Забележка
- Първоначална дата на публикуване: 14 октомври 2025 г.
- ИД на БЗ: 5068197
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 16 април. 2026 |
|
| 10 април 2026 г. |
|
| 20 февруари 2026 г. |
|
| 16 декември 2025 г. |
|
| 11 декември 2025 г. |
|
CLI за защитено стартиране с помощта на системата за конфигуриране на Windows (WinCS)
Цел: Домейновите администратори могат алтернативно да използват системата за конфигуриране на Windows (WinCS), издадена с актуализации за операционната система Windows, за да разположат актуализациите на защитеното стартиране в присъединени към домейна клиенти и сървъри на Windows. Тя се състои от помощна програма за интерфейс за командния ред (CLI) за заявки и локално прилагане на конфигурации на защитеното стартиране към компютър.
WinCS работи с конфигурационен ключ, който може да се използва с помощната програма за команден ред за промяна на състоянието на конфигурацията на защитеното стартиране на машината. След като бъде приложено, следващото планирано защитено стартиране ще извърши действия според ключа.
Първо проверете дали сертификатите за защитено стартиране са актуализирани във вашата платформа
Можете да проверите състоянието на защитено стартиране с помощта на командата на Powershell:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -име 'UEFICA2023Status'). UEFICA2023Състояние
Ако състоянието показва "Актуализирано", не е нужно да изпълнявате WinCS и можете да прескочите стъпките по-долу.
Ако сертификатите не са актуализирани до версии от 2023 г., тогава ще са приложими допълнителните стъпки по-долу.
Поддържани от WinCS платформи
Помощната програма за команден ред WinCS се поддържа в Windows 10, версия 21H2, Windows 10, версия 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, версия 23H2, Windows 11, версия 24H2, Windows 11, версия 25H2.
Тази помощна програма е налична в актуализациите на Windows, пуснати на и след 28 октомври 2025 г., за Windows 11, версия 24H2 и Windows 11, версия 23H2.
Тази помощна програма е налична и в актуализациите на Windows, пуснати на и след 11 ноември 2025 г., за Windows 10, версия 21H2, Windows 10, версия 22H2 и Windows Server 2022.
За Windows Server 2019 тази помощна програма се предоставя в актуализациите на Windows, издадени на и след 13 януари 2026 г.
За Windows Server 2016, Windows 10 1607 тази помощна програма се предоставя в актуализациите на Windows, издадени на и след 14 април 2026 г.
А за Windows Server 2012 и Windows Server 2012 R2 (ESU) тази помощна програма се доставя в актуализациите на Windows, издадени на и след 14 април 2026 г.
Ето ключа за конфигуриране на функцията за конфигуриране на защитеното стартиране, който администраторите на домейни ще заявяват и прилагат към устройства чрез WinCS.
| Име на функция | WinCS ключ | Описание |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Разрешаването на този ключ позволява инсталирането на следните нови сертификати за защитено стартиране, предоставени от Microsoft, на вашето устройство.
|
Стойност на ключа за WinCS:
- F33E0C8E002 – Състояние на конфигурацията на защитеното стартиране = Разрешено
Как да направите заявка към конфигурацията на защитеното стартиране
Конфигурацията на защитеното стартиране може да бъде заявена чрез отваряне на команден прозорец като администратор и изпълнение на тази команда:
Забележка
WinCsFlags.exe /query --key F33E0C8E002
Това ще върне следната информация (на чиста машина):
Забележка
- Флаг: F33E0C8E
- Текуща конфигурация: F33E0C8E001
- Състояние: Дезактивирано
- Чакаща конфигурация: няма
- Чакащо действие: Няма
- FwLink: https://aka.ms/getsecureboot
- Налични конфигурации:
- F33E0C8E002
- F33E0C8E001
Обърнете внимание, че текущата конфигурация на дадено устройство е F33E0C8E001, което означава, че ключът за защитено стартиране е в дезактивирано състояние.
Как да приложите конфигурация за защитено стартиране
Конфигурацията на защитеното стартиране може да се приложи чрез отваряне на команден прозорец като администратор и изпълнение на тази команда:
Забележка
WinCsFlags.exe /apply --key "F33E0C8E002"
Успешното прилагане на ключа трябва да върне следната информация:
Забележка
- Флаг: F33E0C8E
- Текуща конфигурация: F33E0C8E002
- Състояние: Разрешено
- Чакаща конфигурация: няма
- Чакащо действие: Няма
- FwLink: https://aka.ms/getsecureboot
- Налични конфигурации:
- F33E0C8E002
- F33E0C8E001
Как се проверява конфигурацията на защитеното стартиране
За да определите състоянието на конфигурацията на защитеното стартиране по-късно, можете да изпълните отново командата за първоначална заявка, като отворите команден прозорец като администратор:
Забележка
WinCsFlags.exe /query --key F33E0C8E002
Върнатата информация ще бъде подобна на следната в зависимост от състоянието на флага:
Забележка
- Флаг: F33E0C8E
- Текуща конфигурация: F33E0C8E002
- Състояние: Разрешено
- Чакаща конфигурация: няма
- Чакащо действие: Няма
- FwLink: https://aka.ms/getsecureboot
- Налични конфигурации:
- F33E0C8E002
- F33E0C8E001
Обърнете внимание, че състоянието на ключа сега е разрешено и текущата конфигурация е F33E0C8E002.
Забележка
Забележка: Прилагането на ключа за защитено стартиране чрез WinCS не означава, че процесът на инсталиране на сертификата за защитено стартиране е започнал или е приключил. Това просто показва, че машината ще продължи с актуализациите на защитеното стартиране, когато задачата за обслужване на защитеното стартиране (TPMTasks) се изпълни на този компютър при следващата възможност. Когато TPMTasks се изпълнява на тази машина, той ще открие 0x5944 и ще извърши актуализацията. По замисъл планираната задача Secure-Boot-Update се изпълнява на всеки 12 часа, за да обработи такива флагове за актуализиране на защитеното стартиране. Администраторите могат също да ускорят това, като ръчно стартират задачата или рестартират, ако желаят.
Можете също така ръчно да активирате задачата за обслужване на защитеното стартиране, като следвате стъпките по-долу:
Отворете подкана на PowerShell като администратор и след това изпълнете следната команда:
Забележка
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Рестартирайте устройството два пъти след изпълнението на командата, за да потвърдите, че устройството стартира с актуализирана база данни с надеждни подписи (DB).
За бърза проверка дали актуализацията на базата данни за защитено стартиране е успешна, отворете подкана на PowerShell като администратор и след това изпълнете следната команда:
Забележка
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Ако командата върне True, актуализацията е успешна.В случай на грешки при прилагане на актуализацията на базата данни вижте статията KB5016061: Адресиране на уязвими и отменени диспечери за зареждане.
Забележка
Това проверява само един СО, а не всички СО.
За да проверите дали всички сертификати са актуализирани, вижте "Актуализации на сертификата за защитено стартиране": Указания за ИТ професионалисти и организации и следвайте указанията в раздела "Наблюдение на регистрационните файлове на събитията". Този раздел описва ИД на събитие: 1801 и ИД на събитие: 1808 , което е по-пълен начин за проверка дали сертификатите са актуализирани.