Windowsin määritysjärjestelmä (WinCS) -ohjelmointirajapinnat suojattua käynnistystä varten

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: Lokakuu 14, 2025
  • KB-tunnus: 5068197
Muutosloki
Muuta päivämäärää Muutoksen kuvaus
16. huhtikuuta. 2026
  • Poistettu "Tämän tuen saatavuus" -osio, koska tiedot sisältyvät WinCS-tuetut käyttöympäristöt -osaan.
10. huhtikuuta 2026
  • Päivitetty päivämäärä Windows 10:lle 1607 / Windows Server 2016:lle osiossa "WinCS:n tuetut käyttöympäristöt".
  • Lisätty uusi alustatuki Windows Server 2012:lle ja Windows Server 2012 R2:lle (ESU) osioon "WinCS:n tuetut ympäristöt".
Helmikuu 20, 2026
  • Lisätty uusi osio "Tarkista ensin, päivitetäänkö suojatun käynnistyksen varmenteet käyttöympäristössäsi"
joulukuu 16, 2025
  • Korjattu Suojatun käynnistyksen määritysten käyttöönotto -osan komentorivi, koska se sisälsi virheellisiä merkkejä.

    Vastaanottaja: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Korjattu Suojatun käynnistyksen määritysten valvonta -osan komentorivi, koska se sisälsi välilyönnin rivin lopussa.

    Vastaanottaja: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • "Tämän tuen saatavuus" -osioon lisättiin, että Windows 10, versiot 21H2 ja 22H2 sekä Windows Server 2022 on lisätty 11. marraskuuta 2025 ja sen jälkeen päivättyihin julkaisuihin. Lisäksi vuoden 2026 ensimmäisellä neljänneksellä julkaistut päivitykset sisältävät muiden Windows-versioiden tuen.
Joulukuu 11, 2025
  • Muutettu Suojatun käynnistyksen määritysten valvonta -osan vaihetta 3:

    Lähettäjä: Jos haluat varmistaa, että Secure Boot DB -päivitys onnistui, avaa PowerShell-kehote järjestelmänvalvojana ja suorita sitten seuraava komento:

    Käyttäjä: Voit tarkistaa nopeasti, onnistuiko Secure Boot DB -päivitys, avaamalla PowerShell-kehotteen järjestelmänvalvojana ja suorittamalla sitten seuraavan komennon:
  • Lisätty vaihe 4 Suojatun käynnistyksen määritysten valvonta -osaan:

    Jos haluat varmistaa, että kaikki varmenteet on päivitetty, katso Suojatun käynnistyksen varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille ja noudata Tapahtumalokien valvonta -osan ohjeita. Tässä osassa luetellaan tapahtumatunnus 1801 ja tapahtumatunnus 1808 . Niiden avulla voit varmistaa, että varmenteet on päivitetty.

Suojatun käynnistyksen CLI Windowsin määritysjärjestelmän (WinCS) avulla

Tavoite: Toimialueen järjestelmänvalvojat voivat ottaa suojatun käynnistyksen päivitykset käyttöön toimialueeseen liitetyissä Windows-asiakasohjelmissa ja -palvelimissa käyttämällä Windows-käyttöjärjestelmäpäivitysten mukana julkaistua Windowsin määritysjärjestelmää (WinCS). Se koostuu komentoriviliittymä (CLI) -apuohjelmasta, jonka avulla voit kysellä suojatun käynnistyksen määrityksiä ja ottaa niitä käyttöön paikallisesti koneessa.

WinCS toimii määritysavaimella, jota voidaan käyttää komentoriviapuohjelman kanssa muokkaamaan suojatun käynnistyksen määritystilaa tietokoneessa. Kun se on otettu käyttöön, seuraava ajoitettu suojattu käynnistys suorittaa avaimen mukaiset toiminnot.

Tarkista ensin, päivitetäänkö suojatun käynnistyksen varmenteet käyttöympäristössäsi

Voit tarkistaa suojatun käynnistyksen tilan PowerShell-komennolla:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Tila

Jos tilana on Päivitetty, sinun ei tarvitse suorittaa WinCS:ää ja voit ohittaa alla olevat vaiheet.

Jos varmenteita ei ole päivitetty vuoden 2023 versioihin, seuraavat lisäohjeet ovat voimassa.

WinCS:n tukemat käyttöympäristöt

WinCS-komentoriviapuohjelmaa tuetaan Windows 10:n versiossa 21H2, Windows 10:n versiossa 22H2, Windows 10 1607:ssä, Windows Server 2022:ssa, Windows Server 2019:ssä, Windows Server 2016:ssa Windows 11, versio 23H2, Windows 11, versio 24H2, Windows 11, versio 25H2.

Tämä apuohjelma on saatavilla Windows-päivityksissä, jotka on julkaistu 28. lokakuuta 2025 ja sen jälkeen Windows 11:n versioon 24H2 ja Windows 11:n versioon 23H2.

Tämä apuohjelma on saatavilla myös Windows-päivityksissä, jotka julkaistiin 11. marraskuuta 2025 ja sen jälkeen Windows 10:n versiolle 21H2, Windows 10:n versiolle 22H2 ja Windows Server 2022:lle.

Windows Server 2019:ssä tämä apuohjelma toimitetaan 13. tammikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.

Windows Server 2016:ssa ja Windows 10 1607:ssä tämä apuohjelma toimitetaan 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.

Lisäksi Windows Server 2012:ssa ja Windows Server 2012 R2:ssa (ESU) tämä apuohjelma toimitetaan 14. huhtikuuta 2026 ja sen jälkeen julkaistujen Windows-päivitysten mukana.

Tässä on suojatun käynnistyksen määritysominaisuusavain, jota toimialueen järjestelmänvalvojat kyselevät ja ottavat käyttöön laitteissa WinCS:n kautta.

Ominaisuuden nimi WinCS-avain Kuvaus
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Tämän avaimen käyttöönotto sallii seuraavien Microsoftin toimittamien Secure Boot -varmenteiden asentamisen laitteeseesi.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

WinCS-avaimen arvo:

  • F33E0C8E002 – Suojatun käynnistyksen määritystila = Käytössä

Suojatun käynnistyksen määritysten kyseleminen

Suojatun käynnistyksen määritystä voidaan hakea avaamalla komentokehote järjestelmänvalvojana ja suorittamalla tämä komento:

Huomautus

WinCsFlags.exe /query --key F33E0C8E002

Tämä palauttaa seuraavat tiedot (puhtaassa koneessa):

Huomautus

  • Lippu: F33E0C8E
  • Nykyinen kokoonpano: F33E0C8E001
  • Tila: Ei käytössä
  • Pending Configuration: Ei mitään
  • Odottava toiminto: Ei mitään
  • FwLink: https://aka.ms/getsecureboot
  • Käytettävissä olevat kokoonpanot:
  • F33E0C8E002
  • F33E0C8E001

Huomaa, että laitteen nykyinen kokoonpano on F33E0C8E001, mikä tarkoittaa, että suojatun käynnistyksen avain on Ei käytössä .

Suojatun käynnistyksen määritysten käyttäminen

Suojatun käynnistyksen määritystä voidaan ottaa käyttöön avaamalla komentokehote järjestelmänvalvojana ja suorittamalla tämä komento:

Huomautus

WinCsFlags.exe /apply --key "F33E0C8E002"

Avaimen onnistuneen käytön pitäisi palauttaa seuraavat tiedot:

Huomautus

  • Lippu: F33E0C8E
  • Nykyinen kokoonpano: F33E0C8E002
  • Tila: Käytössä
  • Pending Configuration: Ei mitään
  • Odottava toiminto: Ei mitään
  • FwLink: https://aka.ms/getsecureboot
  • Käytettävissä olevat kokoonpanot:
  • F33E0C8E002
  • F33E0C8E001

Suojatun käynnistyksen määritysten valvonta

Voit myöhemmin selvittää suojatun käynnistyksen määritysten tilan suorittamalla alkuperäisen kyselykomennon uudelleen avaamalla komentokehotteen järjestelmänvalvojana:

Huomautus

WinCsFlags.exe /query --key F33E0C8E002

Palautettavat tiedot ovat samankaltaisia lipun tilasta riippuen:

Huomautus

  • Lippu: F33E0C8E
  • Nykyinen kokoonpano: F33E0C8E002
  • Tila: Käytössä
  • Pending Configuration: Ei mitään
  • Odottava toiminto: Ei mitään
  • FwLink: https://aka.ms/getsecureboot
  • Käytettävissä olevat kokoonpanot:
  • F33E0C8E002
  • F33E0C8E001

Huomaa, että avaimen tila on nyt käytössä ja nykyinen kokoonpano on F33E0C8E002.

Huomautus

Huomautus: Suojatun käynnistysavaimen käyttäminen WinCS:n kautta ei tarkoita, että suojatun käynnistyksen varmenteen asennusprosessi on alkanut tai päättynyt.  Se vain ilmaisee, että kone jatkaa suojatun käynnistyksen päivityksiä, kun suojatun käynnistyksen ylläpitotehtävä (TPMTasks) suoritetaan kyseisessä laitteessa seuraavan tilaisuuden tullen. Kun TPMTask suoritetaan kyseisessä koneessa, se havaitsee 0x5944 ja suorittaa päivityksen. Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä suoritetaan 12 tunnin välein tällaisten suojatun käynnistyksen päivityslippujen käsittelemiseksi. Järjestelmänvalvojat voivat myös nopeuttaa tehtävän suorittamista manuaalisesti tai käynnistämällä tehtävän tarvittaessa uudelleen.

Voit myös käynnistää suojatun käynnistyksen ylläpitotehtävän manuaalisesti noudattamalla alla olevia ohjeita:

  1. Avaa PowerShell-kehote järjestelmänvalvojana ja suorita sitten seuraava komento:

    Huomautus

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Käynnistä laite kaksi kertaa komennon suorittamisen jälkeen uudelleen varmistaaksesi, että laite käynnistyy päivitetyllä luotettujen allekirjoitusten tietokannalla (DB).

  3. Voit tarkistaa nopeasti, onnistuiko Secure Boot DB -päivitys, avaamalla PowerShell-kehotteen järjestelmänvalvojana ja suorittamalla sitten seuraavan komennon:

    Huomautus

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Käynnistä suojattu
    Jos komento palauttaa arvon Tosi, päivitys onnistui.

    Jos tietokannan päivityksen käyttöönotossa ilmenee virheitä, katso artikkelia KB5016061: Haavoittuvien ja kumottujen käynnistyksen hallintaohjelmien korjaaminen.

    Huomautus

    Tämä tarkistaa vain yhden varmenteen myöntäjän, ei kaikkia varmenteiden myöntäjiä.

  4. Jos haluat varmistaa, että kaikki varmenteet on päivitetty, katso Suojatun käynnistyksen varmenteen päivitykset: ohjeita IT-ammattilaisille ja organisaatioille ja noudata Tapahtumalokien valvonta -osan ohjeita. Tässä osassa näkyvät tapahtumatunnus 1801 ja tapahtumatunnus 1808 , jotka ovat kattavampi tapa valvoa, että varmenteet on päivitetty.