原始發佈日期:2025 年 10 月 30 日
KB 識別碼:5068198
|
本文提供以下方面的指引:
附註: 如果您是擁有個人 Windows 裝置的個人,請參閱具有 Microsoft 管理更新的家用使用者、企業和學校的 Windows 裝置一文。 |
|
此支援的可用性
|
本文內容:
-
簡介
-
群組原則 物件 (GPO) 設定方法
簡介
本文檔介紹使用安全啟動群組原則對象部署、管理和監視安全啟動證書更新的支援。 設定包括:
-
在裝置上觸發部署的能力
-
選擇加入/選擇退出高信賴度貯體的設定
-
選擇加入/退出 Microsoft 管理更新的設定
群組原則 物件 (GPO) 設定方法
此方法提供簡單的安全開機群組原則設定,網域系統管理員可以設定該設定,以將安全開機更新部署至所有已加入網域的 Windows 用戶端和伺服器。 此外,可以使用選擇加入/選擇退出設定來管理兩個安全啟動輔助。
若要取得包含部署安全開機憑證更新原則的更新,請下載 2025 年 10 月 23 日或之後發佈的最新版本 系統管理範本。
您可以在群組原則 UI 的下列路徑下找到此原則:
電腦設定->系統管理範本->Windows 元件->安全開機
可用的組態設定
這裡說明可用於安全開機憑證部署的三個設定。 這些設定會對應至 安全開機的登錄機碼更新:具有 IT 管理更新的 Windows 裝置中所述的登錄機碼。
啟用安全開機憑證部署
群組原則設定名稱:啟用安全開機憑證部署
產品描述: 此原則會控制 Windows 是否在裝置上起始安全開機憑證部署程式。
-
已啟用:Windows 會在排程維護期間自動開始部署更新的安全開機憑證。
-
已停用:Windows 不會自動部署憑證。
-
未設定:預設行為適用 (沒有自動部署) 。
注意事項:
-
處理此設定的工作每 12 小時執行一次。 某些更新可能需要重新啟動才能安全完成。
-
將憑證套用至韌體之後,就無法從 Windows 中移除憑證。 清除憑證必須透過韌體介面完成。
-
此設定會被視為偏好設定;如果移除 GPO,登錄值會保留。
-
對應至登錄機碼 AvailableUpdates。
透過匯報自動部署憑證
群組原則設定名稱:透過匯報自動部署憑證
產品描述: 此原則會控制是否透過 Windows 每月安全性和非安全性更新自動套用安全開機憑證更新。 Microsoft 已驗證為能夠處理安全開機變數更新的裝置,將會在累積服務中接收這些更新,並自動套用這些更新。
-
已啟用:具有已驗證更新結果的裝置將在服務期間自動收到憑證更新。
-
已停用:自動部署被封鎖;必須手動管理更新。
-
未設定:預設會發生自動部署。
備註:
-
適用於已確認成功處理更新的裝置。
-
將此原則設定為選擇退出自動部署。
-
對應至登錄機碼 HighConfidenceOptOut。
透過受控功能推出的憑證部署
群組原則設定名稱:透過受控功能推出的憑證部署
產品描述: 此原則可讓企業參與 Microsoft 所管理的安全開機憑證更新的 受控功能推出 。
-
已啟用:Microsoft 協助將憑證部署至已註冊到推出中的裝置。
-
已停用或未設定:未參與受控推出。
要求:
-
裝置必須將必要的診斷資料傳送至 Microsoft。 如需詳細資訊,請參閱 在組織中設定 Windows 診斷資料 - Windows 隱私權 |Microsoft 學習。
-
對應至登錄機碼 MicrosoftUpdateManagedOptIn。
GPO 設定概觀
-
原則名稱 (暫定) : 「啟用安全開機金鑰推出」 (電腦 設定) 底下。
-
原則路徑: [ 電腦設定 ] > [系統管理範本 ] > [Windows 元件 ] 底下的新節點 > 安全開機。 為了清楚起見,應該建立「安全開機匯報」等子類別來儲存此原則。
-
範圍:電腦 (全機設定) :它以HKEY_LOCAL_MACHINE區為目標,並影響裝置的 UEFI 狀態。
-
政策行動: 啟用時,原則會設定下列登錄子機碼。
登錄位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecureBoot\Servicing
DWORD 名稱
可用更新原則
DWORD 值
0x5944
註解
這會標示裝置,以在下次機會安裝所有可用的安全開機金鑰更新。
注意: 由於群組原則的本質,原則會隨著時間重新套用,並在處理 AvailableUpdates 時清除。 因此,必須有名為 AvailableUpdatesPolicy 的個別登錄機碼,讓基礎邏輯可以追蹤金鑰是否已部署。 當 AvailableUpdatesPolicy 設定為 0x5944 時,TPMTasks 會將 AvailableUpdates 設定為 0x5944 ,並注意已完成此動作,以防止多次重新套用至 AvailableUpdates 。 將 AvailableUpdatesPolicy 設定為 Diabled 會導致 TPMTask 清除,或設定為 0 AvailableUpdates ,並注意這已完成。
-
已停用/未配置: 設定為 [ 未設定] 時,原則不會進行任何變更 (安全開機更新會保留為選擇加入,除非以其他方式觸發) 否則不會執行。 如果設定為 [已停用],原則應該將 AvailableUpdates 設定為 0,以明確確保裝置不會嘗試安全開機金鑰滾動,或在發生問題時停止推出。
-
HighConfidenceOptOut 可以啟用或停用。 啟用會將此鍵設定為 1 ,停用會將其設定為 0。
ADMX 實作: 此原則將使用標準系統管理範本 (ADMX) 來實作。 它會使用登錄原則機制來寫入值。 例如,ADMX 定義會指定:
-
登錄機碼: 軟體\原則\...注意:群組原則通常會寫入 Policies 分支,但在此情況下,我們需要影響 HKEY_LOCAL_MACHINE\SYSTEM Hive。 我們將使用 群組原則 直接寫入 HKEY_LOCAL_MACHINE Hive 以取得機器原則的能力。 ADMX 可以將元素與實際目標路徑搭配使用。
-
名字: 可用更新原則
-
DWORD 值: 0x5944
套用 GPO 時,每個目標電腦上的群組原則用戶端服務都會建立或更新此登錄值。 下次安全開機服務工作 (TPMTasks) 在該計算機上執行時,它會偵測0x5944並執行更新。
注意: 根據設計,在 Windows 上 ,「TPMTask」排程工作會每 12 小時執行一次, 以處理這類安全開機更新旗標。 如果需要,管理員還可以通過手動運行任務或重新啟動來加快速度。
原則 UI 範例
-
設定 啟用安全開機金鑰推出: 啟用後,裝置將安裝更新的安全開機憑證 (2023 CA) 和相關聯的開機管理員更新。 裝置的韌體安全開機金鑰和設定將在下一個維護時段更新。 可以透過登錄 (UEFICA2023Status 和 UEFICA2023Error) 或 Windows 事件日誌來追蹤狀態。
-
選項 已啟用 / 已停用 / 未設定
這種單一設定方法使所有客戶都能輕鬆使用, (始終使用建議的0x5944值) 。
重要: 如果將來需要更精細的控制,可以引入額外的政策或選項。 不過,目前的指引是, 所有新的安全開機金鑰和新的開機管理員都應該在 幾乎所有案例中一起部署,因此單切換部署是適當的。
安全 & 權限: 寫入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 區需要系統管理許可權。 群組原則在用戶端上以本機系統的形式執行,具有必要的權限。 具有群組原則管理權限的系統管理員可以編輯 GPO 本身。 Standard GPO 安全性可以防止非系統管理員變更原則。
設定策略時使用的英文文字如下。
|
Text element |
Description |
|
Node in Group Policy Hierarchy |
Secure Boot |
|
AvailableUpdates/AvailableUpdatesPolicy |
|
|
Setting name |
Enable Secure Boot certificate deployment |
|
Options |
Options <no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
This policy setting allows you to enable or disable the Secure Boot certificate deployment process on devices. When enabled, Windows will automatically begin the certificate deployment process to devices where this policy has been applied. Note: This registry setting is not stored in a policy key, and this is considered a preference. Therefore, if the Group Policy Object that implements this setting is ever removed, this registry setting will remain. Note: The Windows task that runs and processes this setting, runs every 12 hours. In some cases, the updates will be held until the system restarts to safely sequence the updates. Note: Once the certificates are applied to the firmware, you cannot undo them from Windows. If clearing the certificates is necessary, it must be done from the firmware menu interface. For more information, see https://aka.ms/GetSecureBoot. |
|
HighConfidenceOptOut |
|
|
Setting name |
Automatic Certificate Deployment via Updates |
|
Options |
<no options needed – just “Not Configured”, “Enabled”, and “Disabled”> |
|
Description |
For devices where test results are available that indicate that the device can process the certificate updates successfully, the updates will be initiated automatically as part of the servicing updates. This policy is enabled by default. For enterprises that desire managing automatic update, use this policy to explicitly enable or disable the feature. For more information, see https://aka.ms/GetSecureBoot. |
