S’applique à
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Date de publication d’origine : 14 octobre 2025

ID de la base de connaissances : 5068197

Cet article contient des conseils pour : 

  • Organisations qui ont leur propre service informatique qui gère les appareils et les mises à jour Windows.

Remarque : Si vous êtes une personne qui possède un appareil Windows personnel, consultez l’article Appareils Windows pour les particuliers, les entreprises et les établissements scolaires avec des mises à jour gérées par Microsoft

Disponibilité de cette prise en charge :  

  • Inclus dans les mises à jour Windows publiées le 28 octobre 2025 pour Windows 11, version 24H2 et Windows 11, version 23H2.

  • Inclus dans les mises à jour publiées à partir du 11 novembre 2025 pour les autres versions de Windows.

Interface CLI de démarrage sécurisé à l’aide du système de configuration Windows (WinCS)

Objectif : Les administrateurs de domaine peuvent également utiliser le système de configuration Windows (WinCS) publié avec les mises à jour du système d’exploitation Windows pour déployer les mises à jour de démarrage sécurisé sur des clients et serveurs Windows joints à un domaine. Il se compose d’un utilitaire d’interface de ligne de commande (CLI) pour interroger et appliquer des configurations de démarrage sécurisé localement à un ordinateur.  

WinCS fonctionne à partir d’une clé de configuration qui peut être utilisée avec l’utilitaire de ligne de commande pour modifier l’état de configuration de démarrage sécurisé sur l’ordinateur. Une fois appliqué, le démarrage sécurisé planifié suivant effectue des actions en fonction de la clé. 

Plateformes prises en charge par WinCS

L’utilitaire en ligne de commande WinCS est pris en charge dans Windows 11, version 23H2, Windows 11, version 24H2, Windows 11, version 25H2. Cet utilitaire est disponible dans les mises à jour Windows publiées le 28 octobre 2025 pour Windows 11, version 24H2 et Windows 11, version 23H2.

Remarque : Nous travaillons actuellement à la prise en charge de WinCS pour Windows 10 plateformes. Nous allons mettre à jour cet article dès que la prise en charge sera activée. 

Voici la clé de fonctionnalité de configuration de démarrage sécurisé que les administrateurs de domaine interrogeront et appliqueront aux appareils via WinCS. 

Nom de fonctionnalité

Clé WinCS

Description

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

L’activation de cette clé permet l’installation des nouveaux certificats de démarrage sécurisé fournis par Microsoft suivants sur votre appareil. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Valeur de clé WinCS : 

  • F33E0C8E002 – État de configuration du démarrage sécurisé = Activé

Comment interroger la configuration du démarrage sécurisé 

La configuration du démarrage sécurisé peut être interrogée avec la ligne de commande suivante :

WinCsFlags.exe /query --key F33E0C8E002

Cette opération retourne les informations suivantes (sur un ordinateur propre) : 

Indicateur : F33E0C8E 

  Configuration actuelle : F33E0C8E001

  État : Désactivé

  Configuration en attente : Aucune 

  Action en attente : Aucune  

  FwLink : https://aka.ms/getsecureboot 

  Configurations disponibles : 

    F33E0C8E002 

    F33E0C8E001 

Notez que la configuration actuelle sur un appareil est F33E0C8E001, ce qui signifie que la clé de démarrage sécurisé est dans l’état Désactivé .  

Comment appliquer la configuration de démarrage sécurisé  

La configuration spécifique pour activer les certificats de démarrage sécurisé peut être configurée de la manière suivante : 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Une application réussie de la clé doit retourner les informations suivantes : 

Indicateur : F33E0C8E 

  Configuration actuelle : F33E0C8E002

  État : Activé

  Configuration en attente : Aucune 

  Action en attente : Aucune

  FwLink : https://aka.ms/getsecureboot 

 Configurations disponibles : 

    F33E0C8E002 

    F33E0C8E001  

Comment auditer la configuration du démarrage sécurisé  

Pour déterminer l’état de la configuration de démarrage sécurisé ultérieurement, vous pouvez réutiliser la commande de requête initiale : 

WinCsFlags.exe /query --key F33E0C8E002 

Les informations retournées sont similaires aux suivantes, en fonction de l’état de l’indicateur : 

Indicateur : F33E0C8E 

  Configuration actuelle : F33E0C8E002

  État : Activé

  Configuration en attente : Aucune 

  Action en attente : Aucune

  FwLink : https://aka.ms/getsecureboot 

  Configurations disponibles : 

    F33E0C8E002 

    F33E0C8E001  

Notez que l’état de la clé est désormais Activé et que la configuration actuelle est F33E0C8E002. 

Remarque : L’application de la clé de démarrage sécurisé via WinCS ne signifie pas que le processus d’installation du certificat de démarrage sécurisé a démarré ou s’est terminé.  Il indique simplement que l’ordinateur procédera aux mises à jour de démarrage sécurisé lorsque la tâche de maintenance de démarrage sécurisé (TPMTasks) s’exécutera sur cet ordinateur à la prochaine occasion disponible. Lorsque TPMTasks s’exécute sur cet ordinateur, il détecte 0x5944 et effectue la mise à jour. Par conception, la tâche planifiée Secure-Boot-Update s’exécute toutes les 12 heures pour traiter ces indicateurs de mise à jour de démarrage sécurisé. Les administrateurs peuvent également accélérer en exécutant manuellement la tâche ou en redémarrant, si vous le souhaitez.  

Vous pouvez également déclencher manuellement la tâche de maintenance de démarrage sécurisé en suivant les étapes ci-dessous : 

  1. Ouvrez une invite PowerShell en tant qu’administrateur, puis exécutez la commande suivante :

    Start-ScheduledTask -TaskName « \Microsoft\Windows\PI\Secure-Boot-Update »

  2. Redémarrez l’appareil deux fois après avoir exécuté la commande pour confirmer que l’appareil démarre avec la base de données de signatures approuvées (DB) mise à jour.

  3. Pour vérifier que la mise à jour de la base de données de démarrage sécurisé a réussi, ouvrez une invite PowerShell en tant qu’administrateur, puis exécutez la commande suivante : 

    [System.Text.Encoding] ::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Démarrage sécurisé

    Si la commande retourne True, la mise à jour a réussi.En cas d’erreurs lors de l’application de la mise à jour de base de données, consultez l’article KB5016061 : Résolution des gestionnaires de démarrage vulnérables et révoqués

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité