja.
-
Onemogućeno: Windows ne primenjuje certifikate automatski.
-
Nije konfigurisano: primenjuje se podrazumevano ponašanje (bez automatske primene).
Beleške:
-
Zadatak koji obrađuje ovu postavku pokreće se svakih 12 časova. Neke ispravke mogu zahtevati ponovno pokretanje da bi se bezbedno dovršile.
-
Kada se certifikati primene na firmver, oni se ne mogu ukloniti iz operativnog sistema Windows. Brisanje certifikata se mora izvršiti putem interfejsa firmvera.
-
Ova postavka se smatra željenom postavkom; ako se GPO ukloni, vrednost registratora ostaje.
-
Odgovara ključu registratora AvailableUpdates.
Automatska primena certifikata putem Novosti
Smernice grupe postavke: Automatska primena certifikata putem Novosti
Opis: Ove smernice kontrolišu da li se ispravke certifikata za bezbedno pokretanje automatski primenjuju putem mesečnih bezbednosnih i nebezbenih ispravki operativnog sistema Windows. Uređaji za koje je Microsoft potvrdio da mogu da obrađuju promenljive promenljivih bezbednog pokretanja primiće ove ispravke kao deo kumulativne servisiranja i automatski ih primenjuju.
-
Omogućeno: Uređaji sa proverenim rezultatima ažuriranja će automatski primati ispravke certifikata tokom servisiranja.
-
Onemogućeno: Automatska primena je blokirana; ispravkama se mora upravljati ručno.
-
Nije konfigurisano: Podrazumevano se odvija automatska primena.
Napomene:
-
Namenjeno uređajima koji su uspešno potvrđeni da obrađuju ispravke.
-
Konfigurišite ove smernice da biste odbili saglasnost za automatsku primenu.
-
Odgovara ključu registratora HighConfidenceOptOut.
Primena certifikata putem kontrolisane primene funkcije
Smernice grupe: primena certifikata putem kontrolisane primene funkcije
Opis: Ove smernice omogućavaju preduzećima da učestvuju u primeni kontrolisane funkcije certifikata za bezbedno pokretanje kojima upravlja Microsoft.
-
Omogućeno: Microsoft pomaže pri primeni certifikata na uređaje prijavljene u primenu.
-
Onemogućeno ili nije konfigurisano: Nema učešća u kontrolisanom predstavljanju.
Zahtevi:
-
Uređaj mora da šalje obavezne dijagnostičke podatke korporaciji Microsoft. Detalje potražite u članku Konfigurisanje Windows dijagnostičkih podataka u organizaciji – Windows privatnost | Microsoft Learn.
-
Odgovara ključu registratora MicrosoftUpdateManagedOptIn.
Pregled GPO konfiguracije
-
Ime smernica (uslovno): "Omogući primenu ključa za bezbedno pokretanje" (u okviru "Konfiguracija računara").
-
Putanja smernica: Novi čvor u okviru Stavke Konfiguracija računara > administrativne predloške > Windows komponente > bezbedno pokretanje. Radi jasnoće, trebalo bi da bude kreirana potkategorija kao što je "Secure Boot Novosti" da bi se uskladištile ove smernice.
-
Opseg: Računar (postavka na nivou mašine): Cilja košnicu HKEY_LOCAL_MACHINE i utiče na UEFI stanje uređaja.
-
Radnja smernica: Kada se omoguće, smernice će postaviti sledeći potključ registratora.
Lokacija registratora
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD ime
AvailableUpdatesPolicy
DWORD vrednost
0x5944
Komentare
Ovo označava zastavicom uređaj da biste instalirali sve dostupne ispravke ključa za bezbedno pokretanje pri sledećoj mogućnosti za pokretanje.
