Rakenduskoht
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Avaldamise algne kuupäev: 14. oktoober 2025

KB ID: 5068197

Selles artiklis on toodud juhised järgmiseks. 

  • Ettevõtted, millel on oma IT-osakond, kes haldavad Windowsi seadmeid ja värskendusi.

Märkus. Kui olete isik, kes omab isiklikku Windowsi seadet, lugege artiklit Windowsi seadmed kodukasutajatele, ettevõtetele ja koolidele Koos Microsofti hallatavate värskendustega

Selle toe kättesaadavus:  

  • Sisaldub Windowsi värskendustes, mis on välja antud 28. oktoobril 2025 ja hiljem Windows 11 versiooni 24H2 ja Windows 11 versiooni 23H2 jaoks.

  • Sisaldub windowsi muude versioonide jaoks välja antud värskendustes, mis on välja antud 11. novembril 2025 ja pärast seda.

Secure Boot CLI using Windows Configuration System (WinCS)

Eesmärk: domeeniadministraatorid saavad turvalise algkäivituse värskenduste juurutamiseks kõigis domeeniga liitunud Windowsi klientrakendustes ja serverites kasutada ka Windowsi konfiguratsioonisüsteemi (WinCS) välja antud Windowsi konfiguratsioonisüsteemi (WinCS ). See koosneb käsurealiidese (CLI) utiliidist, mille abil saab teha päringuid ja rakendada seadmele kohalikult secure Booti konfiguratsioone.  

WinCS töötab konfiguratsioonivõtmega, mida saab kasutada käsureautiliidiga arvuti Secure Booti konfiguratsioonioleku muutmiseks. Pärast rakendamist sooritab järgmine ajastatud Secure Boot toimingud võtme järgi. 

WinCS-i toetatud platvormid

WinCS-i käsureautiliiti toetatakse Windows 11 versioonis 23H2 Windows 11 versioonis 24H2 Windows 11 versioonis 25H2. See utiliit on saadaval Windowsi värskendustes, mis on välja antud 28. oktoobril 2025 ja hiljem Windows 11 versiooni 24H2 ja Windows 11 versiooni 23H2 jaoks.

Märkus. Tegeleme selle WinCS-i toe toomisega Windows 10 platvormidele. Värskendame seda artiklit kohe, kui tugi on lubatud. 

Siin on Secure Booti konfigureerimise funktsioonivõti, mida domeeni administraatorid saavad WinCS-i kaudu seadmetele esitada ja rakendada. 

Funktsiooni nimi

WinCS-i võti

Kirjeldus

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Selle võtme lubamine võimaldab teie seadmesse installida järgmised Microsofti pakutava turvalise algkäivituse uued serdid. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-i võtme väärtus: 

  • F33E0C8E002 – Secure Booti konfigureerimisolek = lubatud

Secure Booti konfiguratsiooni päringu esitamine 

Secure Booti konfiguratsiooni saab esitada järgmise käsureaga:

WinCsFlags.exe /query --key F33E0C8E002

See tagastab järgmise teabe (puhtas seadmes): 

Lipp: F33E0C8E 

  Praegune konfiguratsioon: F33E0C8E001

  Olek: keelatud

  Konfigureerimise ootel: pole 

  Ootel toiming: pole  

  FwLink: https://aka.ms/getsecureboot 

  Saadaolevad konfiguratsioonid: 

    F33E0C8E002 

    F33E0C8E001 

Pange tähele, et seadme praegune konfiguratsioon on F33E0C8E001, mis tähendab, et Secure Booti võti on keelatud olekus.  

Secure Booti konfiguratsiooni rakendamine  

Secure Booti sertide lubamise konkreetse konfiguratsiooni saab konfigureerida järgmiselt: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Võtme edukas rakendamine peaks tagastama järgmise teabe: 

Lipp: F33E0C8E 

  Praegune konfiguratsioon: F33E0C8E002

  Olek: lubatud

  Konfigureerimise ootel: pole 

  Ootel toiming: pole

  FwLink: https://aka.ms/getsecureboot 

 Saadaolevad konfiguratsioonid: 

    F33E0C8E002 

    F33E0C8E001  

Secure Booti konfiguratsiooni auditeerimine  

Secure Booti konfiguratsiooni oleku hiljem määramiseks saate algset päringukäsku uuesti kasutada. 

WinCsFlags.exe /päring – võtme F33E0C8E002 

Olenevalt lipu olekust on tagastatud teave sarnane järgmisega: 

Lipp: F33E0C8E 

  Praegune konfiguratsioon: F33E0C8E002

  Olek: lubatud

  Konfigureerimise ootel: pole 

  Ootel toiming: pole

  FwLink: https://aka.ms/getsecureboot 

  Saadaolevad konfiguratsioonid: 

    F33E0C8E002 

    F33E0C8E001  

Pange tähele, et võtme olek on nüüd Lubatud ja praegune konfiguratsioon on F33E0C8E002. 

Märkus. Secure Booti võtme rakendamine WinCS-i kaudu ei tähenda, et Secure Booti serdi installimine on käivitatud või lõpetatud.  See tähistab ainult seda, et arvuti jätkab secure Booti värskendustega, kui Secure Booti teenindusülesanne (TPMTasks) töötab selles arvutis järgmisel saadaoleval võimalusel. Kui TPMTasks selles arvutis töötab, tuvastab see 0x5944 ja viib värskenduse läbi. Secure-Boot-Update'i ajastatud toiming käivitatakse iga 12 tunni järel selliste Secure Booti värskenduste lippude töötlemiseks. Administraatorid saavad toimingut ka käsitsi käivitada või soovi korral taaskäivitada.  

Secure Booti teenindustoimingu käsitsi käivitamiseks tehke järgmist. 

  1. Avage PowerShelli viip administraatorina ja käivitage järgmine käsk:

    Start-ScheduledTask - TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Taaskäivitage seade kaks korda pärast käsu käitamist, et kontrollida, kas seade käivitub usaldusväärsete allkirjade värskendatud andmebaasiga (DB).

  3. Veendumaks, et Secure Boot DB värskendus õnnestus, avage PowerShelli viip administraatorina ja seejärel käivitage järgmine käsk: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) - match 'Windows UEFI CA 2023'

    Algkäivituse turvamine

    Kui käsk tagastab väärtuse True, õnnestus värskendamine.DB värskenduse rakendamisel esinevate tõrgete korral lugege artiklit KB5016061: Haavatavate ja tühistatud algkäivitushaldurite käsitlemine

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus