BT tarafından yönetilen güncellemelere sahip Windows cihazları için Grup İlkesi Nesneleri (GPO) Güvenli Önyükleme yöntemi

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • Özgün yayımlanma tarihi: 30 Ekim 2025
  • KB Kimliği: 5068198
Bu makalede aşağıdakiler için kılavuz sağlanmaktadır:

  • Windows cihazlarını ve güncelleştirmelerini yöneten kendi BT departmanları olan kuruluşlar.
Not: Kişisel bir Windows cihazına sahip bir bireyseniz, lütfen Microsoft tarafından yönetilen güncelleştirmelerle ev kullanıcıları, işletmeler ve okullar için Windows cihazları makalesine bakın.
Bu desteğin kullanılabilirliği
  • 11 Kasım 2025: Windows sürümleri için hala destek verilmektedir.
Değişiklik Günlüğü
Tarihi Değiştir Açıklamayı Değiştir
Şubat 20, 2026
  • "Bu desteğin kullanılabilirliği" bölümü güncellendi
  • "Giriş" bölümünü güncelledi
  • Hem İstemci hem de Sunucu için "Kaynaklar" altına bir not eklendi.
11 Kasım 2025
  • İstemci bağlantısı "Kaynaklar" altında güncellendi - "https://www.microsoft.com/download/details.aspx?id=108394" ile "www.microsoft.com/en-us/download/details.aspx?id=108428."
  • Yayınlanma Tarihi 29.09.2025'ten 27.10.2025'e değiştirildi
26 Kasım 2025
  • "Automatic Certificate Deployment via UpdatesGüncelleştirmeler" başlığı altına yeni bir not eklendi.
  • Enabled (Etkin) ve Disabled (Devre Dışı) tanımları "Otomatik Certificate Deployment via UpdatesGüncelleştirmeler" başlığı altında değiştirildi.

Bu makalede:

Giriş

Bu belgede, Güvenli Önyükleme Grup İlkesigrup ilkesi nesnesini kullanarak Güvenli Önyükleme sertifikası güncellemelerini dağıtma, yönetme ve izleme desteği açıklanmaktadır. Ayarlar şunlardan oluşur:

  • Bir cihazda dağıtımı tetikleme özelliği
  • Yüksek güvenirliğe sahip demetleri kabul etme/reddetme ayarı
  • Microsoft'un güncelleştirmeleri yönetmesini kabul etme/geri çevirme ayarı

Bilginize: Administrative Templates (.admx) ve Group Policygrup ilkesi resmi Microsoft sitesinden indirilmelidir. Bkz. Kaynaklar.

Grup İlkesigrup ilkesi Object (GPO) yapılandırma yöntemi

Bu yöntem, etki alanı yöneticilerinin etki alanına katılan tüm Windows istemcilerine ve sunucularına Güvenli Önyükleme güncelleştirmeleri dağıtmak için ayarlayabilecekleri basit bir Güvenli Önyükleme grup ilkesi ayarı sunar. Buna ek olarak, iki Güvenli Önyükleme yardımı, kabul etme/reddetme ayarlarıyla yönetilebilir.

Güvenli Önyükleme sertifika güncelleştirmelerini dağıtma ilkesini içeren güncelleştirmeleri almak için aşağıdaki Kaynaklar bölümüne bakın.

Bu politika, Grup İlkesigrup ilkesi UI'da aşağıdaki yol altında bulunabilir:

Bilgisayar Yapılandırması-Yönetim> Şablonları-Windows> Bileşenleri-Güvenli> Önyükleme

Önemli

Güvenli Önyükleme güncelleştirmeleri, cihazın üretici yazılımına bağlıdır ve bazı cihazlarda uyumluluk sorunları yaşanabilir. Güvenli bir dağıtım sağlamak için:

  1. Kuruluşunuzdaki her cihaz türü için en az bir temsili cihazda güncelleştirme ilkesini doğrulayın.
  2. Güvenli Önyükleme sertifikalarının UEFI DB ve KEK'ye başarıyla uygulandığını onaylayın. Ayrıntılı adımlar için şu adresi ziyaret edin: Güvenli Önyükleme Sertifikası güncellemeleri: BT uzmanları ve kuruluşları için rehber.
  3. Doğrulamadan sonra, cihazları demet karmasına göre gruplandırın ve denetimli bir dağıtım için ilkeyi bu cihazlara uygulayın.

Kullanılabilir yapılandırma ayarları

Görüntü

Güvenli Önyükleme sertifikası dağıtımı için kullanılabilen üç ayar burada açıklanmaktadır. Bu ayarlar, Güvenli Önyükleme için kayıt defteri anahtarı güncelleştirmeleri: BT tarafından yönetilen güncelleştirmelere sahip Windows cihazları bölümünde açıklanan kayıt defteri anahtarlarına karşılık gelir.

Güvenli Önyükleme Sertifikası Dağıtımını Etkinleştir

Grup İlkesigrup ilkesi ayar adı: Güvenli Önyükleme Sertifikası Dağıtımını Etkinleştir

Görüntüler

Açıklama:
Bu ilke, Windows'un cihazlarda Güvenli Önyükleme sertifikası dağıtım işlemini başlatıp başlatmayacağını denetler. 

  • Etkin: Windows, Güvenli Önyükleme görevi çalıştırıldıktan sonra güncelleştirilmiş Güvenli Önyükleme sertifikalarını otomatik olarak dağıtmaya başlar.
  • Devre Dışı: Windows sertifikaları otomatik olarak dağıtmaz.
  • Yapılandırılmadı: Varsayılan davranış geçerlidir (otomatik dağıtım yok).

Not

  • Bu ayarı işleyen görev her 12 saatte bir çalıştırılır. Bazı güncelleştirmelerin güvenli bir şekilde tamamlanması için yeniden başlatma gerekebilir.
  • Sertifikalar üretici yazılımına uygulandıktan sonra Windows'tan kaldırılamaz. Sertifikaların temizlenmesi, ürün yazılımı arayüzü üzerinden yapılmalıdır.
  • Bu ayar bir tercih olarak kabul edilir; GPO kaldırılırsa, kayıt defteri değeri kalır.
  • AvailableUpdates kayıt defteri anahtarına karşılık gelir.

Automatic Certificate Deployment via UpdatesGüncelleştirmeler

Grup İlkesigrup ilkesi setting name: Automatic Certificate Deployment via UpdatesGüncelleştirmeler

görüntüler.

Açıklama:
Bu ilke, Güvenli Önyükleme sertifika güncelleştirmelerinin Windows aylık güvenlik güncelleştirmeleri veya güvenlikle ilgili olmayan güncelleştirmeler aracılığıyla otomatik olarak uygulanıp uygulanmayacağını denetler. Microsoft'un Güvenli Önyükleme değişken güncelleştirmelerini işleyebileceğini doğruladığı cihazlar, bu güncelleştirmeleri toplu bakımın bir parçası olarak alır ve otomatik olarak uygular. 

Not

Bu ilkenin etkinleştirilmesi, Güncelleştirmeler aracılığıyla Otomatik Sertifika Dağıtımını devre dışı bırakır. Bu, HighConfidenceOptOut kayıt defteri anahtarını 1 olarak ayarlamaya eşdeğerdir.
Bu ilkeyi devre dışı bırakmak, UpdatesGüncelleştirmeler aracılığıyla Otomatik Sertifika Dağıtımı'nı kabul eder ve bu, HighConfidenceOptout'u 0 olarak ayarlamaya eşdeğerdir.

  • Etkin: Otomatik dağıtım engellendi; Güncelleştirmeler el ile yönetilmelidir.
  • Devre Dışı: Doğrulanmış güncelleştirme sonuçları olan cihazlar, hizmet sırasında sertifika güncelleştirmelerini otomatik olarak alır.
  • Yapılandırılmadı: Otomatik dağıtım varsayılan olarak gerçekleşir.

Not

  • Amaçlanan cihazların güncelleştirmeleri başarıyla işlediği onaylandı.
  • Otomatik dağıtımı tercih etmek için bu ilkeyi yapılandırın.
  • HighConfidenceOptOut kayıt defteri anahtarına karşılık gelir.

Denetimli özellik dağıtımı yoluyla sertifika dağıtımı

Grup İlkesigrup ilkesi ayar adı: Denetimli Özellik Dağıtımı Yoluyla Sertifika Dağıtımı

resim

Açıklama:
Bu ilke, kuruluşların Microsoft tarafından yönetilen Güvenli Önyükleme sertifika güncelleştirmesinin Denetimli Özellik dağıtımına katılmasına olanak tanır.

  • Etkin: Microsoft, piyasaya çıkışta kayıtlı cihazlara sertifika dağıtmaya yardımcı olur.
  • Devre Dışı veya Yapılandırılmamış: Denetimli dağıtıma katılım yok.

Gereksinimler:

Kaynaklar

Ayrıca bkz. Güvenli Önyükleme için kayıt defteri anahtarı güncellemeleri: Cihaz sonuçlarını izlemeye yönelik UEFICA2023Status ve UEFICA2023Error kayıt defteri anahtarlarıyla ilgili ayrıntılar için BT tarafından yönetilen güncellemelere sahip Windows cihazları.

Cihazların durumunu, cihaz özniteliklerini ve cihaz demet kimliklerini anlamada yararlı olan olaylar için Güvenli Önyükleme DB ve DBX değişken güncelleme olaylarına bakın. Olaylar sayfasında açıklanan 1801 ve 1808 olaylarına özellikle dikkat edin.

grup ilkesi MSI'lar ve GP Ayarları Başvuru Elektronik Tablosu için aşağıdaki bağlantıları kullanın veya kullandığınız yönetim şablonlarının tabloda listelenen tarihlerde veya bu tarihlerden sonra yayımlandığından emin olun.

Platform Yayımlanmış MSI Yayımlanan GP Ayarları Başvuru Elektronik Tablosu
İstemci
Bilginize: Yönetim Şablonları (.admx) işletim sisteminden bağımsızdır ve desteklenen TÜM işletim sistemlerinde çalışır.
Resmi Microsoft sitesinden Windows 11 2025 Güncelleştirmesi (25H2) - V2.0 için Yönetim Şablonlarını (.admx) indirin
Yayımlanma tarihi: 27.10.2025
Resmi Microsoft sitesinden Windows 11 2025 Güncelleştirmesi (25H2) - V2.0 için grup ilkesi Ayarları Başvuru Elektronik Tablosunu indirin
Yayımlanma tarihi: 2.10.2025
Sunucu
Bilginize: Yönetim Şablonları (.admx) işletim sisteminden bağımsızdır ve desteklenen TÜM işletim sistemlerinde çalışır.
Resmi Microsoft sitesinden Windows Server 2025 için Yönetim Şablonlarını (.admx) indirin (25 Ekim sürümü)
Yayımlanma tarihi: 27.10.2025
Resmi Microsoft sitesinden Windows Server 2025 için grup ilkesi Ayarları Başvuru Elektronik Tablosunu (25 Ekim sürümü) indirin
Yayımlanma tarihi: 27.10.2025