原始發布日期: 2025 年 6 月 26 日
KB 編號:5062713
|
本文提供以下方面的指引:
附註: 如果您是擁有個人 Windows 裝置的個人,請移至具有 Microsoft 管理更新的家庭使用者、企業和學校的 Windows 裝置一文。 |
概觀
自 Windows 8 以來,Microsoft 作為安全開機基礎結構一部分提供的憑證設定一直保持不變。 這些憑證儲存在「簽章資料庫」 () 資料庫資料庫中,而金鑰註冊金鑰 (KEK) (也稱為韌體中的金鑰交換金鑰) 變數。 Microsoft 在原始設備製造商 (OEM) 生態系統中提供了相同的三個證書,以包含在設備的固件中。 這些憑證支援 Windows 中的安全開機,而且也可供第三方作業系統 (OS) 使用,其中包括下列Microsoft提供的憑證:
-
Microsoft Corporation KEK CA 2011
-
Microsoft Windows 生產 PCA 2011
-
Microsoft Corporation UEFI CA 2011
重要: 所有三個 Microsoft 提供的憑證都將於 2026 年 6 月開始到期。 因此,Microsoft 正在與我們的生態系統合作夥伴合作推出新的證書,這將有助於確保未來的安全啟動安全性和連續性。 一旦這些 2011 年證書過期,啟動組件的安全更新將不再可能,從而危及啟動安全性並使受影響的 Windows 設備面臨風險。 若要維護安全開機功能,必須在 2011 年憑證到期之前更新所有 Windows 裝置,以使用 2023 年憑證。
附註: 本文可互換使用「憑證」和「CA」 (憑證授權單位單位) 。
Windows 安全開機憑證將於 2026 年到期
自 2012 年以來製造的 Windows 裝置可能具有必須更新的憑證到期版本。
術語
-
KEK: 金鑰註冊金鑰
-
CA: 憑證授權單位
-
資料庫: 安全開機簽章資料庫
-
DBX: 安全開機撤銷的簽章資料庫
|
即將到期的憑證 |
到期日期 |
新證書 |
儲存地點 |
目的 |
|
Microsoft Corporation KEK CA 2011 |
2026 年 6 月 |
Microsoft Corporation KEK CA 2023 |
儲存在 KEK 中 |
簽署資料庫和 DBX 的更新。 |
|
Microsoft Windows 生產 PCA 2011 |
2026 年 10 月 |
Windows UEFI CA 2023 |
儲存在資料庫中 |
用於簽署 Windows 開機載入器。 |
|
Microsoft UEFI CA 2011* |
2026 年 6 月 |
Microsoft UEFI CA 2023 |
儲存在資料庫中 |
簽署協力廠商開機載入程式和 EFI 應用程式。 |
|
Microsoft UEFI CA 2011* |
2026 年 6 月 |
Microsoft 選項 ROM CA 2023 |
儲存在資料庫中 |
簽署第三方選項 ROM |
*在更新 Microsoft Corporation UEFI CA 2011 憑證期間,兩個憑證會將開機載入器簽署與選項 ROM 簽署分開。 這允許對系統信任進行更精細的控制。 例如,需要信任選項 ROM 的系統可以新增 Microsoft Option ROM UEFI CA 2023,而無需新增對第三方開機載入器的信任。
Microsoft 已發行更新的憑證,以確保 Windows 裝置上安全開機保護的連續性。 Microsoft 將在大部分 Windows 裝置上管理這些新憑證的更新程式,並將為管理自己裝置更新的組織提供詳細指引。
企業和 IT 專業託管系統的範圍
本文的目標是未與 Microsoft 共用診斷數據,且有專屬 IT 專業人員來管理其環境更新的組織。 目前,Microsoft 沒有足夠的資訊來完全支援在這些裝置上推出安全開機憑證,尤其是停用診斷資料的裝置。
企業和 IT 專業人員可以選擇讓這類系統成為 Microsoft 管理的系統,在此情況下,Microsoft 會更新安全開機憑證。 然而,我們意識到這對於各種設備(例如政府、製造業等領域的氣隙設備)來說並不是一個可行的選擇。
請參閱以下部分以了解此類別中的選項。
企業或 IT 專業人員託管設備可以期待哪些解決方案?
