PowerShell: Използване на параметъра -Decoded в Get-SecureBootUEFI

Отнася се за
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Забележка

Първоначална дата на публикуване: 28 април 2026 г.
ИД на БЗ: 5093574

Забележка

Параметърът -Decoded е добавен към кратките команди на PowerShell Get-SecureBootUEFI в месечните кумулативни актуализации от 14 април 2026 г. и актуализациите, издадени след тази дата.

Въведение

Кратката команда Get-SecureBootUEFI PowerShell извлича променливи на защитеното стартиране на UEFI, като например PK (ключ за платформа), KEK (ключ за обмен на ключ), DB (разрешена база данни за подписи) и DBX (анулирана база данни за подписи). Тези променливи обикновено връщат необработени двоични данни, които може да бъдат трудни за директно тълкуване.

Новият параметър -Decoded осигурява по-достъпен изглед на тази информация.

Какво прави параметърът -Decoded?

Когато използвате параметъра -Decoded , кратката команда показва съдържанието на базите данни със защитено стартиране в четлив за хората формат. Вместо необработени байтове, тя декодира и представя базовите данни, включително сертификати, хешове и свързаните метаданни, съхранени в променливи, удостоверени от UEFI.

При параметъра -Decoded резултатът включва четлива информация за сертификата, като например:

  • Тема (например Microsoft Windows Production PCA 2011)
  • Алгоритъм и версия
  • Сериен номер
  • Срок на валидност

Това улеснява да:

  • Проверка на елементите на защитеното стартиране, като например сертификати, хешове и публични ключове
  • Преглед на свойствата на сертификата, като тема, издател и дати на валидност
  • По-лесно разбирате какво се доверява в PK, KEK и DB и какво се анулира в DBX без допълнително анализиране

НАПРИМЕР:

Използване на команди в PowerShell:

Забележка

Get-SecureBootUEFI -Name db -Decoded

Командата връща:

Забележка

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Кога да се използва

Използвайте параметъра -Decoded , когато трябва да анализирате или проверите конфигурацията на защитеното стартиране, а не да извличате техните необработени стойности.

Научете повече

За пълни подробности за кратките команди, параметри и допълнителни примери вижте документацията на Get-SecureBootUEFI .

Забележка

В препратката към документацията все още не е включен параметърът -Decoded . Документацията ще бъде актуализирана при бъдеща редакция.

Регистър на промените

Промяна на датата Описание на промяната
30 април 2026 г.
  • Добавен е описателен текст за променливите на защитеното стартиране на UEFI PK, KEK, DB и DBX в раздела "Въведение"
  • Добавена е "Забележка", която показва, че параметърът -Decoded е добавен в месечната актуализация на защитата за април 2026 г.