API на системата за конфигуриране на Windows (WinCS) за защитено стартиране

Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

  • Първоначална дата на публикуване: 14 октомври 2025 г.
  • ИД на БЗ: 5068197
Регистър на промените
Промяна на датата Описание на промяната
16 април. 2026
  • Премахната е секцията "Наличност на тази поддръжка", тъй като информацията се съдържа в раздела "Поддържани от WinCS платформи".
10 април 2026 г.
  • Актуализирана е датата за Windows 10 1607Windows / Server 2016 под раздела " Поддържани платформи на WinCS".
  • Добавена е нова платформа за поддръжка за Windows Server 2012 и Windows Server 2012 R2 (ESU) под раздела "Поддържани от WinCS платформи".
20 февруари 2026 г.
  • Добавен нов раздел "Първо проверете дали сертификатите за защитено стартиране са актуализирани във вашата платформа"
16 декември 2025 г.
  • Коригиран команден ред в раздела "Как да приложите конфигурация на защитеното стартиране", тъй като включваше неправилни знаци.

    До: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Коригиран команден ред в раздела "Как да проверявате конфигурацията на защитеното стартиране", тъй като включваше интервал в края на реда.

    До: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • В раздела "Наличност на тази поддръжка" се добавя, че Windows 10, версии 21H2 и 22H2 и Windows Server 2022 са добавени в изданията от и след 11 ноември 2025 г. Освен това поддръжката за други версии на Windows ще бъде включена в актуализациите, издадени през първото тримесечие на 2026 г.
11 декември 2025 г.
  • Променена стъпка 3 от раздела "Как се проверява конфигурацията на защитеното стартиране":

    От: За да проверите дали актуализацията на базата данни за защитено стартиране е успешна, отворете подкана на PowerShell като администратор и след това изпълнете следната команда:

    До: За бърза проверка дали актуализацията на базата данни за защитено стартиране е успешна, отворете подкана на PowerShell като администратор и след това изпълнете следната команда:
  • Добавена стъпка 4 към раздела "Как се проверява конфигурацията на защитеното стартиране":

    За да проверите дали всички сертификати са актуализирани, вижте "Актуализации на сертификата за защитено стартиране": Указания за ИТ професионалисти и организации и следвайте указанията в раздела "Наблюдение на регистрационните файлове на събитията". Този раздел описва ИД на събитие: 1801 и ИД на събитие: 1808 , което е пълен начин за проверка дали сертификатите са актуализирани.

CLI за защитено стартиране с помощта на системата за конфигуриране на Windows (WinCS)

Цел: Домейновите администратори могат алтернативно да използват системата за конфигуриране на Windows (WinCS), издадена с актуализации за операционната система Windows, за да разположат актуализациите на защитеното стартиране в присъединени към домейна клиенти и сървъри на Windows. Тя се състои от помощна програма за интерфейс за командния ред (CLI) за заявки и локално прилагане на конфигурации на защитеното стартиране към компютър.

WinCS работи с конфигурационен ключ, който може да се използва с помощната програма за команден ред за промяна на състоянието на конфигурацията на защитеното стартиране на машината. След като бъде приложено, следващото планирано защитено стартиране ще извърши действия според ключа.

Първо проверете дали сертификатите за защитено стартиране са актуализирани във вашата платформа

Можете да проверите състоянието на защитено стартиране с помощта на командата на Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -име 'UEFICA2023Status'). UEFICA2023Състояние

Ако състоянието показва "Актуализирано", не е нужно да изпълнявате WinCS и можете да прескочите стъпките по-долу.

Ако сертификатите не са актуализирани до версии от 2023 г., тогава ще са приложими допълнителните стъпки по-долу.

Поддържани от WinCS платформи

Помощната програма за команден ред WinCS се поддържа в Windows 10, версия 21H2, Windows 10, версия 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, версия 23H2, Windows 11, версия 24H2, Windows 11, версия 25H2.

Тази помощна програма е налична в актуализациите на Windows, пуснати на и след 28 октомври 2025 г., за Windows 11, версия 24H2 и Windows 11, версия 23H2.

Тази помощна програма е налична и в актуализациите на Windows, пуснати на и след 11 ноември 2025 г., за Windows 10, версия 21H2, Windows 10, версия 22H2 и Windows Server 2022.

За Windows Server 2019 тази помощна програма се предоставя в актуализациите на Windows, издадени на и след 13 януари 2026 г.

За Windows Server 2016, Windows 10 1607 тази помощна програма се предоставя в актуализациите на Windows, издадени на и след 14 април 2026 г.

А за Windows Server 2012 и Windows Server 2012 R2 (ESU) тази помощна програма се доставя в актуализациите на Windows, издадени на и след 14 април 2026 г.

Ето ключа за конфигуриране на функцията за конфигуриране на защитеното стартиране, който администраторите на домейни ще заявяват и прилагат към устройства чрез WinCS.

Име на функция WinCS ключ Описание
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Разрешаването на този ключ позволява инсталирането на следните нови сертификати за защитено стартиране, предоставени от Microsoft, на вашето устройство.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Стойност на ключа за WinCS:

  • F33E0C8E002 – Състояние на конфигурацията на защитеното стартиране = Разрешено

Как да направите заявка към конфигурацията на защитеното стартиране

Конфигурацията на защитеното стартиране може да бъде заявена чрез отваряне на команден прозорец като администратор и изпълнение на тази команда:

Забележка

WinCsFlags.exe /query --key F33E0C8E002

Това ще върне следната информация (на чиста машина):

Забележка

  • Флаг: F33E0C8E
  • Текуща конфигурация: F33E0C8E001
  • Състояние: Дезактивирано
  • Чакаща конфигурация: няма
  • Чакащо действие: Няма
  • FwLink: https://aka.ms/getsecureboot
  • Налични конфигурации:
  • F33E0C8E002
  • F33E0C8E001

Обърнете внимание, че текущата конфигурация на дадено устройство е F33E0C8E001, което означава, че ключът за защитено стартиране е в дезактивирано състояние.

Как да приложите конфигурация за защитено стартиране

Конфигурацията на защитеното стартиране може да се приложи чрез отваряне на команден прозорец като администратор и изпълнение на тази команда:

Забележка

WinCsFlags.exe /apply --key "F33E0C8E002"

Успешното прилагане на ключа трябва да върне следната информация:

Забележка

  • Флаг: F33E0C8E
  • Текуща конфигурация: F33E0C8E002
  • Състояние: Разрешено
  • Чакаща конфигурация: няма
  • Чакащо действие: Няма
  • FwLink: https://aka.ms/getsecureboot
  • Налични конфигурации:
  • F33E0C8E002
  • F33E0C8E001

Как се проверява конфигурацията на защитеното стартиране

За да определите състоянието на конфигурацията на защитеното стартиране по-късно, можете да изпълните отново командата за първоначална заявка, като отворите команден прозорец като администратор:

Забележка

WinCsFlags.exe /query --key F33E0C8E002

Върнатата информация ще бъде подобна на следната в зависимост от състоянието на флага:

Забележка

  • Флаг: F33E0C8E
  • Текуща конфигурация: F33E0C8E002
  • Състояние: Разрешено
  • Чакаща конфигурация: няма
  • Чакащо действие: Няма
  • FwLink: https://aka.ms/getsecureboot
  • Налични конфигурации:
  • F33E0C8E002
  • F33E0C8E001

Обърнете внимание, че състоянието на ключа сега е разрешено и текущата конфигурация е F33E0C8E002.

Забележка

Забележка: Прилагането на ключа за защитено стартиране чрез WinCS не означава, че процесът на инсталиране на сертификата за защитено стартиране е започнал или е приключил.  Това просто показва, че машината ще продължи с актуализациите на защитеното стартиране, когато задачата за обслужване на защитеното стартиране (TPMTasks) се изпълни на този компютър при следващата възможност. Когато TPMTasks се изпълнява на тази машина, той ще открие 0x5944 и ще извърши актуализацията. По замисъл планираната задача Secure-Boot-Update се изпълнява на всеки 12 часа, за да обработи такива флагове за актуализиране на защитеното стартиране. Администраторите могат също да ускорят това, като ръчно стартират задачата или рестартират, ако желаят.

Можете също така ръчно да активирате задачата за обслужване на защитеното стартиране, като следвате стъпките по-долу:

  1. Отворете подкана на PowerShell като администратор и след това изпълнете следната команда:

    Забележка

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Рестартирайте устройството два пъти след изпълнението на командата, за да потвърдите, че устройството стартира с актуализирана база данни с надеждни подписи (DB).

  3. За бърза проверка дали актуализацията на базата данни за защитено стартиране е успешна, отворете подкана на PowerShell като администратор и след това изпълнете следната команда:

    Забележка

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Защитено стартиране
    Ако командата върне True, актуализацията е успешна.

    В случай на грешки при прилагане на актуализацията на базата данни вижте статията KB5016061: Адресиране на уязвими и отменени диспечери за зареждане.

    Забележка

    Това проверява само един СО, а не всички СО.

  4. За да проверите дали всички сертификати са актуализирани, вижте "Актуализации на сертификата за защитено стартиране": Указания за ИТ професионалисти и организации и следвайте указанията в раздела "Наблюдение на регистрационните файлове на събитията". Този раздел описва ИД на събитие: 1801 и ИД на събитие: 1808 , което е по-пълен начин за проверка дали сертификатите са актуализирани.