วันที่เผยแพร่ครั้งแรก: 30 ตุลาคม 2025
KB ID: 5068198
|
บทความนี้มีคําแนะนําสําหรับ:
หมายเหตุ: หากคุณเป็นเจ้าของอุปกรณ์ Windows ส่วนบุคคล โปรดดูบทความ อุปกรณ์ Windows สําหรับผู้ใช้ที่บ้าน ธุรกิจ และโรงเรียนที่มีการอัปเดตที่ได้รับการจัดการจาก Microsoft |
|
ความพร้อมใช้งานของการสนับสนุนนี้
|
ในบทความนี้:
-
บทนำ
-
วิธีการกําหนดค่า นโยบายกลุ่ม Object (GPO)
บทนำ
เอกสารนี้อธิบายถึงการสนับสนุนสําหรับการปรับใช้ การจัดการ และการตรวจสอบการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยใช้วัตถุนโยบายกลุ่ม Secure Boot การตั้งค่าประกอบด้วย:
-
ความสามารถในการทริกเกอร์การปรับใช้บนอุปกรณ์
-
การตั้งค่าเพื่อเลือกรับ/ปฏิเสธเข้าร่วมกลุ่มที่มีความเชื่อมั่นสูง
-
การตั้งค่าเพื่อเลือกรับ/ปฏิเสธเข้าร่วม Microsoft ในการจัดการการอัปเดต
วิธีการกําหนดค่า นโยบายกลุ่ม Object (GPO)
วิธีนี้มีการตั้งค่านโยบายกลุ่ม Secure Boot ที่ตรงไปตรงมาซึ่งผู้ดูแลระบบโดเมนสามารถตั้งค่าให้ปรับใช้การอัปเดตการบูตแบบปลอดภัยกับไคลเอ็นต์และเซิร์ฟเวอร์ Windows ที่เข้าร่วมโดเมนทั้งหมดได้ นอกจากนี้ ตัวช่วยการบูตแบบปลอดภัยสองตัวสามารถจัดการได้ด้วยการตั้งค่าการเลือกรับ/ปฏิเสธการเข้าร่วม
เมื่อต้องการรับการอัปเดตที่มีนโยบายสําหรับการปรับใช้การอัปเดตใบรับรองการบูตแบบปลอดภัย ให้ดาวน์โหลด เทมเพลตการดูแลระบบเวอร์ชันล่าสุดที่เผยแพร่ในวันที่ 23 ตุลาคม 2025 หรือหลังจากนั้น
นโยบายนี้สามารถพบได้ภายใต้เส้นทางต่อไปนี้ใน UI นโยบายกลุ่ม:
Computer Configuration->Administrative Templates->Windows Components->Secure Boot
การตั้งค่าการกําหนดค่าที่พร้อมใช้งาน
การตั้งค่าสามรายการที่พร้อมใช้งานสําหรับการปรับใช้ใบรับรองการบูตแบบปลอดภัยมีอธิบายไว้ที่นี่ การตั้งค่าเหล่านี้สอดคล้องกับรีจิสทรีคีย์ที่อธิบายไว้ในการอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT
เปิดใช้งานการปรับใช้ใบรับรองการบูตแบบปลอดภัย
ชื่อการตั้งค่านโยบายกลุ่ม: เปิดใช้งานการปรับใช้ใบรับรองการบูตแบบปลอดภัย
รายละเอียด: นโยบายนี้จะควบคุมว่า Windows จะเริ่มกระบวนการปรับใช้ใบรับรองการบูตแบบปลอดภัยบนอุปกรณ์หรือไม่
-
เปิดใช้งาน: Windows จะเริ่มปรับใช้ใบรับรองการบูตแบบปลอดภัยที่อัปเดตแล้วโดยอัตโนมัติระหว่างการบํารุงรักษาตามกําหนดเวลา
-
ปิดใช้งานแล้ว: Windows ไม่ปรับใช้ใบรับรองโดยอัตโนมัติ
-
ไม่ได้กําหนดค่า: ลักษณะการทํางานเริ่มต้นจะถูกนําไปใช้ (ไม่มีการปรับใช้อัตโนมัติ)
หมายเหตุ:
-
งานที่ประมวลผลการตั้งค่านี้จะทํางานทุกๆ 12 ชั่วโมง การอัปเดตบางอย่างอาจต้องเริ่มระบบใหม่เพื่อให้เสร็จสมบูรณ์ได้อย่างปลอดภัย
-
เมื่อนําใบรับรองไปใช้กับเฟิร์มแวร์จะไม่สามารถลบออกจาก Windows ได้ การล้างใบรับรองจะต้องทําผ่านส่วนติดต่อเฟิร์มแวร์
-
การตั้งค่านี้ถือเป็นการกําหนดลักษณะ ถ้า GPO ถูกเอาออก ค่ารีจิสทรีจะยังคงอยู่
-
สอดคล้องกับรีจิสทรีคีย์ AvailableUpdates
การปรับใช้ใบรับรองโดยอัตโนมัติผ่าน Updates
ชื่อการตั้งค่านโยบายกลุ่ม: การปรับใช้ใบรับรองโดยอัตโนมัติผ่าน Updates
รายละเอียด: นโยบายนี้ควบคุมว่าจะนําการอัปเดตใบรับรองการบูตแบบปลอดภัยไปใช้โดยอัตโนมัติผ่านการอัปเดตความปลอดภัยรายเดือนและการอัปเดตที่ไม่ใช่ด้านความปลอดภัยของ Windows หรือไม่ อุปกรณ์ที่ Microsoft ได้ตรวจสอบว่าสามารถประมวลผลการอัปเดตตัวแปร Secure Boot จะได้รับการอัปเดตเหล่านี้เป็นส่วนหนึ่งของการให้บริการแบบสะสมและใช้การอัปเดตเหล่านั้นโดยอัตโนมัติ
-
เปิดใช้งาน: อุปกรณ์ที่มีผลลัพธ์การอัปเดตที่ได้รับการตรวจสอบความถูกต้องจะได้รับการอัปเดตใบรับรองโดยอัตโนมัติระหว่างการให้บริการ
-
ปิดใช้งาน: การปรับใช้อัตโนมัติถูกบล็อก การอัปเดตต้องได้รับการจัดการด้วยตนเอง
-
ไม่ได้กําหนดค่า: การปรับใช้อัตโนมัติจะเกิดขึ้นตามค่าเริ่มต้น
หมายเหตุ:
-
มีไว้สําหรับอุปกรณ์ที่ได้รับการยืนยันเพื่อประมวลผลการอัปเดตเสร็จเรียบร้อยแล้ว
-
กําหนดค่านโยบายนี้เพื่อปฏิเสธการปรับใช้อัตโนมัติ
-
สอดคล้องกับรีจิสทรีคีย์ HighConfidenceOptOut
การปรับใช้ใบรับรองผ่านการเปิดตัวฟีเจอร์ที่ควบคุม
ชื่อการตั้งค่านโยบายกลุ่ม: การปรับใช้ใบรับรองผ่านการเปิดตัวฟีเจอร์ที่ควบคุม
รายละเอียด: นโยบายนี้ช่วยให้องค์กรสามารถเข้าร่วมในการ เปิดตัวฟีเจอร์ที่ควบคุม ของการอัปเดตใบรับรองการบูตแบบปลอดภัยที่จัดการโดย Microsoft
-
เปิดใช้งาน: Microsoft ช่วยเหลือเกี่ยวกับการปรับใช้ใบรับรองกับอุปกรณ์ที่ลงทะเบียนในการเปิดตัว
-
ปิดใช้งานหรือไม่ได้กําหนดค่า: ไม่มีการเข้าร่วมในการเผยแพร่ที่ควบคุม
ข้อกําหนด:
-
อุปกรณ์ต้องส่งข้อมูลการวินิจฉัยที่จําเป็นไปยัง Microsoft สําหรับรายละเอียด โปรดดู กําหนดค่าข้อมูลการวินิจฉัย Windows ในองค์กรของคุณ - ความเป็นส่วนตัวของ Windows | การตั้งค่าความเป็นส่วนตัวของ Windows Microsoft Learn
-
สอดคล้องกับรีจิสทรีคีย์ MicrosoftUpdateManagedOptIn
ภาพรวมการตั้งค่าคอนฟิก GPO
-
ชื่อนโยบาย (ไม่แน่นอน): "เปิดใช้งานการเปิดตัวคีย์การบูตแบบปลอดภัย" (ภายใต้ การกําหนดค่าคอมพิวเตอร์)
-
พาธนโยบาย: โหนดใหม่ภายใต้การกําหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > คอมโพเนนต์ของ Windows > Secure Boot เพื่อความชัดเจน ควรสร้างประเภทย่อย เช่น "Updates การบูตแบบปลอดภัย" เพื่อจัดเก็บนโยบายนี้
-
ขอบเขต: คอมพิวเตอร์ (การตั้งค่าบนเครื่อง): โดยกําหนดเป้าหมายกลุ่ม HKEY_LOCAL_MACHINE และส่งผลต่อสถานะ UEFI ของอุปกรณ์
-
การดําเนินการนโยบาย: เมื่อเปิดใช้งาน นโยบายจะตั้งค่าคีย์ย่อยของรีจิสทรีต่อไปนี้
ตําแหน่งที่ตั้งของรีจิสทรี
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
ชื่อ DWORD
AvailableUpdatesPolicy
ค่า DWORD
0x5944
ความ คิด เห็น
ซึ่งจะตั้งค่าสถานะอุปกรณ์เพื่อติดตั้งการอัปเดตคีย์การบูตแบบปลอดภัยที่พร้อมใช้งานทั้งหมดในโอกาสถัดไป
หมายเหตุ: เนื่องจากลักษณะของนโยบายกลุ่ม นโยบายจะถูกนําไปใช้อีกครั้งเมื่อเวลาผ่านไป และบิตของ AvailableUpdates จะถูกล้างเมื่อดําเนินการ ดังนั้นจึงจําเป็นต้องมีรีจิสทรีคีย์แยกต่างหากที่ชื่อว่า AvailableUpdatesPolicy เพื่อให้ตรรกะพื้นฐานสามารถติดตามได้หากมีการปรับใช้คีย์ เมื่อ AvailableUpdatesPolicy ถูกตั้งค่าเป็น 0x5944 แล้ว TPMTasks จะตั้งค่า AvailableUpdatesเป็น 0x5944 และโปรดทราบว่าการดําเนินการนี้ทําแล้วเพื่อป้องกันการนําไปใช้กับ AvailableUpdates หลายครั้ง การตั้งค่า AvailableUpdatesPolicy เป็น Diabled จะทําให้ TPMTasks ล้าง หรือตั้งค่าเป็น 0 AvailableUpdates และโปรดทราบว่าการดําเนินการนี้เสร็จสมบูรณ์แล้ว
-
ปิดใช้งาน/ไม่ได้กําหนดค่า: เมื่อตั้งค่าเป็น ไม่ได้กําหนดค่า นโยบายไม่ทําการเปลี่ยนแปลง (การอัปเดตการบูตแบบปลอดภัยยังคงเป็นการเลือกรับและจะไม่ทํางานเว้นแต่จะมีการทริกเกอร์ด้วยวิธีอื่น) หากตั้งค่าเป็น ปิดใช้งาน นโยบายควรตั้งค่า AvailableUpdates เป็น 0 อย่างชัดเจนเพื่อให้แน่ใจว่าอุปกรณ์ไม่พยายามใช้คีย์การบูตแบบปลอดภัยหรือหยุดการเผยแพร่หากมีบางอย่างผิดปกติ
-
HighConfidenceOptOut สามารถเปิดหรือปิดใช้งานได้ การเปิดใช้งานจะตั้งค่าคีย์นี้เป็น 1 และการปิดใช้งานจะตั้งค่าเป็น 0
การใช้งาน ADMX: นโยบายนี้จะนํามาใช้โดยใช้แม่แบบการดูแลระบบมาตรฐาน (ADMX) ใช้กลไกนโยบายรีจิสทรีในการเขียนค่า ตัวอย่างเช่น คําจํากัดความ ADMX จะระบุ:
-
รีจิสทรีคีย์: Software\Policies\... หมายเหตุ: โดยปกติแล้ว นโยบายกลุ่มเขียนลงในสาขานโยบาย แต่ในกรณีนี้ เราต้องส่งผลกระทบต่อกลุ่ม HKEY_LOCAL_MACHINE\SYSTEM เราจะใช้ความสามารถของนโยบายกลุ่มในการเขียนลงในกลุ่ม HKEY_LOCAL_MACHINE โดยตรงสําหรับนโยบายของเครื่อง ADMX สามารถใช้องค์ประกอบที่มีเส้นทางเป้าหมายจริง
-
ชื่อ: AvailableUpdatesPolicy
-
ค่า DWORD: 0x5944
เมื่อมีการใช้ GPO บริการไคลเอ็นต์นโยบายกลุ่มบนแต่ละเครื่องที่กําหนดเป้าหมายจะสร้างหรืออัปเดตค่ารีจิสทรีนี้ ครั้งต่อไปที่งานการให้บริการ Secure Boot (TPMTasks) ทํางานบนเครื่องนั้น ระบบจะตรวจหา 0x5944 และดําเนินการอัปเดต
หมายเหตุ: ตามการออกแบบ ใน Windows งานที่กําหนดเวลาไว้ "TPMTask" จะทํางานทุกๆ 12 ชั่วโมง ในการประมวลผลค่าสถานะการอัปเดตการบูตแบบปลอดภัยดังกล่าว นอกจากนี้ ผู้ดูแลระบบยังสามารถเร่งดําเนินการได้โดยการเรียกใช้งานด้วยตนเองหรือเริ่มระบบใหม่หากต้องการ
ตัวอย่าง UI นโยบาย
-
ฉาก เปิดใช้งานการเปิดตัวคีย์การบูตแบบปลอดภัย: เมื่อเปิดใช้งาน อุปกรณ์จะติดตั้งใบรับรองการบูตแบบปลอดภัยที่อัปเดต (2023 CAs) และการอัปเดตตัวจัดการการเริ่มต้นระบบที่เกี่ยวข้อง คีย์การบูตแบบปลอดภัยและการกําหนดค่าเฟิร์มแวร์ของอุปกรณ์จะได้รับการอัปเดตในหน้าต่างการบํารุงรักษาถัดไป สถานะสามารถติดตามได้ผ่านทางรีจิสทรี (UEFICA2023Status และ UEFICA2023Error) หรือบันทึกเหตุการณ์ของ Windows
-
ตัวเลือก เปิดใช้งาน / ปิดใช้งาน / ไม่ได้กําหนดค่า
การตั้งค่าแบบเดียวนี้ช่วยให้ลูกค้าทั้งหมดเข้าใจได้ง่าย (ใช้ค่า 0x5944 ที่แนะนําเสมอ)
สําคัญ: หากจําเป็นต้องควบคุมรายละเอียดเพิ่มเติมในอนาคต อาจมีการแนะนํานโยบายหรือตัวเลือกเพิ่มเติม อย่างไรก็ตาม คําแนะนําปัจจุบันคือ คีย์การบูตแบบปลอดภัยใหม่ทั้งหมดและตัวจัดการการเริ่มต้นระบบใหม่ควรปรับใช้ร่วมกัน ในเกือบทุกสถานการณ์ ดังนั้นการปรับใช้การสลับครั้งเดียวจึงเหมาะสม
สิทธิ์ & ความปลอดภัย: การเขียนลงในไฮฟ์HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet ต้องใช้สิทธิของผู้ดูแลระบบ นโยบายกลุ่ม ทํางานเป็น Local System บนไคลเอ็นต์ ซึ่งมีสิทธิ์ที่จําเป็น GPO เองสามารถแก้ไขได้โดยผู้ดูแลระบบที่มีสิทธิ์การจัดการนโยบายกลุ่ม ความปลอดภัยของ GPO Standard สามารถป้องกันไม่ให้ผู้ที่ไม่ใช่ผู้ดูแลระบบเปลี่ยนแปลงนโยบายได้
ข้อความภาษาอังกฤษที่ใช้เมื่อกําหนดค่านโยบายมีดังต่อไปนี้
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