選項 1:自動更新 (僅適用於 Microsoft Update 受管理系統)
透過選擇此選項,您的裝置將自動接收最新的安全啟動更新,有助於確保您的裝置安全。 若要啟用此功能,您必須參與並允許Microsoft從裝置收集通用遙測用戶端 (UTC) 診斷資料。 此步驟可確保您的裝置已註冊 Microsoft 受控計劃,並將順暢地接收所有更新,作為我們標準推出的一部分。
推出策略
對於依賴 Microsoft 將安全開機憑證更新套用至其裝置的 Windows 裝置,我們會使用非常細緻的推出策略。 我們根據 Windows 診斷資料和 OEM 意見反應) , (具有類似硬體和韌體配置檔的系統分組,然後逐步將更新發行給每個群組。 在整個過程中,我們密切監控診斷回饋,以確保一切順利進行。 如果在群組中偵測到任何問題,我們會暫停並解決這些問題,然後再繼續推出至該群組。
喚起行動
若要包含在 Microsoft 受控部署中,建議您啟用 Windows 診斷資料。 有了這個,我們可以識別並定位符合安全啟動證書更新的合格設備。
為什麼診斷數據很重要?
Microsoft 受控推出策略嚴重依賴我們從系統收到的診斷數據,因為我們已包含數據信號,這些信號通知我們設備的狀態,以回應安裝新的安全開機證書。 這樣,我們就可以快速識別推出中的問題,並主動暫停推出到具有類似硬體配置的設備,以最大程度地減少問題的影響。
啟用診斷資料可確保您的裝置可見。 它會將您的裝置移至 Microsoft 受控資料流程中,以自動鎖定和傳遞這些更新。
注意事項
-
不想啟用診斷資料的組織仍將完全控制,並將收到未來的工具和指引,以獨立管理更新程式。
-
對於此處強調的解決方案,您最終有責任監視環境中所有裝置的更新進度,而且可能必須使用多個解決方案才能完全採用。
若要參與 Microsoft 受控推出,請遵循下列步驟:
-
請遵循 [在組織中設定 Windows 診斷資料] ,並設定資料設定以允許 必要的診斷資料。 換句話說,請勿設定為 [已停用],也不要設定 [關閉診斷資料]。 任何提供超過 所需診斷資料的設定也可運作。
-
設定下列登錄機碼,選擇參與安全開機的 Microsoft 受控更新:
登錄位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
按鍵名稱
MicrosoftUpdateManagedOptIn
金鑰類型
DWORD
DWORD 值
-
0 或索引鍵不存在
-
0x5944 – 安全啟動選擇加入
註解
建議您將此金鑰設定為 0x5944 ,以指出所有憑證都應該以保留現有裝置安全性配置檔的方式更新,並將開機管理員更新為 Windows UEFI CA 2023 憑證所簽署的憑證。
附註: 此登錄機碼將在未來的更新中啟用。
-
附註: 對 Microsoft 受控推出的支援僅適用於 Windows 11 和 Windows 10 用戶端版本。 在 2025 年 10 月 14 日之後,Windows 10 將包含具有延伸安全性更新 (ESU) 的 22H2 版本。
選項 2:Customer-Managed 自助服務或部分自動化解決方案
Microsoft 正在評估部分自動化解決方案的指引,以協助企業和 IT 專業人員受控系統。 請注意,這些是自助服務選項,企業或 IT 專業人員可以根據其具體情況和使用模式選擇應用。
|
由於Microsoft整體上對企業和 IT 專業人員受控裝置的可見度 (或診斷資料) 有限,因此Microsoft提供的協助有限。 實作會留給客戶及其合作夥伴,例如獨立軟體廠商 (ISV) 、Microsoft 主動防護合作夥伴 (MAPP) 、其他密碼編譯掃描器和安全性合作夥伴以及 OEM。 |
重要:
-
在某些情況下,套用安全開機憑證更新可能會導致開機失敗、位元鎖定器復原,甚至裝置變磚。
-
這種意識尤其需要,對於可能不在 OEM 支援範圍內的舊系統。 例如:遇到 OEM 未修正的韌體問題/錯誤,將需要更換或關閉安全開機,導致裝置在 2026 年 6 月開始的安全開機憑證到期後不再接收安全性更新。
推薦方法
-
請向 OEM 查詢您裝置的任何安全開機相關更新或指引。 例如:某些 OEM 正在發佈支援更新的 2023 年安全開機憑證的最低韌體/BIOS 版本。 遵循 OEM 建議並套用任何更新
-
取得已開啟安全開機的裝置清單。 對於已關閉安全開機的裝置,無需採取任何動作。
-
透過下列方式,將不與 Microsoft 共用診斷資料的企業裝置分類:
-
OEMModel基板
-
韌體製造
-
韌體版本
-
OEMName
-
作業系統
-
OEMSubModel
-
OEM模型
-
底板製造
-
韌體製造商
-
OEMModelSystem系列
-
OEMBaseBoard製造商
-
代工
-
BaseBoard製造商
-
-
針對步驟 3 中的每個 [唯一] 類別, (下列其中一個步驟驗證安全開機金鑰更新推出,) 在「少數」裝置上 [「少數」會根據每個客戶做出決定。 我們建議至少使用 4-10 台設備]。 驗證成功後,這些裝置可以標示為綠色/安全儲存桶,以便在企業/IT 管理下大規模推出至其他類似裝置
-
客戶可以選擇下列其中一種方法或組合來套用更新的憑證。
如何判斷新的 CA 是否在 UEFI DB 中?
-
下載並安裝 UEFIv2 PowerShell 模組。
-
在提升許可權的 PowerShell 視窗中執行下列命令:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Import-Module UEFIv2
Run (Get-UEFISecureBootCerts DB).signature
-
尋找指紋或受試者 CN。
-
下載 UEFIv2 2.7 PowerShell 模組。
-
在提高許可權的 PowerShell 命令提示字元中,執行下列命令:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
或者, 執行 “(Get-UEFISecureBootCerts PK).Signature”
在 SAFE 裝置上套用安全開機憑證的方法
如先前「建議的方法」一節所述,在少數裝置上進行充分測試/驗證後,安全開機憑證更新應僅套用至 SAFE/GREEN 儲存貯體裝置。
以下方法的說明。
|
方法 1: 以登錄 機碼為基礎的安全開機金鑰滾動更新。 此方法提供一種方法來測試 Windows 在將 2023 年資料庫更新套用至裝置之後如何回應, 方法 2: 群組原則 安全啟動金鑰的物件 (GPO) 。 此方法提供易於使用的群組原則設定,網域系統管理員可以啟用該設定,以跨已加入網域的 Windows 用戶端和伺服器部署安全開機更新。 方法三: 使用 Windows 組態系統 (WinCS) 的安全開機 API/CLI 介面。 這可用來啟用 SecureBoot 金鑰。 方法四: 若要手動套用安全開機資料庫更新,請參閱 手動資料庫/KEK 更新步驟 一節。 |
此方法提供一種方法來測試 Windows 在將 2023 資料庫更新套用至裝置之後如何回應,
CA Reg 索引鍵值
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\AvailableUpdates |
|
憑證值 |
#define SERVICING_UPDATE_KEK 0x0004 #define SERVICING_UPDATE_DB_2024 0x0040 #define SERVICING_UPDATE_INVOKE_BFSVC_AI 0x0100 #define SERVICING_UPDATE_3P_OROM_DB 0x0800 #define SERVICING_UPDATE_3P_UEFI_DB 0x1000 #define CHECK_3P2011_BEFORE_3POROM_UEFICA 0x4000 |
測試步驟
從提高許可權的 PowerShell 提示字元個別執行下列每個命令:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
您可以觀察事件記錄檔來尋找結果,如安全開機資料庫和 DBX 變數更新事件中所述。
注意事項
-
在此過程中有時需要重新啟動。
-
SERVICING_UPDATE_INVOKE_BFSVC_AI 將開機管理器更新為 2023 年簽名版本,這會更改 EFI 分區上的開機管理器。
登錄機碼型安全開機更新的詳細資訊
原則邏輯是圍繞儲存在下列安全開機服務登錄路徑中的三個登錄值所建置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
附註: 下列所有登錄子機碼都可用來 觸發 更新,並 記錄 更新狀態。
|
登錄值 |
類型 |
描述 & 用法 |
|
可用更新 |
REG_DWORD (位遮罩) |
更新觸發器旗標。 控制要在裝置上執行的安全開機更新動作。 在此處設定適當的位欄位會啟動新的安全開機憑證和相關更新的部署。 對於企業部署,這應該設定為0x5944 (十六進位) ,此值可啟用所有相關更新, (新增新的 2023 Microsoft UEFI CA 金鑰、更新 KEK,以及為所有客戶安裝新的開機管理員) 。 (此值會有效地選擇裝置加入安全開機「金鑰滾動」部署。 當非零 (即0x5944) 時,系統的定時任務將套用指定的更新;如果為零或未設定,則不會執行安全開機金鑰更新 ) 。 注意: 當位被處理時,它們被清除。 使用群組原則和 CSP 來管理此專案,必須考慮到這一點。 |
|
UEFICA2023狀態 |
REG_SZ (字串) |
部署狀態指示器。 反映裝置上安全開機金鑰更新的目前狀態。 它會設定為三個文字值之一:「NotStarted」、「InProgress」或「Updated」,表示更新尚未執行、正在進行中或已成功完成。 最初狀態為「未啟動」。 更新開始後,它會變更為「InProgress」,最後在 ) 部署所有新金鑰和新啟動管理器後變更為「Updated」。 |
|
UEFICA2023錯誤 |
REG_DWORD (代碼) |
錯誤代碼 (如果有的話) 。 成功時,此值會保持 0。 如果更新程式遇到錯誤,UEFICA2023Error 會設定為對應於遇到的第一個錯誤的非零錯誤碼。 此處的錯誤表示安全開機更新未完全成功,可能需要在該裝置上進行調查或補救。 (例如,如果更新受信任簽章的資料庫 (資料庫因為韌體問題而失敗) ,此登錄可能會顯示可對應至事件記錄檔或安全開機服務的記錄錯誤標識碼的錯誤碼 ) |
|
高置信度選擇退出 |
REG_DWORD |
適用於想要選擇退出將自動套用為 LCU 一部分的高置信度儲存貯體的企業。 他們可以將此索引鍵設定為非零值,以選擇退出高信賴度貯體。 |
|
MicrosoftUpdateManagedOptIn |
REG_DWORD |
對於想要選擇加入 CFR 服務的企業 (Microsoft Managed) 。 除了設定此金鑰之外,客戶還需要允許傳送「選擇性診斷資料」。 |
這些金鑰如何協同運作
IT 系統管理員會透過 GPO 或 CSP () 設定 AvailableUpdates = 0x5944,這會向 Windows 發出訊號,以在裝置上執行安全開機金鑰滾動程式。 當程式執行時,系統會將 UEFICA2023Status 從「NotStarted」更新為「InProgress」,最後在成功時更新為「Updated」。 當 0x5944 中的每個位都成功處理時,它就會被清除。 如果任何步驟失敗,則會在 UEFICA2023錯誤 (中記錄錯誤碼,且狀態可能仍為「進行中」或部分更新的狀態) 。 此機制為管理員提供了一種清晰的方法來觸發和追蹤每個裝置的推出。
注意: 這些登錄值是專門針對此功能引進的, (在) 安裝支援更新之前,它們不存在於較舊的系統上。 設計中定義了名稱 UEFICA2023Status 和 UEFICA2023Error ,以擷取新增「Windows UEFI CA 2023」憑證的狀態。 一旦系統更新為支援安全開機金鑰滾動的組建,它們就會出現在上述登錄路徑中。
受影響的平台
從 Windows Server 2012 程式代碼基底開始,Windows 支援安全開機,而且支援安全開機的所有 Windows 版本都存在群組原則支援。 因此,群組原則支援將會在支援安全開機的所有支援 Windows 版本上提供。
下表會進一步根據登錄機碼來細分支援。
|
機碼 |
支援的 Windows 版本 |
|
AvailableUpdates/AvailableUpdatesPolicy、UEFICA2023Status、UEFICA2023Error |
支援安全開機 (Windows Server 2012 和更新版本 Windows 的所有 Windows 版本) 。 |
|
高置信度選擇退出 |
支援安全開機 (Windows Server 2012 和更新版本 Windows 的所有 Windows 版本) 。 注意: 雖然信賴度資料是在 Windows 10 21H2 和 22H2 版及更新版本的 Windows 上收集,但它可以套用至在舊版 Windows 上執行的裝置。 |
|
MicrosoftUpdateManagedOptIn |
Windows 10 版本 21H2 和 22H2 Windows 11 版本 22H2 和 23H2 Windows 11 版本 24H2 和 Windows Server 2025 |
我們的 SBAI/TpmTasks 實作了一種新常式來擷取結構描述並確定裝置的儲存貯體 ID。 它還需要發出事件來代表每次開機工作階段上裝置的儲存貯體識別碼。
這些新事件將要求系統上存在裝置儲存貯體信賴度資料。 這些數據將包含在累積更新中,並將在線提供最新下載。
安全開機錯誤事件
錯誤事件具有重要的報告功能,可通知安全開機狀態和進度。 如需錯誤事件的相關資訊,請參閱 安全開機資料庫和 DBX 變數更新事件。 錯誤事件正在更新為安全開機的其他事件。
錯誤事件
安全開機會在每次開機時發出事件。 發出的事件將取決於系統的狀態。
電腦中繼資料事件
錯誤事件將包括機器元數據,例如架構、固件版本等,以向客戶提供有關設備的詳細信息。 此元數據將為 IT 管理員提供數據,以幫助他們了解哪些設備具有即將過期的證書及其設備的特徵。
此事件會在所有沒有必要更新憑證的裝置上發出。 必要的證書是:
-
PCA2023
-
第三方 UEFI CA 和第三方選項 ROM CA(如果存在第三方 2011 CA)
-
KEK。
一般儲存區的標準屬性如下:
-
OEMName_Uncleaned
-
OEM模型
-
OEMSubModel
-
OEMModelSystem系列
-
OEMModel基板
-
BaseBoard製造商
-
韌體製造商
-
韌體版本
事件標識碼:1801
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1801 |
|
層級 |
錯誤 |
|
事件訊息文字 |
需要更新安全開機 CA/金鑰。 此裝置的簽章資訊包含在此處。 <包括標準屬性——當 OEM 尚未定義> 時我們使用的屬性 |
BucketIid+ 置信度評等活動
當裝置沒有上述必要的更新憑證時,此事件將與電腦中繼資料事件一起發出。 每個錯誤事件都會包含 BucketId 和信賴評等。 信賴評等可以是下列其中一項。
|
信任 |
描述 |
|
對綠色) (高度自信 |
高度確定所有必要的憑證都可以成功部署。 |
|
需要更多數據 (黃色) |
在遺願清單中,但沒有足夠的數據。 可能對某些憑證部署有很高的置信度,而對其他憑證的置信度較低。 |
|
未知 (紫色) |
不在遺願清單中 - 從未見過 |
|
停頓 (紅色) |
某些憑證可能會以高信賴度部署,但偵測到需要 Microsoft 或裝置製造商後續追蹤的問題。 此類別可以包括略過、已知問題和調查中。 |
如果裝置沒有儲存貯體 ID,則事件應將「未知」列為狀態,且不包含裝置簽章。
事件標識碼:1802
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1802 |
|
層級 |
錯誤 |
|
事件訊息文字 |
需要更新安全開機 CA/金鑰。 此裝置簽章資訊包含在此處。%n裝置屬性:%1%nBucketId:%2%nBucketConfidenceLevel:%3%nHResult:%4 裝置簽章:b1a7c2e5f6d8a9c0e3f2b4a1c7e8d9f0b2a3c4e5f6d7a8b9c0e1f2a3b4c5d6e7,置信度值:目前需要更多資料 (或未知,置信度高,暫停) 詳情請參閱 https://aka.ms/GetSecureBoot |
資訊事件
機器最新事件
資訊事件將指示機器是最新的,不需要採取任何動作。
事件標識碼:1803
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1803 |
|
層級 |
資訊 |
|
事件訊息文字 |
此裝置已更新安全開機 CA/金鑰。 %nDeviceAttributes: %1%nBucketId: %2%nBucketConfidenceLevel: %3%nHResult: %4 |
警告事件
安全開機預設值需要更新事件
警告事件,表示裝置的韌體安全開機預設設定不是最新的。 當裝置從PCA2023簽署的開機管理程式開機,且韌體中的 DBDefaults 不包含PCA2023憑證時,就會發生這種情況。
事件標識碼:1804
|
事件記錄檔 |
系統 |
|
事件來源 |
TPM-WMI |
|
事件識別碼 |
1804 |
|
層級 |
警告 |
|
錯誤訊息文字 |
此裝置已更新為由「Windows UEFI CA 2023」簽署的 Windows 開機管理員,但韌體中的安全開機 DBDefaults 不包含「Windows UEFI CA 2023」憑證。 將韌體中的安全開機設定重設為預設值可能會阻止裝置開機。 詳情請參閱 https://aka.ms/GetSecureBoot。 |
安全開機的其他元件變更
TPMT要求變更
修改 TPMT要求,以判斷裝置的狀態是否具有更新的安全開機憑證。 目前,它可以做出這一決定,但前提是我們的 CFR 選擇了一台機器進行更新。 我們希望該決定和後續日誌記錄在每個開機階段作業中發生,而不論 CFR 為何。 如果安全開機憑證未完全更新,則發出上述兩個錯誤事件,如果憑證是最新的,則發出資訊事件。 將檢查的安全開機證書包括:
-
Windows UEFI CA 2023
-
Microsoft UEFI CA 2023 和 Microsoft Option ROM CA 2023 – 如果 Microsoft UEFI CA 2011 存在,則必須存在這兩個 CA。 如果 Microsoft UEFI CA 2011 不存在,則不需要檢查。
-
Microsoft Corporation KEK CA 2023
電腦中繼資料事件
此事件將收集電腦中繼資料並發出事件。
-
BucketId + 信賴評等事件
此事件將使用機器的中繼資料在儲存貯體項目) (機器資料庫中尋找對應的條目,並將使用此資料以及有關儲存貯體的任何置信度資訊來格式化和發出事件。
高置信度設備輔助
對於高置信度貯體中的裝置,會自動套用安全開機憑證和 2023 已簽署的開機管理員。
更新將在產生兩個錯誤事件的同時觸發,而 BucketId + 信賴評等事件包含高信賴評等。
對於想要選擇退出的客戶,將提供新的登錄機碼,如下所示:
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot |
|
按鍵名稱 |
高置信度選擇退出 |
|
金鑰類型 |
DWORD |
|
DWORD 值 |
0 或金鑰不存在 – 已啟用高信賴度輔助。 1 – 高置信度輔助被禁用 其他任何內容 – 未定義 |
此方法提供易於使用的群組原則設定,網域系統管理員可以啟用該設定,以跨已加入網域的 Windows 用戶端和伺服器部署安全開機更新。
群組原則物件 (GPO) 會寫入必要的登錄 AvailableUpdatesPolicy 值,從而使用標準群組原則基礎結構來啟動程式,以進行部署和範圍控制。
GPO 設定概觀
-
原則名稱 (暫定) : 「啟用安全開機金鑰推出」 (電腦設定) 下。
-
政策路徑: [電腦設定] → [系統管理範本] 底下的新節點→ [Windows 元件] → [安全開機]。 為了清楚起見,應該建立「安全開機匯報」等子類別來容納此原則。
-
範圍:電腦 (全電腦設定) – 因為它以 HKLM 為目標,並影響裝置的 UEFI 狀態。
-
政策行動: 啟用時,原則會將登錄機碼 AvailableUpdatesPolicy 設定為路徑 HKLM\System\CurrentControlSet\Control\SecureBoot\Servicing 下用戶端上0x5944 (REG_DWORD) 值。 這會標示裝置,以在下次機會安裝所有可用的安全開機金鑰更新。
注意: 由於群組原則的本質,原則會隨著時間重新套用,以及 AvailableUpdates 的本質,其中位會在處理時清除,因此必須有稱為 AvailableUpdatesPolicy 的個別登錄機碼,讓基礎邏輯可以追蹤金鑰是否已部署。 當 AvailableUpdatesPolicy 設定為 0x5944 時,TPMTasks 會將 AvailableUpdates 設定為 0x5944,並注意已完成此動作,以防止多次重新套用至 AvailableUpdates。 將 AvailableUpdatesPolicy 設定為 Diabled 會導致 TPMTask 清除設定為 0) AvailableUpdates (並注意此作業已完成。
-
已停用/未配置: 當 [未設定] 時,原則不會進行任何變更 (安全開機更新會保持選擇加入,除非) 其他方式觸發,否則不會執行。 如果已停用,原則應該設定 AvailableUpdates = 0,以明確確保裝置不會嘗試安全開機金鑰滾動,或在發生問題時停止推出。
-
HighConfidenceOptOut 可以啟用或停用。 啟用會將此鍵設定為 1,停用會將其設定為 0。
ADMX 實作: 此原則將透過標準管理範本 (.admx) 實作。 它使用登錄策略機制來寫入值。 例如,ADMX 定義會指定:
-
登錄機碼: Software\Policies\... (群組原則 通常會寫入 Policies 分支) ,但在此情況下,我們需要影響 HKLM\SYSTEM。 我們將利用群組原則直接寫入 HKLM 以取得電腦原則的能力。 ADMX 可以將元素與實際目標路徑搭配使用。
-
值名稱: AvailableUpdatesPolicy,值:0x5944 (DWORD) 。
套用 GPO 時,每個目標電腦上的群組原則用戶端服務都會建立/更新此登錄值。 下次安全開機服務工作 (TPMTasks) 在該計算機上執行時,它會偵測0x5944並執行更新。 (根據設計,在 Windows 上, 「TPMTask」排程工作會每 12 小時執行一次, 以處理這類安全開機更新旗標,因此更新最多會在 12 小時內開始。 如果需要,管理員還可以通過手動運行任務或重新啟動來加快速度 ) 。
範例原則 UI
-
設定: 「啟用安全開機金鑰推出」 – 啟用後,裝置將安裝更新的安全開機憑證 (2023 CA) 和相關聯的開機管理員更新。 裝置的韌體安全開機金鑰和設定將在下一個維護時段更新。 可以透過登錄 (UEFICA2023Status 和 UEFICA2023Error) 或 Windows 事件日誌來追蹤狀態。
-
選項: 已啟用/已停用/未配置。
這種單一設定方法使所有客戶都能輕鬆使用, (始終使用建議的0x5944值) 。 如果將來需要更精細的控制,可以引入額外的政策或選項。 不過,目前的指引是,在幾乎所有案例中,都應該一起部署所有新的安全開機金鑰和新的開機管理員 ,因此單切換部署是適當的。
安全 & 權限: 寫信給 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\...需要管理權限。 群組原則在用戶端上以本機系統的形式執行,具有必要的權限。 具有群組原則管理權限的系統管理員可以編輯 GPO 本身。 Standard GPO 安全性可以防止非系統管理員變更原則。
群組原則 UI 的文字
設定策略時使用的英文文字如下。
|
文字元素 |
描述 |
|
群組原則階層中的節點 |
安全啟動 |
|
可用更新/可用更新政策 |
|
|
設定名稱 |
啟用安全開機憑證部署 |
|
[選項] |
[選項] <不需要任何選項——只需“未配置”、“啟用”和“禁用”> |
|
描述 |
此原則設定可讓您在裝置上啟用或停用安全開機憑證部署程式。 啟用時,Windows 會自動開始將憑證部署程式至已套用此原則的裝置。 附註:此登錄設定不會儲存在原則金鑰中,這被視為偏好設定。 因此,如果實作此設定的群組原則物件遭到移除,則會保留此登錄設定。 附註: 執行及處理此設定的 Windows 工作每 12 小時執行一次。 在某些情況下,更新將保留到系統重新啟動為止,以安全地排序更新。 注意:將證書應用於韌體後,您將無法從Windows復原它們。 如果需要清除憑證,則必須從韌體功能表介面完成。 如需詳細資訊,請參閱:https://aka.ms/GetSecureBoot |
|
高置信度選擇退出 |
|
|
設定名稱 |
透過匯報自動部署憑證 |
|
[選項] |
<不需要任何選項——只需“未配置”、“啟用”和“禁用”> |
|
描述 |
對於測試結果可用之裝置,指出裝置可以成功處理憑證更新,更新將會在服務更新中自動起始。 預設會啟用此原則。 對於想要管理自動更新的企業,請使用此原則明確啟用或停用該功能。 如需詳細資訊,請參閱:https://aka.ms/GetSecureBoot |
這可用來啟用 SecureBoot 金鑰。
此系統由一系列命令列公用程式組成, (傳統可執行檔和 powershell 模組) ,可在本機查詢 SecureBoot 組態並將其套用至電腦。
WinCS 使用可與命令列公用程式搭配使用的組態金鑰來修改電腦上的 SecureBoot 旗標狀態。 套用之後,下一個排程的 SecureBoot 檢查會根據金鑰採取動作。
|
功能名稱 |
WinCS 金鑰 |
描述 |
|
Feature_AllowDBUpdate2023Rollout |
F924888F002 |
允許使用新的 Windows UEFI CA 2023 憑證更新安全開機資料庫 (資料庫) (簽署 Windows 開機載入器) 的憑證。 |
|
Feature_Allow3POROMRollout |
3CCC848E002 |
允許使用新的第三方選項 ROM 2023 證書更新安全開機數據庫, (適用於第三方選項 ROM,通常是外圍固件) 。 |
|
Feature_Allow3PUEFICARollout |
E0366E8E002 |
允許使用新的第三方 UEFI CA 2023 憑證更新安全開機資料庫, (取代簽署第三方開機載入程式) 的 2011 Microsoft 3P UEFI CA。 |
|
Feature_KEKUpdateAllowList |
郵編:3924588F002 |
允許使用新的 Microsoft KEK 2023 更新 KEK) 商店 (金鑰交換金鑰。 「允許清單」字詞表示,如果平台的 PK (平台金鑰) 符合Microsoft,則會附加新的 KEK, (確保更新僅適用於Microsoft控制的安全開機,而不是自訂 PK) 。 |
|
Feature_PCA2023BootMgrUpdate |
99ACD08F002 |
如果系統的資料庫已使用 PCA 2023 更新,但目前的開機管理員仍由較舊的 PCA 20111 簽署,則允許安裝新的 PCA 2023 簽署的開機管理員) (bootmgfw.efi。 這可確保開機鏈完全更新為 2023 憑證。 |
|
Feature_AllKeysAndBootMgrByWinCS |
F33E0C8E002 |
將上述所有項目設定為允許。 |
可以使用以下命令列查詢 SecureBoot 金鑰:
WinCsFlags.exe /query -p "CVE:CVE-2025-55318"
這將在乾淨的機器) 上傳回以下 (:
旗幟:F33E0C8E
目前配置:F33E0C8E001
擱置組態:無
待處理動作:無
狀態:已停用
CVE:CVE-2025-55318
Fw鏈接:https://aka.ms/getsecureboot
配置:
F33E0C8E002
F33E0C8E001
請注意,金鑰的狀態為Disabled,目前配置為F33E0C8E001。
啟用 SecureBoot 憑證的特定設定可以透過以下方式進行設定:
WinCsFlags /apply –key “F33E0C8E002”
成功套用金鑰應該會傳回下列資訊:
成功應用F33E0C8E002
旗幟:F33E0C8E
目前配置:F33E0C8E002
擱置組態:無
待處理動作:無
狀態:已停用
CVE:CVE-2025-55318
Fw鏈接:https://aka.ms/getsecureboot
配置:
F33E0C8E002
若要稍後判斷金鑰的狀態,您可以重複使用初始查詢命令:
WinCsFlags.exe /query -p “CVE:CVE-2025-55318”
傳回的資訊將類似下列內容,視旗標的狀態而定:
旗幟:F33E0C8E
目前配置:F33E0C8E002
擱置組態:無
待處理動作:無
狀態:已啟用
CVE:CVE-2025-55318
Fw鏈接:https://aka.ms/getsecureboot
配置:
F33E0C8E002
F33E0C8E001
請注意,金鑰的狀態現在已啟用,且目前的配置為F33E0C8E002。
附註: 套用的金鑰並不表示 SecureBoot 憑證安裝程式已啟動或已完成。 它僅表示計算機將在下一個可用機會繼續進行 SecureBoot 更新。 這可以是擱置中、已開始或已完成。 旗標的狀態並不表示此進度。
手動 DB/KEK 更新步驟
如需如何手動套用安全開機資料庫更新的指示,請參閱 更新 Microsoft 安全開機金鑰。 此外,如需 Microsoft 建議安全開機物件設定的詳細資訊,請參閱 Microsoft 安全開機物件 GitHub 存放庫,因為它是所有安全開機物件內容的官方位置。
|
變更日期 |
變更描述 |
|
2025 年 9 月 |
|
|
2025 年 7 月 8 日 |
|
|
2025 年 7 月 2 日 |
|
