Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 14. října 2025

ID znalostní báze: 5068197

Změnit datum

Změnit popis

16. dubna. 2026

  • Odebrali jsme část Dostupnost této podpory, protože informace jsou obsažené v části Podporované platformy WinCS.

úterý 10. dubna 2026

  • Aktualizováno datum pro Windows 10 1607 / Windows Server 2016 v části Podporované platformy WinCS.

  • Byla přidána nová podpora platformy pro Windows Server 2012 a Windows Server 2012 R2 (ESU) v části Podporované platformy WinCS.

středa 20. února 2026

  • Přidání nového oddílu "První kontrola, jestli se na vaší platformě aktualizují certifikáty zabezpečeného spouštění"

úterý 16. prosince 2025

  • Opravili jsme příkazový řádek v části Jak použít konfiguraci zabezpečeného spouštění, protože obsahoval nesprávné znaky.Komu: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Opravili jsme příkazový řádek v části "Audit konfigurace zabezpečeného spouštění", protože na konci řádku obsahoval mezeru.Komu: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • V části "Dostupnost této podpory" jsme přidali, že Windows 10 verze 21H2 a 22H2 a Windows Server 2022 jsou přidány do vydaných verzí s datem 11. listopadu 2025 a po něm. V aktualizacích vydaných během prvního čtvrtletí 2026 bude navíc zahrnuta podpora dalších verzí Windows.

úterý 11. prosince 2025

  • Změna kroku 3 v části Jak auditovat konfiguraci zabezpečeného spouštění:Od: Pokud chcete ověřit, že aktualizace databáze zabezpečeného spouštění proběhla úspěšně, otevřete jako správce příkaz PowerShellu a spusťte následující příkaz: Komu: Pokud chcete rychle zkontrolovat, jestli byla aktualizace databáze zabezpečeného spouštění úspěšná, otevřete jako správce příkaz PowerShellu a spusťte následující příkaz:

  • Přidání kroku 4 do části Audit konfigurace zabezpečeného spouštění: Pokud chcete ověřit, že jsou všechny certifikáty aktualizované, přečtěte si téma Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace a postupujte podle pokynů v části Monitorování protokolů událostí. Tato část obsahuje SEZNAM ID události: 1801 a ID události 1808 , což je úplný způsob, jak auditovat, že se certifikáty aktualizovaly.

Rozhraní příkazového řádku zabezpečeného spouštění pomocí systému Windows Configuration System (WinCS)

Cíl: Správci domény můžou alternativně použít systém Windows Configuration System (WinCS) vydaný s aktualizacemi operačního systému Windows k nasazení aktualizací zabezpečeného spouštění na klienty a servery Windows připojené k doméně. Skládá se z nástroje rozhraní příkazového řádku (CLI) pro dotazování a místní použití konfigurací zabezpečeného spouštění na počítač.  

Služba WinCS pracuje s konfiguračním klíčem, který lze použít s nástrojem příkazového řádku k úpravě stavu konfigurace zabezpečeného spouštění na počítači. Po použití provede další naplánované zabezpečené spouštění akce podle klíče. 

Nejprve zkontrolujte, jestli jsou na vaší platformě aktualizované certifikáty zabezpečeného spouštění. 

Stav zabezpečeného spouštění můžete zkontrolovat pomocí příkazu PowerShellu:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Pokud se v seznamu Stav zobrazuje "Aktualizováno", nemusíte spouštět WinCS a můžete přeskočit následující kroky.

Pokud certifikáty nejsou aktualizovány na verze 2023, platí následující další kroky.

Platformy podporované službou WinCS

Nástroj příkazového řádku WinCS je podporován v Windows 10 verze 21H2, Windows 10, verze 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, verze 23H2, Windows 11, verze 24H2, Windows 11 verze 25H2.

Tento nástroj je k dispozici v aktualizacích systému Windows vydaných 28. října 2025 a po Windows 11 verze 24H2 a Windows 11 verze 23H2.

Tento nástroj je také k dispozici v aktualizacích systému Windows vydaných 11. listopadu 2025 a později pro Windows 10 verze 21H2, Windows 10, verze 22H2 a Windows Server 2022.

Pro Windows Server 2019 se tento nástroj dodává v aktualizacích Windows vydaných 13. ledna 2026 a později. 

Pro Windows Server 2016, Windows 10 1607, se tento nástroj dodává v aktualizacích Windows vydaných 14. dubna 2026 a později.

A pro Windows Server 2012 a Windows Server 2012 R2 (ESU) se tento nástroj dodává v aktualizacích Windows vydaných 14. dubna 2026 a později.

Tady je klíč funkce konfigurace zabezpečeného spouštění, na který se budou správci domény dotazovat a aplikovat na zařízení prostřednictvím winCS. 

Název funkce

Klíč WinCS

Popis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Povolení tohoto klíče umožní instalaci následujících nových certifikátů zabezpečeného spouštění od Microsoftu na vaše zařízení. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Hodnota klíče WinCS: 

  • F33E0C8E002 – stav konfigurace zabezpečeného spouštění = Povoleno

Dotazování konfigurace zabezpečeného spouštění 

Konfiguraci zabezpečeného spouštění je možné dotazovat otevřením příkazového řádku jako správce a spuštěním tohoto příkazu:

WinCsFlags.exe /query --key F33E0C8E002

Tím se vrátí následující informace (na čistém počítači): 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E001

  Stav: Zakázáno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná  

  FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001 

Všimněte si, že aktuální konfigurace zařízení je F33E0C8E001, což znamená, že klíč zabezpečeného spouštění je ve stavu Zakázáno .  

Jak použít konfiguraci zabezpečeného spouštění  

Konfiguraci zabezpečeného spouštění můžete použít tak, že otevřete příkazový řádek jako správce a spustíte tento příkaz:

WinCsFlags.exe /apply --key "F33E0C8E002"

Úspěšné použití klíče by mělo vrátit následující informace: 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E002

  Stav: Povoleno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná

  FwLink: https://aka.ms/getsecureboot 

 Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001  

Audit konfigurace zabezpečeného spouštění  

Pokud chcete později zjistit stav konfigurace zabezpečeného spouštění, můžete znovu spustit příkaz počátečního dotazu tak, že otevřete příkazový řádek jako správce:

WinCsFlags.exe /query --key F33E0C8E002

Vrácené informace budou podobné následujícímu v závislosti na stavu příznaku: 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E002

  Stav: Povoleno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná

  FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001  

Všimněte si, že stav klíče je nyní Povoleno a aktuální konfigurace je F33E0C8E002. 

Poznámka: Použití klíče zabezpečeného spouštění přes WinCS neznamená, že se proces instalace certifikátu zabezpečeného spouštění spustil nebo dokončil.  Pouze to znamená, že počítač bude pokračovat v aktualizacích zabezpečeného spouštění, když se na něm při další dostupné příležitosti spustí servisní úloha zabezpečeného spouštění (TPMTasks). Když se na počítači spustí čip TPMTasks, zjistí 0x5944 a provede aktualizaci. Naplánovaná úloha zabezpečeného spouštění a aktualizace se záměrně spouští každých 12 hodin, aby tyto příznaky aktualizace zabezpečeného spouštění zpracovávala. Správci můžou také urychlit ručním spuštěním úlohy nebo restartováním, pokud je to potřeba.  

Úlohu údržby zabezpečeného spouštění můžete také aktivovat ručně pomocí následujících kroků: 

  1. Otevřete powershellový řádek jako správce a pak spusťte následující příkaz:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Po spuštění příkazu dvakrát restartujte zařízení, abyste potvrdili, že zařízení začíná s aktualizovanou databází důvěryhodných podpisů (DB).

  3. Pokud chcete rychle zkontrolovat, jestli byla aktualizace zabezpečeného spouštění databáze úspěšná, otevřete jako správce příkaz PowerShellu a spusťte následující příkaz: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Zabezpečené spouštění

    Pokud příkaz vrátí hodnotu True, aktualizace byla úspěšná.V případě chyb při instalaci aktualizace databáze si přečtěte článek KB5016061: Řešení problémů s ohroženými a odvolaných správců spouštění.

    Poznámka: Kontroluje se jenom jedna certifikační autorita, a ne všechny certifikační autority.

  4. Pokud chcete ověřit, že jsou všechny certifikáty aktualizované, přečtěte si téma Aktualizace certifikátů zabezpečeného spouštění: Pokyny pro IT profesionály a organizace a postupujte podle pokynů v části Monitorování protokolů událostí. Tato část obsahuje SEZNAM ID události: 1801 a ID události: 1808 , což je úplnější způsob, jak auditovat, že se certifikáty aktualizovaly.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti