Platí pro
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Původní datum publikování: 14. října 2025

ID znalostní báze: 5068197

Tento článek obsahuje pokyny pro: 

  • Organizace, které mají vlastní IT oddělení, které spravuje zařízení a aktualizace s Windows.

Poznámka: Pokud jste osoba, která vlastní osobní zařízení s Windows, přejděte na článek Zařízení s Windows pro domácí uživatele, firmy a školy s aktualizacemi spravovanými Microsoftem

Dostupnost této podpory:  

  • Součástí aktualizací windows vydaných v říjnu 2025 a po ní pro Windows 11 verze 24H2 a Windows 11 verze 23H2.

  • Součástí aktualizací vydaných v listopadu 2025 a po ní pro ostatní verze Windows

Rozhraní příkazového řádku zabezpečeného spouštění pomocí systému Windows Configuration System (WinCS)

Cíl: Správci domény můžou alternativně použít systém Windows Configuration System (WinCS) vydaný s aktualizacemi operačního systému Windows k nasazení aktualizací zabezpečeného spouštění na klienty a servery Windows připojené k doméně. Skládá se z nástroje rozhraní příkazového řádku (CLI) pro dotazování a místní použití konfigurací zabezpečeného spouštění na počítač.  

Služba WinCS pracuje s konfiguračním klíčem, který lze použít s nástrojem příkazového řádku k úpravě stavu konfigurace zabezpečeného spouštění na počítači. Po použití provede další naplánované zabezpečené spouštění akce podle klíče. 

Platformy podporované službou WinCS

Nástroj příkazového řádku WinCS je podporován v Windows 11 verze 23H2 Windows 11 verze 24H2 Windows 11 verze 25H2 v říjnu 2025.  

Poznámka: Pracujeme na tom, abychom tuto podporu WinCS mohli přenést do Windows 10 platforem. Tento článek aktualizujeme, jakmile bude podpora povolená. 

Tady je klíč funkce konfigurace zabezpečeného spouštění, na který se budou správci domény dotazovat a aplikovat na zařízení prostřednictvím winCS. 

Název funkce

Klíč WinCS

Popis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Povolení tohoto klíče umožní instalaci následujících nových certifikátů zabezpečeného spouštění od Microsoftu na vaše zařízení. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Hodnota klíče WinCS: 

  • F33E0C8E002 – stav konfigurace zabezpečeného spouštění = Povoleno

Dotazování konfigurace zabezpečeného spouštění 

Konfigurace zabezpečeného spouštění se dá dotazovat pomocí následujícího příkazového řádku:

WinCsFlags.exe /query -key F33E0C8E002

Tím se vrátí následující informace (na čistém počítači): 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E001

  Stav: Zakázáno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná  

  FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001 

Všimněte si, že aktuální konfigurace zařízení je F33E0C8E001, což znamená, že klíč zabezpečeného spouštění je ve stavu Zakázáno .  

Jak použít konfiguraci zabezpečeného spouštění  

Konkrétní konfiguraci pro povolení certifikátů zabezpečeného spouštění je možné nakonfigurovat následujícím způsobem: 

WinCsFlags /apply –key “F33E0C8E002”

Úspěšné použití klíče by mělo vrátit následující informace: 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E002

  Stav: Povoleno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná

  FwLink: https://aka.ms/getsecureboot 

 Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001  

Audit konfigurace zabezpečeného spouštění  

Pokud chcete později zjistit stav konfigurace zabezpečeného spouštění, můžete znovu použít příkaz počátečního dotazu: 

WinCsFlags.exe /query -key F33E0C8E002 

Vrácené informace budou podobné následujícímu v závislosti na stavu příznaku: 

Příznak: F33E0C8E 

  Aktuální konfigurace: F33E0C8E002

  Stav: Povoleno

  Čekající konfigurace: Žádná 

  Čekající akce: Žádná

  FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurace: 

    F33E0C8E002 

    F33E0C8E001  

Všimněte si, že stav klíče je nyní Povoleno a aktuální konfigurace je F33E0C8E002. 

Poznámka: Použití klíče zabezpečeného spouštění přes WinCS neznamená, že se proces instalace certifikátu zabezpečeného spouštění spustil nebo dokončil.  Pouze to znamená, že počítač bude pokračovat v aktualizacích zabezpečeného spouštění, když se na něm při další dostupné příležitosti spustí servisní úloha zabezpečeného spouštění (TPMTasks). Když se na počítači spustí čip TPMTasks, zjistí 0x5944 a provede aktualizaci. Naplánovaná úloha zabezpečeného spouštění a aktualizace se záměrně spouští každých 12 hodin, aby tyto příznaky aktualizace zabezpečeného spouštění zpracovávala. Správci můžou také urychlit ručním spuštěním úlohy nebo restartováním, pokud je to potřeba.  

Úlohu údržby zabezpečeného spouštění můžete také aktivovat ručně pomocí následujících kroků: 

  1. Otevřete powershellový řádek jako správce a pak spusťte následující příkaz:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Po spuštění příkazu dvakrát restartujte zařízení, abyste potvrdili, že zařízení začíná s aktualizovanou databází důvěryhodných podpisů (DB).

  3. Pokud chcete ověřit, že aktualizace databáze zabezpečeného spouštění proběhla úspěšně, otevřete jako správce příkazOvý řádek PowerShellu a spusťte následující příkaz: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Zabezpečené spouštění

    Pokud příkaz vrátí hodnotu True, aktualizace byla úspěšná.V případě chyb při instalaci aktualizace databáze si přečtěte článek KB5016061: Řešení problémů s ohroženými a odvolaných správců spouštění

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti