chính sách nhóm Đối tượng (GPO) của Khởi động An toàn cho các thiết bị Windows có các bản cập nhật do CNTT quản lý

Trong bài viết này:

• Giới thiệu

• chính sách nhóm phương pháp cấu hình Đối tượng (GPO)

Giới thiệu

Tài liệu này mô tả hỗ trợ cho việc triển khai, quản lý và giám sát các bản cập nhật chứng chỉ Khởi động An toàn bằng cách sử dụng đối tượng khởi chính sách nhóm mật. Cài đặt này bao gồm: 

• Khả năng kích hoạt triển khai trên thiết bị

• Cài đặt để chọn/chọn không sử dụng bộ chứa có độ tin cậy cao

• Cài đặt để chọn tham gia/chọn không tham gia quản lý bản cập nhật của Microsoft

chính sách nhóm phương pháp cấu hình Đối tượng (GPO)

Phương pháp này cung cấp cài đặt khởi động an toàn chính sách nhóm mà người quản trị miền có thể đặt để triển khai các bản cập nhật Khởi động An toàn cho tất cả máy khách và máy chủ Windows đã tham gia miền. Ngoài ra, bạn có thể quản lý hai hỗ trợ Khởi động An toàn bằng cài đặt chọn tham gia/không tham gia. 

Để tải các bản cập nhật bao gồm chính sách triển khai các bản cập nhật chứng chỉ Khởi động An toàn , hãy tải xuống phiên bản mới nhất của Mẫu Quản trị được phát hành vào hoặc sau ngày 23 tháng 10 năm 2025. ​​​​​​​

Chính sách này có thể được tìm thấy dưới đường dẫn sau đây trong giao diện người chính sách nhóm của bạn: 

           Cấu hình Máy tính >Quản trị->phần Windows->khởi động an toàn 

Tổng quan về cấu hình GPO

• Tên chính sách (dự kiến): "Bật Triển khai Phím Khởi động An toàn" (trong Cấu hình Máy tính).

• Đường dẫn chính sách: Một nút mới trong Cấu hình Máy tính > Mẫu Quản >phần Windows >Khởi động An toàn. Để làm rõ, một thể loại con như "Khởi động An toàn Cập nhật" sẽ được tạo để lưu trữ chính sách này.

• Phạm vi: Máy tính (cài đặt trên toàn máy): Mục tiêu của HKEY_LOCAL_MACHINE và ảnh hưởng đến trạng thái UEFI của thiết bị.

• Hành động chính sách: Khi được bật, chính sách sẽ đặt khóa phụ của sổ đăng ký sau đây.

  Vị trí đăng ký	HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
  Tên DWORD	AvailableUpdatesPolicy
  Giá trị DWORD	0x5944
  Ý kiến	Thao tác này sẽ gắn cờ cho thiết bị cài đặt tất cả các bản cập nhật khóa Khởi động An toàn có sẵn trong cơ hội tiếp theo.

  Lưu ý: Do tính chất của chính sách nhóm, chính sách sẽ được áp dụng lại theo thời gian và các bit của AvailableUpdates sẽ bị xóa khi chúng được xử lý. Do đó, cần phải có một khóa đăng ký riêng biệt có tên là AvailableUpdatesPolicy để lô-gic cơ sở có thể theo dõi xem các khóa đã được triển khai hay chưa. Khi AvailableUpdatesPolicy được đặt thành 0x5944, TPMTasks sẽ đặt AvailableUpdates thành 0x5944 và lưu ý rằng điều này đã được thực hiện để ngăn áp dụng lại cho AvailableUpdates nhiều lần. Việc đặt AvailableUpdatesPolicy thành Diabled sẽ khiến cho TPMTasks xóa hoặc đặt thành 0 AvailableUpdates và lưu ý rằng thao tác này đã được hoàn tất.

• Đã tắt/Không được Đặt cấu hình: Khi được đặt thành Không được Đặt cấu hình, chính sách sẽ không thực hiện thay đổi nào (Các bản cập nhật Khởi động An toàn vẫn là lựa chọn tham gia và sẽ không chạy trừ khi được kích hoạt bằng các phương tiện khác). Nếu được đặt là Tắt, chính sách nên đặt AvailableUpdates thành 0, để đảm bảo rõ ràng thiết bị không cố gắng cuộn phím Khởi động An toàn hoặc ngừng triển khai nếu xảy ra sự cố.

• Có thể bật hoặc tắt HighConfidenceOptOut . Bật sẽ đặt phím này thành 1 và thao tác vô hiệu hóa sẽ đặt thành 0.

Triển khai ADMX: Chính sách này sẽ được thực hiện bằng cách sử dụng mẫu quản trị tiêu chuẩn (ADMX). Nó sử dụng cơ chế chính sách đăng ký để viết giá trị. Ví dụ: định nghĩa ADMX sẽ chỉ định:

• Khóa đăng ký: Software\Policies\... Lưu ý: chính sách nhóm thường viết vào chi nhánh Chính sách, nhưng trong trường hợp này, chúng tôi cần phải ảnh hưởng đến tổ HKEY_LOCAL_MACHINE\SYSTEM của bạn. Chúng tôi sẽ sử chính sách nhóm năng viết trực tiếp vào tổ hợp HKEY_LOCAL_MACHINE chính sách máy. ADMX có thể sử dụng phần tử với đường dẫn đích thực sự.

• Tên: AvailableUpdatesPolicy

• Giá trị DWORD: 0x5944

Khi GPO được áp dụng, dịch vụ máy khách chính sách nhóm từng máy được nhắm mục tiêu sẽ tạo hoặc cập nhật giá trị sổ đăng ký này. Vào lần tiếp theo khi tác vụ cung cấp dịch vụ Khởi động An toàn (TPMTasks) chạy trên máy đó, nó sẽ phát hiện 0x5944 và thực hiện cập nhật.

Lưu ý: Theo thiết kế, trên Windows, tác vụ đã lập lịch "TPMTask" sẽ chạy 12 giờ một lần để xử lý các cờ cập nhật Khởi động An toàn như vậy. Người quản trị cũng có thể đẩy nhanh tiến độ bằng cách chạy tác vụ theo cách thủ công hoặc khởi động lại, nếu muốn.

Giao diện người dùng chính sách ví dụ

• Khung cảnh
  Bật Triển khai Phím Khởi động An toàn: Khi được bật, thiết bị sẽ cài đặt chứng chỉ Khởi động An toàn được cập nhật (CAs 2023) và bản cập nhật trình quản lý khởi động có liên quan. Các khóa và cấu hình Khởi động An toàn của vi chương trình của thiết bị sẽ được cập nhật trong cửa sổ bảo trì tiếp theo. Bạn có thể theo dõi trạng thái qua sổ đăng ký (UEFICA2023Status và UEFICA2023Error) hoặc Nhật ký Sự kiện Windows.

• Tùy chọn
  Đã bật / Tắt / Chưa Được cấu hình

Phương pháp cài đặt đơn này giúp mọi khách hàng dễ dàng sử dụng (luôn sử dụng giá 0x5944 được đề xuất).

Quan trọng: Nếu trong tương lai cần kiểm soát chi tiết hơn, các chính sách hoặc tùy chọn bổ sung có thể được giới thiệu. Tuy nhiên, hướng dẫn hiện tại là tất cả các phím Khởi động An toàn mới và trình quản lý khởi động mới nên được triển khai cùng nhau trong hầu hết các trường hợp, vì vậy việc triển khai một nút gạt là phù hợp.

Quyền & mật: Viết thư cho tổHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet yêu cầu đặc quyền quản trị. chính sách nhóm chạy như Hệ thống Cục bộ trên máy khách, có các quyền cần thiết. GPO tự nó có thể được chỉnh sửa bởi người quản trị với quyền chính sách nhóm quản lý. Standard mật GPO mới có thể ngăn người không phải người quản trị thay đổi chính sách.