Nota: Zbog prirode Smernice grupe, smernice će biti ponovo primenjene tokom vremena, a bitovi availableUpdates će biti obrisani tokom obrade. Zbog toga je neophodno da imate zaseban ključ registratora pod imenom AvailableUpdatesPolicy kako bi osnovna logika pratila da li su tasteri raspoređeni. Kada je svojstvo AvailableUpdatesPolicy podešeno na 0x5944, TPMTasks će postaviti AvailableUpdates na 0x5944 i imajte na umu da je to urađeno da se spreči ponovno primena na AvailableUpdates više puta. Ako postavite Svojstvo AvailableUpdatesPolicy na Diabled , TPMTasks će se obrisati ili postaviti na 0 AvailableUpdates i imajte na umu da je ovo dovršeno.
-
Onemogućeno/nije konfigurisano: Kada se podese na "Nije konfigurisano ", smernice ne unose promene (ispravke bezbednog pokretanja ostaju kao davanje saglasnost i neće se pokrenuti ako se ne aktiviraju na drugi način). Ako se postavi na opciju Onemogućeno , smernice bi trebalo da podese AvailableUpdates na 0 kako bi izričito obezbedile da uređaj ne pokuša da izvrši bezbedno pokretanje ključa ili da zaustavi primenu ako nešto nije u redu.
-
HighConfidenceOptOut može da se omogući ili onemogući. Omogućavanje će podesiti ovaj ključ na 1 , a onemogućavanje će ga podesiti na 0.
ADMX primena: Ove smernice će biti primenjene pomoću standardnog administrativnog predloška (ADMX). On koristi mehanizam smernica registratora za pisanje vrednosti. Na primer, ADMX definicija bi navela:
-
Ključ registratora: Softver\smernice\... Napomena: Smernice grupe obično piše u granu smernica, ali u ovom slučaju, moramo da utičemo na HKEY_LOCAL_MACHINE\SYSTEM košnicu. Iskoristićemo mogućnost Smernice grupe pisanje direktno u košinik HKEY_LOCAL_MACHINE za smernice mašina. ADMX može da koristi element sa pravom ciljnom putanjom.
-
Ime: AvailableUpdatesPolicy
-
DWORD vrednost: 0x5944
Kada se primeni GPO, usluga Smernice grupe na svakom ciljanom računaru će kreirati ili ažurirati ovu vrednost registratora. Sledeći put kada se zadatak servisiranja bezbednog pokretanja (TPMTasks) pokrene na tom računaru, on će 0x5944 i izvršiće ažuriranje.
Nota: Prema dizajnu, u operativnom sistemu Windows planirani zadatak "TPMTask" pokreće se svakih 12 sati kako bi obradio takve zastavice za ažuriranje bezbednog pokretanja. Administratori takođe mogu ubrzati ručno pokretanje zadatka ili ponovno pokretanje, ako to želite.
Primer korisničkog interfejsa smernica
-
Postavku Omogući primenu ključa za bezbedno pokretanje: Kada se omogući, uređaj će instalirati ažurirane certifikate za bezbedno pokretanje (2023 CAs) i povezanu ispravku upravljača pokretanja. Ključevi i konfiguracije bezbednog pokretanja firmvera uređaja biće ažurirani u sledećem prozoru za održavanje. Status se može pratiti putem registratora (UEFICA2023Status i UEFICA2023Error) ili Windows evidencije događaja.
-
Opcije Omogućeno / onemogućeno / nije konfigurisano
Ovaj pristup jednoj postavci omogućava jednostavan pristup svim klijentima (uvek koriste preporučenu 0x5944 vrednost).
Vaћno: Ako je u budućnosti potrebna dodatna granularna kontrola, mogu se predstaviti dodatne smernice ili opcije. Međutim, trenutna uputstva su da svi novi tasteri za bezbedno pokretanje i novi menadžer pokretanja treba zajedno da se primene u skoro svim scenarijima, tako da je primena sa jednim preklopnikom odgovarajuća.
Dozvole & bezbednosti: Pisanje uHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet zahteva administrativne privilegije. Smernice grupe se pokreće kao lokalni sistem na klijentima, koji ima neophodna prava. Sam GPO mogu da urede administratori sa pravima Smernice grupe upravljanja. Standard GPO bezbednost može da spreči osobe koje nisu administratori da promene smernice.
Engleski tekst koji se koristi prilikom konfigurisanja smernica je sledeći.
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
