Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Alkuperäinen julkaisupäivä: 14. lokakuuta 2025

KB-tunnus: 5068197

Tässä artikkelissa on ohjeita: 

  • Organisaatiot, joilla on oma IT-osasto, joka hallitsee Windows-laitteita ja -päivityksiä.

Huomautus: Jos olet henkilö, joka omistaa henkilökohtaisen Windows-laitteen, siirry artikkeliin Windows-laitteet kotikäyttäjille, yrityksille ja kouluille, joissa on Microsoftin hallinnoimia päivityksiä

Tämän tuen saatavuus:  

  • Sisältyy Windows-päivityksiin, jotka on julkaistu 28. lokakuuta 2025 ja sen jälkeen Windows 11 versiolle 24H2 ja Windows 11 versiolle 23H2.

  • Sisältyy 11. marraskuuta 2025 ja sen jälkeen julkaistuihin päivityksiin windowsin muihin versioihin.

Suojatun käynnistyksen CLI Windows Configuration Systemin (WinCS) avulla

Tavoite: Toimialueen järjestelmänvalvojat voivat vaihtoehtoisesti ottaa käyttöön suojatun käynnistyksen päivitykset toimialueeseen yhdistetyissä Windows-asiakasohjelmissa ja -palvelimissa Windowsin määritysjärjestelmän (WinCS) avulla. Se koostuu komentoriviliittymän (CLI) apuohjelmasta, jonka avulla voit tehdä kyselyjä ja käyttää suojatun käynnistyksen määrityksiä paikallisesti tietokoneessa.  

WinCS toimii määritysavaimella, jota voidaan käyttää komentoriviapuohjelman kanssa tietokoneen suojatun käynnistyksen määritystilan muokkaamiseen. Kun se on otettu käyttöön, seuraava ajoitettu suojattu käynnistys suorittaa toimintoja avaimen mukaan. 

WinCS:n tukemat käyttöympäristöt

WinCS-komentoriviapuohjelmaa tuetaan Windows 11 versiossa 23H2, Windows 11, versiossa 24H2 Windows 11 versiossa 25H2. Tämä apuohjelma on saatavilla Windows-päivityksissä, jotka on julkaistu 28. lokakuuta 2025 ja sen jälkeen Windows 11 versiolle 24H2 ja Windows 11 versiolle 23H2.

Huomautus: Pyrimme tuomaan tämän WinCS-tuen Windows 10 alustoihin. Päivitämme tämän artikkelin heti, kun tuki on otettu käyttöön. 

Tässä on suojatun käynnistyksen määritysominaisuusavain, jota toimialueen järjestelmänvalvojat kyselevät ja käyttävät laitteissa WinCS:n kautta. 

Ominaisuuden nimi

WinCS-näppäin

Kuvaus

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Tämän avaimen ottaminen käyttöön mahdollistaa seuraavien Microsoftin tarjoamien suojatun käynnistyksen uusien varmenteiden asentamisen laitteeseesi. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-avainarvo: 

  • F33E0C8E002 – Suojatun käynnistyksen määritystila = Käytössä

Suojatun käynnistyksen määritysten kysely 

Suojatun käynnistyksen määritykseen voidaan tehdä kysely seuraavalla komentorivillä:

WinCsFlags.exe /query --key F33E0C8E002

Tämä palauttaa seuraavat tiedot (puhtaassa koneessa): 

Merkintä: F33E0C8E 

  Nykyinen määritys: F33E0C8E001

  Tila: Ei käytössä

  Odottava määritys: Ei mitään 

  Odottava toiminto: Ei mitään  

  FwLink: https://aka.ms/getsecureboot 

  Käytettävissä olevat määritykset: 

    F33E0C8E002 

    F33E0C8E001 

Huomaa, että laitteen nykyinen määritys on F33E0C8E001, mikä tarkoittaa, että Suojattu käynnistys -näppäin on Poissa käytöstä -tilassa.  

Suojatun käynnistyksen määritysten käyttäminen  

Suojatun käynnistyksen varmenteiden käyttöönottoa varten määritetyt määritykset voidaan määrittää seuraavasti: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Avaimen onnistuneen soveltamisen pitäisi palauttaa seuraavat tiedot: 

Merkintä: F33E0C8E 

  Nykyinen määritys: F33E0C8E002

  Tila: Käytössä

  Odottava määritys: Ei mitään 

  Odottava toiminto: Ei mitään

  FwLink: https://aka.ms/getsecureboot 

 Käytettävissä olevat määritykset: 

    F33E0C8E002 

    F33E0C8E001  

Suojatun käynnistyksen määritysten valvonta  

Voit määrittää suojatun käynnistyksen määrityksen tilan myöhemmin käyttämällä alkuperäistä kyselykomentoa uudelleen: 

WinCsFlags.exe /query --key F33E0C8E002 

Palautetut tiedot ovat samankaltaisia kuin seuraavat merkinnän tilan mukaan: 

Merkintä: F33E0C8E 

  Nykyinen määritys: F33E0C8E002

  Tila: Käytössä

  Odottava määritys: Ei mitään 

  Odottava toiminto: Ei mitään

  FwLink: https://aka.ms/getsecureboot 

  Käytettävissä olevat määritykset: 

    F33E0C8E002 

    F33E0C8E001  

Huomaa, että avaimen tila on nyt käytössä ja nykyinen määritys on F33E0C8E002. 

Huomautus: Suojatun käynnistyksen näppäimen käyttäminen WinCS:n kautta ei tarkoita, että suojatun käynnistyksen varmenteen asennusprosessi on alkanut tai valmis.  Se vain ilmaisee, että tietokone jatkaa suojatun käynnistyksen päivityksiä, kun suojatun käynnistyksen ylläpitotehtävä (TPMTasks) suoritetaan kyseisessä koneessa seuraavalla käytettävissä olevalla mahdollisuudella. Kun TPMTasks suoritetaan kyseisessä koneessa, se tunnistaa 0x5944 ja suorittaa päivityksen. Suojatun käynnistyksen ja päivityksen ajoitettu tehtävä suoritetaan 12 tunnin välein tällaisten suojatun käynnistyksen päivitysmerkintöjen käsittelyyn. Järjestelmänvalvojat voivat nopeuttaa tehtävää myös suorittamalla tehtävän manuaalisesti tai käynnistämällä sen tarvittaessa uudelleen.  

Voit myös käynnistää suojatun käynnistyksen ylläpitotehtävän manuaalisesti seuraavasti: 

  1. Avaa PowerShell-kehote järjestelmänvalvojana ja suorita seuraava komento:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Käynnistä laite uudelleen kaksi kertaa komennon suorittamisen jälkeen varmistaaksesi, että laite aloittaa luotettujen allekirjoitusten päivitetystä tietokannasta (DB).

  3. Voit varmistaa, että suojatun käynnistyksen DB-päivitys onnistui, avaamalla PowerShell-kehotteen järjestelmänvalvojana ja suorittamalla sitten seuraavan komennon: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Käynnistyksen suojaus

    Jos komento palauttaa arvon Tosi, päivitys onnistui.Jos DB-päivitystä käytettäessä ilmenee virheitä, katso artikkeli KB5016061: Heikossa asemassa olevien ja kumottujen käynnistyspäälliköiden korjaaminen

Facebook LinkedIn Sähköposti
TILAA RSS-SYÖTTEET

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus