Отнася се за
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Първоначална дата на публикуване: 14 октомври 2025 г.

ИД на КБ: 5068197

Тази статия има указания за: 

  • Организации, които имат собствен ИТ отдел, който управлява устройства и актуализации на Windows.

Забележка: Ако сте лице, което притежава лично устройство с Windows, отидете на статията Устройства с Windows за домашни потребители, фирми и училища с актуализации, управлявани от Microsoft

Наличност на тази поддръжка:  

  • Включен в актуализациите на Windows, издадени на и след 28 октомври 2025 г., за Windows 11, версия 24H2 и Windows 11, версия 23H2.

  • Включен в актуализациите, издадени на и след 11 ноември 2025 г., за други версии на Windows.

CLI за защитено стартиране с помощта на системата за конфигуриране на Windows (WinCS)

Цел: Администраторите на домейни могат като алтернатива да използват системата за конфигуриране на Windows (WinCS ), издадена с актуализациите на ОС Windows, за да разполагат актуализациите на защитеното стартиране на присъединени с домейн клиенти и сървъри на Windows. Тя се състои от помощна програма за интерфейс на командния ред (CLI) за заявки и локално прилагане на конфигурации на защитено стартиране към компютъра.  

WinCS работи извън конфигурационен ключ, който може да се използва с помощната програма за команден ред за промяна на състоянието на конфигурацията на защитеното стартиране на компютъра. След като бъде приложено, следващото планирано защитено стартиране ще извърши действия според ключа. 

Поддържани платформи за WinCS

Помощната програма за команден ред на WinCS се поддържа в Windows 11, версия 23H2, Windows 11, версия 24H2, Windows 11, версия 25H2. Тази помощна програма е налична в актуализациите на Windows, издадени на и след 28 октомври 2025 г., за Windows 11, версия 24H2 и Windows 11, версия 23H2.

Забележка: Работим по привеждането на тази поддръжка за WinCS в Windows 10 платформи. Ще актуализираме тази статия веднага щом поддръжката бъде разрешена. 

Ето ключа на функцията за конфигурация на защитеното стартиране, който администраторите на домейни ще заявлят и прилагат за устройства чрез WinCS. 

Име на функция

Ключ за WinCS

Описание

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Разрешаването на този ключ позволява инсталирането на следните предоставени от Microsoft нови сертификати за защитено стартиране на вашето устройство. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Стойност на ключа WinCS: 

  • F33E0C8E002 – състояние на конфигурацията на защитеното стартиране = разрешено

Как се извършва заявка за конфигуриране на защитено стартиране 

Конфигурацията на защитеното стартиране може да бъде заявена със следния команден ред:

WinCsFlags.exe /query --key F33E0C8E002

Това ще върне следната информация (на чиста машина): 

Флаг: F33E0C8E 

  Текуща конфигурация: F33E0C8E001

  Състояние: дезактивирано

  Чакаща конфигурация: няма 

  Чакащо действие: няма  

  FwLink: https://aka.ms/getsecureboot 

  Налични конфигурации: 

    F33E0C8E002 

    F33E0C8E001 

Обърнете внимание, че текущата конфигурация на устройство е F33E0C8E001, което означава, че ключът за защитено стартиране е в дезактивирано състояние.  

Как се прилага конфигурацията на защитеното стартиране  

Конкретната конфигурация за разрешаване на сертификати за защитено стартиране може да бъде конфигурирана по следния начин: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Успешното прилагане на ключа трябва да върне следната информация: 

Флаг: F33E0C8E 

  Текуща конфигурация: F33E0C8E002

  Състояние: Разрешено

  Чакаща конфигурация: няма 

  Чакащо действие: няма

  FwLink: https://aka.ms/getsecureboot 

 Налични конфигурации: 

    F33E0C8E002 

    F33E0C8E001  

Как се проверява конфигурацията на защитеното стартиране  

За да определите състоянието на конфигурацията на защитеното стартиране по-късно, можете да използвате повторно първоначалната команда на заявката: 

WinCsFlags.exe /query – ключ F33E0C8E002 

Върнатата информация ще бъде подобна на следната в зависимост от състоянието на флага: 

Флаг: F33E0C8E 

  Текуща конфигурация: F33E0C8E002

  Състояние: Разрешено

  Чакаща конфигурация: няма 

  Чакащо действие: няма

  FwLink: https://aka.ms/getsecureboot 

  Налични конфигурации: 

    F33E0C8E002 

    F33E0C8E001  

Обърнете внимание, че състоянието на ключа сега е разрешено и текущата конфигурация е F33E0C8E002. 

Бележка: Прилагането на ключа за защитено стартиране чрез WinCS не означава, че процесът на инсталиране на сертификат за защитено стартиране е стартиран или е завършил.  Това само означава, че машината ще продължи с актуализации на защитеното стартиране, когато задачата за обслужване на защитеното стартиране (TPMTasks) се изпълнява на този компютър при следващата налична възможност. Когато TPMTasks се изпълнява на този компютър, той ще открие 0x5944 и ще извърши актуализацията. По замисъл планираната задача за защитено стартиране на актуализацията се изпълнява на всеки 12 часа, за да обработи тези флагове за актуализация на защитеното стартиране. Администраторите могат също така да ускорят работата чрез ръчно изпълнение на задачата или рестартиране, ако желаете.  

Можете също така ръчно да активирате задачата за обслужване на защитеното стартиране, като следвате стъпките по-долу: 

  1. Отворете подкана на PowerShell като администратор и след това изпълнете следната команда:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Рестартирайте устройството два пъти след изпълнение на командата, за да потвърдите, че устройството започва с актуализираната база данни с надеждни подписи (DB).

  3. За да проверите дали актуализацията на базата данни за защитено стартиране е успешна, отворете подкана на PowerShell като администратор и след това изпълнете следната команда: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) - match 'Windows UEFI CA 2023'

    Защитено стартиране

    Ако командата връща True, актуализацията е успешна.В случай на грешки при прилагане на актуализацията на базата данни вж. статията KB5016061: Адресиране на уязвими и анулирани диспечери на зареждане

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност