Se aplica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Fecha de publicación original: 14 de octubre de 2025

KB ID: 5068197

Este artículo tiene instrucciones para: 

  • Organizaciones que tienen su propio departamento de TI administrando actualizaciones y dispositivos Windows.

Nota: Si eres una persona que posee un dispositivo Windows personal, consulta el artículo Dispositivos Windows para usuarios domésticos, empresas y escuelas con actualizaciones administradas por Microsoft

Disponibilidad de este soporte técnico:  

  • Incluidas en las actualizaciones de Windows publicadas el 28 de octubre de 2025 y después, para Windows 11, versión 24H2 y Windows 11, versión 23H2.

  • Incluidas en las actualizaciones publicadas el 11 de noviembre de 2025 y posteriores para otras versiones de Windows.

CLI de arranque seguro mediante el sistema de configuración de Windows (WinCS)

Objetivo: los administradores de dominios pueden usar alternativamente el Sistema de configuración de Windows (WinCS) publicado con actualizaciones del sistema operativo Windows para implementar las actualizaciones de arranque seguro en los clientes y servidores de Windows unidos a un dominio. Consiste en una utilidad de interfaz de línea de comandos (CLI) para consultar y aplicar configuraciones de arranque seguro localmente a un equipo.  

WinCS funciona con una clave de configuración que se puede usar con la utilidad de línea de comandos para modificar el estado de configuración de arranque seguro en el equipo. Una vez aplicado, el siguiente arranque seguro programado realizará acciones según la clave. 

Plataformas compatibles con WinCS

La utilidad de línea de comandos de WinCS es compatible con Windows 11, versión 23H2, Windows 11, versión 24H2, Windows 11, versión 25H2. Esta utilidad está disponible en las actualizaciones de Windows publicadas el 28 de octubre de 2025 y después, para Windows 11, versión 24H2 y Windows 11, versión 23H2.

Nota: Estamos trabajando en traer este soporte de WinCS a las plataformas Windows 10. Actualizaremos este artículo tan pronto como se habilite el soporte técnico. 

Esta es la clave de la característica de configuración de arranque seguro que los administradores de dominio consultarán y aplicarán a los dispositivos a través de WinCS. 

Nombre de característica

Tecla WinCS

Descripción

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Habilitar esta clave permite la instalación de los siguientes certificados de arranque seguro proporcionados por Microsoft en el dispositivo. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Valor de clave de WinCS: 

  • F33E0C8E002: estado de configuración de arranque seguro = Habilitado

Cómo consultar la configuración de arranque seguro 

La configuración de arranque seguro se puede consultar con la siguiente línea de comandos:

WinCsFlags.exe /query --key F33E0C8E002

Esto devolverá la siguiente información (en una máquina limpia): 

Marca: F33E0C8E 

  Configuración actual: F33E0C8E001

  Estado: Deshabilitado

  Configuración pendiente: Ninguna 

  Acción pendiente: Ninguna  

  FwLink: https://aka.ms/getsecureboot 

  Configuraciones disponibles: 

    F33E0C8E002 

    F33E0C8E001 

Observe que la configuración actual de un dispositivo está F33E0C8E001, lo que significa que la clave de arranque seguro está en estado deshabilitado .  

Cómo aplicar la configuración de arranque seguro  

La configuración específica para habilitar certificados de arranque seguro se puede configurar de la siguiente manera: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Una aplicación correcta de la clave debería devolver la siguiente información: 

Marca: F33E0C8E 

  Configuración actual: F33E0C8E002

  Estado: Habilitado

  Configuración pendiente: Ninguna 

  Acción pendiente: Ninguna

  FwLink: https://aka.ms/getsecureboot 

 Configuraciones disponibles: 

    F33E0C8E002 

    F33E0C8E001  

Cómo auditar la configuración de arranque seguro  

Para determinar el estado de la configuración de arranque seguro más adelante, puede volver a usar el comando de consulta inicial: 

WinCsFlags.exe /query --key F33E0C8E002 

La información devuelta será similar a la siguiente, según el estado de la marca: 

Marca: F33E0C8E 

  Configuración actual: F33E0C8E002

  Estado: Habilitado

  Configuración pendiente: Ninguna 

  Acción pendiente: Ninguna

  FwLink: https://aka.ms/getsecureboot 

  Configuraciones disponibles: 

    F33E0C8E002 

    F33E0C8E001  

Observe que el estado de la clave ahora es Habilitado y que la configuración actual está F33E0C8E002. 

Nota: La aplicación de la clave de arranque seguro a través de WinCS no significa que el proceso de instalación del certificado de arranque seguro se haya iniciado o finalizado.  Simplemente indica que el equipo procederá con actualizaciones de arranque seguro cuando la tarea de mantenimiento de arranque seguro (TPMTasks) se ejecute en ese equipo en la próxima oportunidad disponible. Cuando TPMTasks se ejecute en ese equipo, detectará 0x5944 y llevará a cabo la actualización. Por motivos de diseño, la tarea programada de actualización de arranque seguro se ejecuta cada 12 horas para procesar dichas marcas de actualización de arranque seguro. Los administradores también pueden acelerar la ejecución manual de la tarea o el reinicio, si se desea.  

También puedes desencadenar manualmente la tarea de mantenimiento de arranque seguro siguiendo estos pasos: 

  1. Abra un símbolo del sistema de PowerShell como administrador y, a continuación, ejecute el siguiente comando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Reinicia el dispositivo dos veces después de ejecutar el comando para confirmar que el dispositivo comienza con la base de datos actualizada de firmas de confianza (DB).

  3. Para comprobar que la actualización de la base de datos de arranque seguro se realizó correctamente, abra un símbolo del sistema de PowerShell como administrador y, a continuación, ejecute el siguiente comando: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Arranque seguro

    Si el comando devuelve True, la actualización se realizó correctamente.En el caso de errores al aplicar la actualización de la base de datos, consulta el artículo KB5016061: Abordar los administradores de arranque vulnerables y revocados

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad