חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 14 באוקטובר 2025

מזהה KB: 5068197

מאמר זה כולל הדרכה עבור: 

  • ארגונים שיש להם מחלקת IT משלהם, המנהלים מכשירים ועדכונים של Windows.

הערה: אם אתה אדם שב בעלותו של מכשיר Windows אישי, עבור אל המאמר מכשירי Windows עבור משתמשים ביתיים, עסקים ובתי ספר עם עדכונים מנוהלים על-ידי Microsoft

הזמינות של תמיכה זו:  

  • כלול בעדכוני Windows שהופצו ב- 28 באוקטובר 2025 ולאחר מכן עבור Windows 11, גרסה 24H2 ו- Windows 11, גירסה 23H2.

  • כלול בעדכונים שהופצו ב- 11 בנובמבר 2025 ולאחר מכן, עבור גירסאות אחרות של Windows.

CLI של אתחול מאובטח באמצעות מערכת התצורה של Windows (WinCS)

מטרה: מנהלי תחום יכולים לחילופין להשתמש במערכת התצורה של Windows (WinCS) שהופצה עם עדכוני מערכת ההפעלה Windows כדי לפרוס את עדכוני האתחול המאובטח בכל הלקוחות והשרתים המצורפים לתחום של Windows. הוא כולל כלי שירות של ממשק שורת פקודה (CLI) כדי לבצע שאילתה ולהחיל תצורות אתחול מאובטח באופן מקומי על מחשב.  

WinCS פועל את מפתח התצורה שניתן להשתמש בו עם כלי השירות של שורת הפקודה כדי לשנות את מצב התצורה של אתחול מאובטח במחשב. לאחר החלת האתחול המאובטח המתוזמן הבא, יתבצעו פעולות בהתאם למפתח. 

פלטפורמות נתמכות של WinCS

כלי שירות שורת הפקודה של WinCS נתמך ב- Windows 11, גירסה 23H2, Windows 11, גירסה 24H2, Windows 11, גירסה 25H2. כלי שירות זה זמין בעדכוני Windows שהופצו ב- 28 באוקטובר 2025 ולאחר מכן עבור Windows 11, גירסה 24H2 ו- Windows 11, גירסה 23H2.

הערה: אנו עובדים על הבאת תמיכה זו של WinCS לפלטפורמות Windows 10 אלה. אנו נעדכן מאמר זה ברגע שהתמיכה תהיה זמינה. 

הנה מפתח התכונה 'תצורת אתחול מאובטח' שמנהלי תחום יבצעו שאילתות ויחילו על מכשירים באמצעות WinCS. 

שם תכונה

מפתח WinCS

תיאור

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

הפיכת מפתח זה לזמינים מאפשרת התקנה של אישורי האתחול המאובטח החדש הבאים שסופקו על-ידי Microsoft במכשיר שלך. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

ערך מפתח של WinCS: 

  • F33E0C8E002 – מצב תצורת אתחול מאובטח = זמין

כיצד לבצע שאילתה על תצורת אתחול מאובטח 

ניתן לבצע שאילתה על תצורת אתחול מאובטח באמצעות שורת הפקודה הבאה:

WinCsFlags.exe /query --key F33E0C8E002

פעולה זו תחזיר את המידע הבא (במחשב נקי): 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E001

  מצב: לא זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא  

  FwLink: https://aka.ms/getsecureboot 

  תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001 

שים לב שהתצורה הנוכחית במכשיר היא F33E0C8E001, כלומר מפתח האתחול המאובטח נמצא במצב לא זמין.  

כיצד להחיל תצורת אתחול מאובטח  

ניתן לקבוע את התצורה הספציפית כדי להפוך אישורי אתחול מאובטח לזמינים באופן הבא: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

יישום מוצלח של המפתח אמור להחזיר את המידע הבא: 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E002

  מצב: זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא

  FwLink: https://aka.ms/getsecureboot 

 תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001  

כיצד לבצע ביקורת של תצורת אתחול מאובטח  

כדי לקבוע את המצב של תצורת האתחול המאובטח מאוחר יותר, באפשרותך להשתמש שוב בפקודת השאילתה ההתחלתית: 

WinCsFlags.exe /query --key F33E0C8E002 

המידע המוחזר יהיה דומה לתנאים הבאים, בהתאם למצב הדגל: 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E002

  מצב: זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא

  FwLink: https://aka.ms/getsecureboot 

  תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001  

שים לב כי מצב המפתח זמין כעת, והתצורה הנוכחית אינה F33E0C8E002. 

הערה: החלת מפתח האתחול המאובטח באמצעות WinCS אינה אומרת שתהליך ההתקנה של אישור האתחול המאובטח הופעל או הסתיים.  הוא רק מציין שהמכונה תמשיך עם עדכוני אתחול מאובטח כאשר המשימה של שירות אתחול מאובטח (TPMTasks) פועלת במחשב זה בהזדמנות הזמינה הבאה. כאשר TPMTasks פועל במחשב זה, הוא יזהה 0x5944 ויבצע את העדכון. מתוכנן, המשימה המתוזמנת 'עדכון אתחול מאובטח' מופעלת כל 12 שעות כדי לעבד דגלי עדכון מסוג אתחול מאובטח מסוג זה. מנהלי מערכת יכולים גם לזרז על-ידי הפעלה ידנית של המשימה או הפעלה מחדש, אם אתה מעוניין בכך.  

באפשרותך גם להפעיל באופן ידני את המשימה של שירות אתחול מאובטח על-ידי ביצוע השלבים הבאים: 

  1. פתח שורת PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. הפעל מחדש את המכשיר פעמיים לאחר הפעלת הפקודה כדי לוודא שהמכשיר מתחיל במסד הנתונים המעודכן של חתימות מהימנות (DB).

  3. כדי לוודא שעדכון מסד הנתונים של האתחול המאובטח הצליח, פתח בקשה של PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה: 

    [System.text.encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    אתחול מאובטח

    אם הפקודה מחזירה True, העדכון הצליח.במקרה של שגיאות בעת החלת העדכון של מסד הנתונים, עיין במאמר KB5016061: טופלו מנהלי אתחול פגיעים בוטלים

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות