Huomautus
- Alkuperäinen julkaisupäivä: Lokakuu 14, 2025
- KB-tunnus: 5068197
Muutosloki
| Muuta päivämäärää | Muutoksen kuvaus |
|---|---|
| 16. huhtikuuta. 2026 |
|
| 10. huhtikuuta 2026 |
|
| Helmikuu 20, 2026 |
|
| joulukuu 16, 2025 |
|
| Joulukuu 11, 2025 |
|
Suojatun käynnistyksen CLI Windowsin määritysjärjestelmän (WinCS) avulla
Tavoite: Toimialueen järjestelmänvalvojat voivat ottaa suojatun käynnistyksen päivitykset käyttöön toimialueeseen liitetyissä Windows-asiakasohjelmissa ja -palvelimissa käyttämällä Windows-käyttöjärjestelmäpäivitysten mukana julkaistua Windowsin määritysjärjestelmää (WinCS). Se koostuu komentoriviliittymä (CLI) -apuohjelmasta, jonka avulla voit kysellä suojatun käynnistyksen määrityksiä ja ottaa niitä käyttöön paikallisesti koneessa.
WinCS toimii määritysavaimella, jota voidaan käyttää komentoriviapuohjelman kanssa muokkaamaan suojatun käynnistyksen määritystilaa tietokoneessa. Kun se on otettu käyttöön, seuraava ajoitettu suojattu käynnistys suorittaa avaimen mukaiset toiminnot.
Tarkista ensin, päivitetäänkö suojatun käynnistyksen varmenteet käyttöympäristössäsi
Voit tarkistaa suojatun käynnistyksen tilan PowerShell-komennolla:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Tila
Jos tilana on Päivitetty, sinun ei tarvitse suorittaa WinCS:ää ja voit ohittaa alla olevat vaiheet.
Jos varmenteita ei ole päivitetty vuoden 2023 versioihin, seuraavat lisäohjeet ovat voimassa.
WinCS:n tukemat käyttöympäristöt
WinCS-komentoriviapuohjelmaa tuetaan Windows 10:n versiossa 21H2, Windows 10:n versiossa 22H2, Windows 10 1607:ssä, Windows Server 2022:ssa, Windows Server 2019:ssä, Windows Server 2016:ssa Windows 11, versio 23H2, Windows 11, versio 24H2, Windows 11, versio 25H2.
Tämä apuohjelma on saatavilla Windows-päivityksissä, jotka on julkaistu 28. lokakuuta 2025 ja sen jälkeen Windows 11:n versioon 24H2 ja Windows 11:n versioon 23H2.
Tämä apuohjelma on saatavilla myös Windows-päivityksissä, jotka julkaistiin 11. marraskuuta 2025 ja sen jälkeen Windows 10:n versiolle 21H2, Windows 10:n versiolle 22H2 ja Windows Server 2022:lle.
Windows Server 2019:ssä tämä apuohjelma toimitetaan 13. tammikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.
Windows Server 2016:ssa ja Windows 10 1607:ssä tämä apuohjelma toimitetaan 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.
Lisäksi Windows Server 2012:ssa ja Windows Server 2012 R2:ssa (ESU) tämä apuohjelma toimitetaan 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.
Tässä on suojatun käynnistyksen määritysominaisuusavain, jota toimialueen järjestelmänvalvojat kyselevät ja ottavat käyttöön laitteissa WinCS:n kautta.
| Ominaisuuden nimi | WinCS-avain | Kuvaus |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Tämän avaimen käyttöönotto sallii seuraavien Microsoftin toimittamien Secure Boot -varmenteiden asentamisen laitteeseesi.
|
WinCS-avaimen arvo:
- F33E0C8E002 – Suojatun käynnistyksen määritystila = Käytössä
Suojatun käynnistyksen määritysten kyseleminen
Suojatun käynnistyksen määritystä voidaan hakea avaamalla komentokehote järjestelmänvalvojana ja suorittamalla tämä komento:
Huomautus
WinCsFlags.exe /query --key F33E0C8E002
Tämä palauttaa seuraavat tiedot (puhtaassa koneessa):
Huomautus
- Lippu: F33E0C8E
- Nykyinen kokoonpano: F33E0C8E001
- Tila: Ei käytössä
- Pending Configuration: Ei mitään
- Odottava toiminto: Ei mitään
- FwLink: https://aka.ms/getsecureboot
- Käytettävissä olevat kokoonpanot:
- F33E0C8E002
- F33E0C8E001
Huomaa, että laitteen nykyinen kokoonpano on F33E0C8E001, mikä tarkoittaa, että suojatun käynnistyksen avain on Ei käytössä .
Suojatun käynnistyksen määritysten käyttäminen
Suojatun käynnistyksen määritystä voidaan ottaa käyttöön avaamalla komentokehote järjestelmänvalvojana ja suorittamalla tämä komento:
Huomautus
WinCsFlags.exe /apply --key "F33E0C8E002"
Avaimen onnistuneen käytön pitäisi palauttaa seuraavat tiedot:
Huomautus
- Lippu: F33E0C8E
- Nykyinen kokoonpano: F33E0C8E002
- Tila: Käytössä
- Pending Configuration: Ei mitään
- Odottava toiminto: Ei mitään
- FwLink: https://aka.ms/getsecureboot
- Käytettävissä olevat kokoonpanot:
- F33E0C8E002
- F33E0C8E001
Suojatun käynnistyksen määritysten valvonta
Voit myöhemmin selvittää suojatun käynnistyksen määritysten tilan suorittamalla alkuperäisen kyselykomennon uudelleen avaamalla komentokehotteen järjestelmänvalvojana:
Huomautus
WinCsFlags.exe /query --key F33E0C8E002
Palautettavat tiedot ovat samankaltaisia lipun tilasta riippuen:
Huomautus
- Lippu: F33E0C8E
- Nykyinen kokoonpano: F33E0C8E002
- Tila: Käytössä
- Pending Configuration: Ei mitään
- Odottava toiminto: Ei mitään
- FwLink: https://aka.ms/getsecureboot
- Käytettävissä olevat kokoonpanot:
- F33E0C8E002
- F33E0C8E001
Huomaa, että avaimen tila on nyt käytössä ja nykyinen kokoonpano on F33E0C8E002.
Huomautus
Huomautus: Suojatun käynnistysavaimen käyttäminen WinCS:n kautta ei tarkoita, että suojatun käynnistyksen varmenteen asennusprosessi on alkanut tai päättynyt. Se vain ilmaisee, että kone jatkaa suojatun käynnistyksen päivityksiä, kun suojatun käynnistyksen ylläpitotehtävä (TPMTasks) suoritetaan kyseisessä laitteessa seuraavan tilaisuuden tullen. Kun TPMTask suoritetaan kyseisessä koneessa, se havaitsee 0x5944 ja suorittaa päivityksen. Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä suoritetaan 12 tunnin välein tällaisten suojatun käynnistyksen päivityslippujen käsittelemiseksi. Järjestelmänvalvojat voivat myös nopeuttaa tehtävän suorittamista manuaalisesti tai käynnistämällä tehtävän tarvittaessa uudelleen.
Voit myös käynnistää suojatun käynnistyksen ylläpitotehtävän manuaalisesti noudattamalla alla olevia ohjeita:
Avaa PowerShell-kehote järjestelmänvalvojana ja suorita sitten seuraava komento:
Huomautus
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Käynnistä laite kaksi kertaa komennon suorittamisen jälkeen uudelleen varmistaaksesi, että laite käynnistyy päivitetyllä luotettujen allekirjoitusten tietokannalla (DB).
Voit tarkistaa nopeasti, onnistuiko Secure Boot DB -päivitys, avaamalla PowerShell-kehotteen järjestelmänvalvojana ja suorittamalla sitten seuraavan komennon:
Huomautus
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Jos komento palauttaa arvon Tosi, päivitys onnistui.Jos tietokannan päivityksen käyttöönotossa ilmenee virheitä, katso artikkelia KB5016061: Haavoittuvien ja kumottujen käynnistyksen hallintaohjelmien korjaaminen.
Huomautus
Tämä tarkistaa vain yhden varmenteen myöntäjän, ei kaikkia varmenteiden myöntäjiä.
Jos haluat varmistaa, että kaikki varmenteet on päivitetty, katso Suojatun käynnistyksen varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille ja noudata Tapahtumalokien valvonta -osan ohjeita. Tässä osassa näkyvät tapahtumatunnus 1801 ja tapahtumatunnus 1808 , jotka ovat kattavampi tapa valvoa, että varmenteet on päivitetty.