Вихідна дата публікації: 30 жовтня 2025 р.
Ідентифікатор KB: 5068198
|
У цій статті наведено рекомендації щодо:
Примітка. Якщо ви – особа, яка володіє особистим пристроєм Windows, див. статтю Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, які керуються корпорацією Майкрософт. |
|
Доступність цієї підтримки
|
У цій статті:
-
Вступ
-
метод конфігурації об'єкта (GPO) Групова політика
Вступ
У цьому документі описано підтримку розгортання, керування та моніторингу оновлень сертифіката безпечного завантаження за допомогою об'єкта Групова політика безпечного завантаження. Параметри складаються з:
-
Можливість ініціювати розгортання на пристрої
-
Параметр, який дає змогу ввімкнути або відмовитися від сегментів високої достовірності
-
Параметр, який дає змогу вмикати й відмовлятися від керування оновленнями від корпорації Майкрософт
метод конфігурації об'єкта (GPO) Групова політика
Цей метод забезпечує просте безпечне завантаження Групова політика настройку, яку адміністратори домену можуть налаштувати на розгортання оновлень безпечного завантаження для всіх клієнтів і серверів Windows, підключених до домену. Крім того, двома помічниками із безпечного завантаження можна керувати за допомогою настройок opt-in/opt-out.
Щоб отримати оновлення, які містять політику розгортання оновлень сертифіката безпечного завантаження, завантажте останню версію адміністративних шаблонів, опубліковану 23 жовтня 2025 р. або пізніше.
Цю політику можна знайти за таким шляхом в інтерфейсі Групова політика:
Computer Configuration->Administrative Templates->Windows Components->Secure Boot
Доступні параметри конфігурації
Нижче описано три параметри, доступні для розгортання сертифіката безпечного завантаження. Ці параметри відповідають розділам реєстру, описаним в оновленні розділів реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ.
Увімкнути розгортання сертифіката безпечного завантаження
ім'я параметра Групова політика: Увімкнути розгортання сертифіката безпечного завантаження
Опис: Ця політика визначає, чи ініціює Windows процес розгортання сертифіката безпечного завантаження на пристроях.
-
Увімкнуто: Windows автоматично починає розгортання оновлених сертифікатів безпечного завантаження під час запланованого обслуговування.
-
Вимкнуто: Windows не розгортає сертифікати автоматично.
-
Не настроєно: застосовується поведінка за промовчанням (автоматичне розгортання відсутнє).
Примітки.
-
Завдання, яке обробляє цей параметр, виконується кожні 12 годин. Для безпечного завершення деяких оновлень може знадобитися перезавантаження.
-
Після застосування сертифікатів до мікропрограми їх не можна видалити з Windows. Очищення сертифікатів має виконуватися в інтерфейсі мікропрограми.
-
Цей параметр вважається параметром; якщо GPO видалено, значення реєстру залишається.
-
Відповідає розділу реєстру AvailableUpdates.
Автоматичне розгортання сертифіката за допомогою Оновлення
ім'я параметра Групова політика: автоматичне розгортання сертифіката за допомогою Оновлення
Опис: Ця політика визначає, чи автоматично застосовуються оновлення сертифіката безпечного завантаження через щомісячні оновлення системи безпеки Windows і оновлення, не призначені для системи безпеки. Пристрої, які корпорація Майкрософт перевіряла як здатні обробляти оновлення змінних безпечного завантаження, отримають ці оновлення в рамках сукупного обслуговування та застосують їх автоматично.
-
Увімкнуто: пристрої з перевіреними результатами оновлення автоматично отримуватимуть оновлення сертифіката під час обслуговування.
-
Вимкнуто: автоматичне розгортання заблоковано; керування оновленнями потрібно виконати вручну.
-
Не настроєно: автоматичне розгортання відбувається за промовчанням.
Нотатки.
-
Призначено для пристроїв, для яких підтверджено успішну обробку оновлень.
-
Настройте цю політику, щоб відмовитися від автоматичного розгортання.
-
Відповідає розділу реєстру HighConfidenceOptOut.
Розгортання сертифіката за допомогою розгортання керованих функцій
ім'я параметра Групова політика: розгортання сертифіката за допомогою керованого розгортання функцій
Опис: Ця політика дозволяє підприємствам брати участь у розгортанні керованих функцій оновлень сертифіката безпечного завантаження, якими керує корпорація Майкрософт.
-
Увімкнуто: корпорація Майкрософт допомагає розгортати сертифікати на пристроях, зареєстрованих у розгортанні.
-
Вимкнуто або не настроєно: немає участі в контрольованому розгортанні.
Вимоги:
-
Пристрій має надсилати до корпорації Майкрософт обов'язкові діагностичні дані. Докладні відомості див . в статті Настроювання діагностичних даних Windows у вашій організації – Конфіденційність Windows | Microsoft Learn.
-
Відповідає розділу реєстру MicrosoftUpdateManagedOptIn.
Огляд конфігурації GPO
-
Ім'я політики (під сумнівом): "Увімкнути розгортання ключа безпечного завантаження" (у розділі "Конфігурація комп'ютера").
-
Шлях політики: Новий вузол у розділі Конфігурація комп'ютера > Адміністративні шаблони > компоненти Windows > безпечне завантаження. Для зручності потрібно створити підкатегорію на кшталт "Безпечне завантаження Оновлення" для збереження цієї політики.
-
Область: Комп'ютер (настройки комп'ютера): він націлений на HKEY_LOCAL_MACHINE вулик і впливає на стан UEFI пристрою.
-
Дія політики: Якщо цей параметр увімкнуто, політика встановить такий підрозділ реєстру.
Розташування реєстру
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
Ім'я DWORD
AvailableUpdatesPolicy
Значення DWORD
0x5944
Коментарі
Це позначає пристрій для інсталяції всіх доступних оновлень ключа безпечного завантаження під час наступної потенційної угоди.
Примітка. У зв'язку з характером Групова політика, політика буде знову застосуватися з плином часу, а біти AvailableUpdates очищаються під час їх обробки. Таким чином, необхідно мати окремий розділ реєстру з іменем AvailableUpdatesPolicy , щоб базова логіка відстежувала, чи було розгорнуто ключі. Якщо для параметра AvailableUpdatesPolicy встановлено значення 0x5944, TPMTasks налаштує значення AvailableUpdatesна 0x5944 і зауважить, що це зроблено, щоб запобігти повторному застосуванню до AvailableUpdates кілька разів. Параметр AvailableUpdatesPolicy на Diabled призведе до очищення TPMTasks або значення 0 AvailableUpdates і запам'ятайте, що це завершено.
-
Вимкнуто або не настроєно: Якщо встановлено значення Не настроєно, політика не змінюється (оновлення безпечного завантаження залишаються як opt-in і не працюватимуть, якщо їх не буде викликано іншими засобами). Якщо для параметра Вимкнуто встановлено значення 0, політика має встановити значення 0, щоб пристрій не намагався розгорнути ключ безпечного завантаження або зупинити розгортання, якщо щось піде не так.
-
Функцію HighConfidenceOptOut можна ввімкнути або вимкнути. Якщо ввімкнути цей параметр, буде встановлено значення 1 , а для вимкнення буде встановлено значення 0.
Впровадження ADMX: Цю політику буде впроваджено за допомогою стандартного адміністративного шаблону (ADMX). Для записування значення використовується механізм політики реєстру. Наприклад, визначення ADMX вкаже:
-
Реєстру: Програмне забезпечення\Політики\... Примітка: Групова політика зазвичай пише в гілку Policies, але в цьому випадку нам потрібно вплинути на HKEY_LOCAL_MACHINE\SYSTEM вулик. Ми будемо використовувати здатність Групова політика писати безпосередньо в HKEY_LOCAL_MACHINE вулик для машинних політик. AdMX може використовувати елемент із реальним цільовим шляхом.
-
Ім'я: AvailableUpdatesPolicy
-
Значення DWORD: 0x5944
Після застосування об'єктної об'єктної об'єкта клієнтська служба Групова політика на кожному цільовому комп'ютері створить або оновить це значення реєстру. Під час наступного запуску завдання обслуговування безпечного завантаження (TPMTasks) на цьому комп'ютері буде виявлено 0x5944 та буде здійснено оновлення.
Примітка. Задумом, у Windows заплановане завдання "TPMTask" виконується кожні 12 годин для обробки таких позначок оновлення безпечного завантаження. Адміністратори також можуть прискорити виконання завдання вручну або за потреби перезавантажити його.
Приклад інтерфейсу користувача політики
-
Параметр Увімкнути розгортання ключа безпечного завантаження: Якщо цей параметр увімкнуто, пристрій інсталює оновлені сертифікати безпечного завантаження (CAs 2023) і пов'язане оновлення диспетчера завантаження. Ключі та конфігурації мікропрограми безпечного завантаження пристрою буде оновлено в наступному вікні обслуговування. Стан можна відстежувати за допомогою реєстру (UEFICA2023Status і UEFICA2023Error) або журналу подій Windows.
-
Параметри Увімкнуто , вимкнуто або не настроєно
Цей підхід до єдиного налаштування симвищить його для всіх клієнтів (завжди використовуючи рекомендовану 0x5944 значення).
Важливий: Якщо в майбутньому знадобиться більш деталізований елемент керування, можуть бути введені додаткові політики або варіанти. Проте поточне керівництво полягає в тому, що всі нові ключі безпечного завантаження та новий диспетчер завантаження мають розгортатися разом майже в усіх сценаріях, тому потрібне розгортання одного перемикача.
Дозволи & безпеки: Запис доHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet вулика вимагає адміністративних прав. Групова політика працює як локальна система для клієнтів, яка має необхідні права. Саму об'єкт групової політики можуть редагувати адміністратори з правами на керування Групова політика. Standard захист від групових політик може перешкоджати зміненню політики сторонніми користувачами.
Текст англійською мовою, який використовується під час настроювання політики, такий:
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
