原始发布日期:2025年10月30日
KB ID:5068198
|
本文提供以下指南:
注意:如果你是拥有个人 Windows 设备的个人,请参阅适用于家庭用户、企业和学校的 Windows 设备一文,其中包含Microsoft管理的更新。 |
|
此支持的可用性
|
本文内容:
-
简介
-
组策略 对象 (GPO) 配置方法
简介
本文档介绍使用安全启动组策略 对象部署、管理和监视安全启动证书更新的支持。 设置包括:
-
在设备上触发部署的功能
-
用于选择加入/选择退出高置信度存储桶的设置
-
用于选择加入/选择退出Microsoft管理更新的设置
组策略 对象 (GPO) 配置方法
此方法提供简单的安全启动组策略设置,域管理员可以将其设置为将安全启动更新部署到所有已加入域的 Windows 客户端和服务器。 此外,可以使用选择加入/选择退出设置管理两个安全启动助手。
若要获取包含用于部署安全启动证书更新的策略的更新,请下载 2025 年 10 月 23 日或之后发布的最新版本 的管理模板。
可以在组策略 UI 中的以下路径下找到此策略:
计算机配置->管理模板->Windows 组件->安全启动
可用配置设置
此处介绍了可用于安全启动证书部署的三个设置。 这些设置对应于 安全启动的注册表项更新中所述的注册表项:具有 IT 托管更新的 Windows 设备。
启用安全启动证书部署
组策略设置名称:启用安全启动证书部署
说明: 此策略控制 Windows 是否在设备上启动安全启动证书部署过程。
-
已启用:Windows 在计划维护期间自动开始部署更新的安全启动证书。
-
禁用:Windows 不会自动部署证书。
-
未配置:默认行为 (不自动部署) 应用。
注意:
-
处理此设置的任务每 12 小时运行一次。 某些更新可能需要重启才能安全完成。
-
将证书应用于固件后,无法从 Windows 中删除这些证书。 必须通过固件接口清除证书。
-
此设置被视为首选项;如果删除 GPO,则注册表值将保留。
-
对应于注册表项 AvailableUpdates。
通过 汇报 自动部署证书
组策略设置名称:通过 汇报 自动部署证书
说明: 此策略控制是否通过 Windows 每月安全更新和非安全更新自动应用安全启动证书更新。 Microsoft已验证为能够处理安全启动变量更新的设备将接收这些更新作为累积服务的一部分,并自动应用它们。
-
已启用:具有已验证更新结果的设备将在维护期间自动接收证书更新。
-
禁用:阻止自动部署;必须手动管理更新。
-
未配置:默认情况下会进行自动部署。
注意:
-
适用于已确认成功处理更新的设备。
-
配置此策略以选择退出自动部署。
-
对应于注册表项 HighConfidenceOptOut。
通过受控功能推出部署证书
组策略设置名称:通过受控功能推出进行证书部署
说明: 此策略允许企业参与由 Microsoft 管理的安全启动证书更新的 受控功能推出 。
-
已启用:Microsoft可帮助将证书部署到在推出中注册的设备。
-
禁用或未配置:不参与受控推出。
要求:
-
设备必须将所需的诊断数据发送到Microsoft。 有关详细信息,请参阅 在组织中配置 Windows 诊断数据 - Windows 隐私 |Microsoft Learn。
-
对应于注册表项 MicrosoftUpdateManagedOptIn。
GPO 配置概述
-
策略名称 (暂定) : “ 计算机配置) ”下的“启用安全启动密钥推出” (。
-
策略路径: “计算机配置 > 管理模板”下的新节点,> Windows 组件 > 安全启动。 为清楚起见,应创建“安全启动汇报”等子类别来存储此策略。
-
范围:计算机 (计算机范围的设置) :它面向HKEY_LOCAL_MACHINE配置单元并影响设备的 UEFI 状态。
-
策略作: 启用后,策略将设置以下注册表子项。
注册表位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD 名称
AvailableUpdatesPolicy
DWORD 值
0x5944
备注
这会将设备标记为在下一次机会时安装所有可用的安全启动密钥更新。
注意: 由于组策略的性质,策略将随着时间的推移重新应用,并且 AvailableUpdate 的位在处理时会被清除。 因此,必须有一个名为 AvailableUpdatesPolicy 的单独注册表项,以便基础逻辑可以跟踪是否已部署密钥。 当 AvailableUpdatesPolicy 设置为 0x5944 时,TPMTasks 会将 AvailableUpdates 设置为 0x5944 并请注意,这样做是为了防止多次重新应用到 AvailableUpdates 。 将 AvailableUpdatesPolicy 设置为 Diabled 将导致 TPMTasks 清除,或设置为 0 AvailableUpdates ,并注意此作已完成。
-
禁用/未配置: 设置为 “未配置”时,该策略不会做出任何更改, (安全启动更新将保持为选择加入状态,并且不会运行,除非通过其他方式触发) 。 如果设置为 “已禁用”,则策略应将 AvailableUpdates 设置为 0,以显式确保设备不会尝试安全启动密钥滚动,或者在出现问题时停止推出。
-
可以启用或禁用 HighConfidenceOptOut。 启用会将此键设置为 1 ,禁用会将它设置为 0。
ADMX 实现: 此策略将使用 ADMX) (标准管理模板来实现。 它使用注册表策略机制来写入值。 例如,ADMX 定义将指定:
-
注册表项: Software\Policies\...注意:组策略通常写入策略分支,但在这种情况下,我们需要影响 HKEY_LOCAL_MACHINE\SYSTEM 配置单元。 我们将使用 组策略 的功能直接写入计算机策略的 HKEY_LOCAL_MACHINE 配置单元。 ADMX 可以将 元素与实际目标路径一起使用。
-
名字: AvailableUpdatesPolicy
-
DWORD 值: 0x5944
应用 GPO 时,每个目标计算机上的组策略客户端服务将创建或更新此注册表值。 安全启动服务任务 (TPMTasks) 在该计算机上运行时,它将检测0x5944并执行更新。
注意: 根据设计,在 Windows 上 ,“TPMTask”计划任务每 12 小时运行一次 ,以处理此类安全启动更新标志。 管理员还可以通过手动运行任务或根据需要重启来加快速度。
示例策略 UI
-
设置 启用安全启动密钥推出: 启用后,设备将安装更新的安全启动证书 (2023 CA) 和关联的启动管理器更新。 设备的固件安全启动密钥和配置将在下一个维护时段更新。 可以通过注册表 (UEFICA2023Status 和 UEFICA2023Error) 或 Windows 事件日志跟踪状态。
-
选项 已启用 / 禁用 / 未配置
这种单一设置方法使所有客户 (始终使用建议的0x5944值) 。
重要说明: 如果将来需要更精细的控制,可能会引入其他策略或选项。 但是,当前的指南是 ,几乎所有情况下,所有新的安全启动密钥和新启动管理器都应一起部署 ,因此,单开关部署是合适的。
安全 & 权限: 写入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 配置单元需要管理权限。 组策略在具有所需权限的客户端上作为本地系统运行。 具有组策略管理权限的管理员可编辑 GPO 本身。 Standard GPO 安全性可以防止非管理员更改策略。
配置策略时使用的英语文本如下所示。
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
