Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 30 жовтня 2025 р.

Ідентифікатор KB: 5068198

У цій статті наведено рекомендації щодо: 

  • Організації, які мають власний ІТ-відділ, який керує пристроями та оновленнями Windows.

Примітка. Якщо ви – особа, яка володіє особистим пристроєм Windows, див. статтю Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, які керуються корпорацією Майкрософт

Доступність цієї підтримки

  • 11 листопада 2025 р. Для версій Windows усе ще підтримується.

Змінити дату

Змінити опис

20 лютого 2026 р.

  • Оновлено розділ "Доступність цієї підтримки"

  • Оновлено розділ "Загальні відомості"

  • Додано нотатку в розділі "Ресурси" як для клієнта, так і для сервера.

11 листопада 2025 р.

  • Клієнтське посилання оновлено в розділі "Ресурси" з - "https://www.microsoft.com/download/details.aspx?id=108394" на "www.microsoft.com/en-us/download/details.aspx?id=108428".

  • Дата публікації була змінена з 29.09.2025 на 27.10.2025

26 листопада 2025 р.

  • Додано нову нотатку в розділі "Автоматичне розгортання сертифіката за допомогою Оновлення".

  • Замінено визначення увімкнуто та вимкнуто в розділі "Автоматичне розгортання сертифікатів через Оновлення".

У цій статті:

Вступ

У цьому документі описано підтримку розгортання, керування та моніторингу оновлень сертифіката безпечного завантаження за допомогою об'єкта Групова політика безпечного завантаження. Параметри складаються з: 

  • Можливість ініціювати розгортання на пристрої

  • Параметр, який дає змогу ввімкнути або відмовитися від сегментів високої достовірності

  • Параметр, який дає змогу вмикати й відмовлятися від керування оновленнями від корпорації Майкрософт

Примітка. Адміністративні шаблони (ADMX) і Групова політика потрібно завантажити з офіційного сайту Корпорації Майкрософт. Див. статтю Ресурси

метод конфігурації об'єкта (GPO) Групова політика

Цей метод забезпечує просте безпечне завантаження Групова політика настройку, яку адміністратори домену можуть налаштувати на розгортання оновлень безпечного завантаження для всіх клієнтів і серверів Windows, підключених до домену. Крім того, двома помічниками із безпечного завантаження можна керувати за допомогою параметрів приєднання та відмови. 

Щоб отримати оновлення, які містять політику розгортання оновлень сертифіката безпечного завантаження, див. розділ Ресурси нижче.

Цю політику можна знайти за таким шляхом в інтерфейсі Групова політика: 

           Computer Configuration->Administrative Templates->Windows Components->Secure Boot 

Увага!: Оновлення безпечного завантаження залежать від мікропрограм пристрою, а на деяких пристроях можуть виникати проблеми сумісності. Щоб забезпечити безпечне розгортання, виконайте наведені нижче дії.

  1. Перевірте політику оновлення принаймні на одному репрезентативному пристрої для кожного типу пристрою в організації.

  2. Переконайтеся, що сертифікати безпечного завантаження успішно застосовано до UEFI DB і KEK. Докладні інструкції див. в статті Оновлення сертифіката безпечного завантаження: інструкції для ІТ-фахівців і організацій.

  3. Після перевірки згрупуйте пристрої за геш-кодом сегмента та застосуйте політику до цих пристроїв для контрольованого розгортання.

Доступні параметри конфігурації 

Зображення

Нижче описано три параметри, доступні для розгортання сертифіката безпечного завантаження. Ці параметри відповідають розділам реєстру, описаним в оновленні розділів реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ. 

Увімкнути розгортання сертифіката безпечного завантаження 

ім'я параметра Групова політика: Увімкнути розгортання сертифіката безпечного завантаження 

Зображення

Опис: Ця політика визначає, чи ініціює Windows процес розгортання сертифіката безпечного завантаження на пристроях. 

  • Увімкнуто: Windows автоматично починає розгортати оновлені сертифікати безпечного завантаження після запуску завдання безпечного завантаження.

  • Вимкнуто: Windows не розгортає сертифікати автоматично.

  • Не настроєно: застосовується поведінка за промовчанням (автоматичне розгортання відсутнє).

Примітки.: 

  • Завдання, яке обробляє цей параметр, виконується кожні 12 годин. Для безпечного завершення деяких оновлень може знадобитися перезавантаження.

  • Після застосування сертифікатів до мікропрограми їх не можна видалити з Windows. Очищення сертифікатів має виконуватися в інтерфейсі мікропрограми.

  • Цей параметр вважається параметром; якщо GPO видалено, значення реєстру залишається.

  • Відповідає розділу реєстру AvailableUpdates.

Автоматичне розгортання сертифіката за допомогою Оновлення 

ім'я параметра Групова політика: автоматичне розгортання сертифіката за допомогою Оновлення 

Зображення.

Опис: Ця політика визначає, чи автоматично застосовуються оновлення сертифіката безпечного завантаження через щомісячні оновлення системи безпеки Windows і оновлення, не призначені для системи безпеки. Пристрої, які корпорація Майкрософт перевіряла як здатні обробляти оновлення змінних безпечного завантаження, отримають ці оновлення в рамках сукупного обслуговування та застосують їх автоматично. 

Примітка.: Якщо ввімкнути цю політику, автоматичне розгортання сертифікатів буде вимкнуто через Оновлення. Це еквівалентно встановленому 1 розділу реєстру HighConfidenceOptOut.Вимкнення цієї політики дає змогу автоматично розгортати сертифікати за допомогою Оновлення, що еквівалентно встановленому 0 параметра HighConfidenceOptOut.

  • Увімкнуто: автоматичне розгортання заблоковано; керування оновленнями потрібно виконати вручну.

  • Вимкнуто: пристрої з перевіреними результатами оновлення автоматично отримуватимуть оновлення сертифіката під час обслуговування.

  • Не настроєно: автоматичне розгортання відбувається за промовчанням.

Примітки.: 

  • Призначені пристрої підтверджено для успішної обробки оновлень.

  • Настройте цю політику, щоб вибрати автоматичне розгортання.

  • Відповідає розділу реєстру HighConfidenceOptOut.

Розгортання сертифіката за допомогою розгортання керованих функцій 

ім'я параметра Групова політика: розгортання сертифіката за допомогою керованого розгортання функцій 

знімок

Опис: Ця політика дозволяє підприємствам брати участь у розгортанні керованих функцій оновлення сертифіката безпечного завантаження, керованого корпорацією Майкрософт.

  • Увімкнуто: корпорація Майкрософт допомагає розгортати сертифікати на пристроях, зареєстрованих у розгортанні.

  • Вимкнуто або не настроєно: немає участі в контрольованому розгортанні.

Вимоги

Ресурси

Докладні відомості про UEFICA2023Status і UEFICA2023Загальні розділи реєстру для безпечного завантаження див. в статті Пристрої Windows з оновленнями, керованими ІТ-системами, для відстеження результатів роботи з пристроями. 

Відомості про події, корисні для розуміння стану пристроїв, атрибутів пристрою та ідентифікаторів сегмента пристрою, див. в статті Події оновлення змінних DB та DBX . Зверніть особливу увагу на події 1801 і 1808, описані на сторінці подій. 

Для Групова політика MSIs і довідкової електронної таблиці настройок GP скористайтеся наведеними нижче посиланнями або переконайтеся, що використані адміністративні шаблони публікуються в таблиці або після них. 

Платформа

Опублікований MSI

Опублікована довідкова електронна таблиця настройок GP

Клієнт

Примітка. Адміністративні шаблони (ADMX) – це агностичні ос і працюють у всіх підтримуваних ОС.

Завантажити адміністративні шаблони (ADMX) для оновлення Windows 11 2025 р. (25H2) – V2.0 з офіційного сайту Microsoft

Опубліковано: 27.10.2025

Завантажити довідкову електронну таблицю настройок Групова політика для оновлення Windows 11 2025 р. (25H2) – версія 2.0 з офіційного сайту Microsoft

Опубліковано: 10/2/2025

Сервер

Примітка. Адміністративні шаблони (ADMX) – це агностичні ос і працюють у всіх підтримуваних ОС.

Завантажити адміністративні шаблони (ADMX) для Windows Server 2025 р. (випуск від 25 жовтня) з офіційного сайту Microsoft

Опубліковано: 27.10.2025

Завантажити довідкову електронну таблицю параметрів Групова політика для Windows Server 2025 (випуск від 25 жовтня) з офіційного сайту Microsoft

Опубліковано: 27.10.2025
Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей