חל על
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

תאריך פרסום מקורי: 14 באוקטובר 2025

מזהה KB: 5068197

שנה תאריך

שינוי תיאור

ב-16 באפריל. 2026

  • הוסר הסעיף "זמינות של תמיכה זו" מכיוון שהמידע כלול בסעיף "פלטפורמות נתמכות של WinCS".

(יום שלישי 10 אפריל 2026)

  • עודכן התאריך עבור Windows 10 1607 / Windows Server 2016 תחת המקטע " פלטפורמות נתמכות של WinCS".

  • נוספה תמיכה חדשה בפלטפורמה עבור Windows Server 2012ו- Windows Server 2012 R2 (ESU) תחת הסעיף " פלטפורמות נתמכות של WinCS".

(יום שלישי 20 פברואר 2026)

  • נוסף מקטע חדש "בדוק תחילה אם אישורי אתחול מאובטח מעודכנים בפלטפורמה שלך"

16 בדצמבר 2025

  • תוקן שורת הפקודה במקטע "כיצד להחיל תצורת אתחול מאובטח" מאחר שהיא כללה תווים שגויים.אל: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • תוקן שורת הפקודה במקטע "How to audit Secure Boot configuration" מאחר שהוא כלל רווח בסוף השורה.אל: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • בסעיף "זמינות של תמיכה זו", נוספו גירסאות Windows 10, גירסאות 21H2 ו- 22H2 ו- Windows Server 2022 מתווספות למהדורות שתאריך 11 בנובמבר 2025 ואחריה. בנוסף, תמיכה בגירסאות אחרות של Windows תיכלל בעדכונים שהופצו במהלך הרבעון הראשון של 2026.

11 בדצמבר 2025

  • שינוי שלב 3 של המקטע "כיצד לבצע ביקורת של תצורת אתחול מאובטח":מתוך: כדי לוודא שהעדכון של מסד הנתונים של האתחול המאובטח הצליח, פתח בקשה של PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה: אל: כבדיקת מצב מהיר אם העדכון של Secure Boot DB הצליח, פתח שורת PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה:

  • נוסף שלב 4 למקטע "כיצד לבצע ביקורת של תצורת אתחול מאובטח": כדי לוודא שכל האישורים מעודכנים, עיין בנושא עדכוני אישור אתחול מאובטח: הדרכה עבור מומחי IT וארגונים ופעל בהתאם להנחיות בסעיף "ניטור יומני אירועים". סעיף זה מפרט מזהה אירוע: 1801 ומזהה אירוע : 1808 , שהוא דרך מלאה לביקורת על כך שהאישורים עודכנו.

CLI של אתחול מאובטח באמצעות מערכת התצורה של Windows (WinCS)

מטרה: מנהלי תחום יכולים לחילופין להשתמש במערכת התצורה של Windows (WinCS) שהופצה עם עדכוני מערכת ההפעלה Windows כדי לפרוס את עדכוני האתחול המאובטח בכל הלקוחות והשרתים המצורפים לתחום של Windows. הוא כולל כלי שירות של ממשק שורת פקודה (CLI) כדי לבצע שאילתה ולהחיל תצורות אתחול מאובטח באופן מקומי על מחשב.  

WinCS פועל את מפתח התצורה שניתן להשתמש בו עם כלי השירות של שורת הפקודה כדי לשנות את מצב התצורה של אתחול מאובטח במחשב. לאחר החלת האתחול המאובטח המתוזמן הבא, יתבצעו פעולות בהתאם למפתח. 

בדוק תחילה אם אישורי אתחול מאובטח מעודכנים בפלטפורמה שלך 

באפשרותך לבדוק את המצב של אתחול מאובטח באמצעות הפקודה Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

אם המצב מציג "עודכן", אין צורך להפעיל את WinCS ובאפשרותך לדלג על השלבים הבאים.

אם האישורים אינם מעודכנים לגירסאות 2023, השלבים הנו נוספים שלהלן חלים.

פלטפורמות נתמכות של WinCS

כלי שירות שורת הפקודה של WinCS נתמך ב- Windows 10, גירסה 21H2, Windows 10, גירסה 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, גירסה 23H2, Windows 11 24H2, Windows 11, גירסה 25H2.

כלי שירות זה זמין בעדכוני Windows שהופצו ב- 28 באוקטובר 2025 ולאחר מכן עבור Windows 11, גירסה 24H2 ו- Windows 11, גירסה 23H2.

כלי שירות זה זמין גם בעדכוני Windows שהופצו ב- 11 בנובמבר 2025 ולאחר מכן עבור Windows 10, גירסה 21H2, Windows 10, גירסה 22H2 ו- Windows Server 2022.

עבור Windows Server 2019, כלי שירות זה נשלח בעדכונים של Windows שהופצו ב- 13 בינואר 2026 ולאחר מכן. 

עבור Windows Server 2016, Windows 10 1607, כלי שירות זה נשלח בעדכוני Windows שהופצו ב- 14 באפריל 2026 ולאחר מכן.

עבור Windows Server 2012 ו- Windows Server 2012 R2 (ESU), כלי שירות זה נשלח בעדכוני Windows שהופצו ב- 14 באפריל 2026 ולאחר מכן.

הנה מפתח התכונה 'תצורת אתחול מאובטח' שמנהלי תחום יבצעו שאילתות ויחילו על מכשירים באמצעות WinCS. 

שם תכונה

מפתח WinCS

תיאור

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

הפיכת מפתח זה לזמינים מאפשרת התקנה של אישורי האתחול המאובטח החדש הבאים שסופקו על-ידי Microsoft במכשיר שלך. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

ערך מפתח של WinCS: 

  • F33E0C8E002 – מצב תצורת אתחול מאובטח = זמין

כיצד לבצע שאילתה על תצורת אתחול מאובטח 

ניתן לבצע שאילתה על תצורת אתחול מאובטח על-ידי פתיחת שורת פקודה כמנהל והפעלת פקודה זו:

WinCsFlags.exe /query --key F33E0C8E002

פעולה זו תחזיר את המידע הבא (במחשב נקי): 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E001

  מצב: לא זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא  

  FwLink: https://aka.ms/getsecureboot 

  תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001 

שים לב שהתצורה הנוכחית במכשיר היא F33E0C8E001, כלומר מפתח האתחול המאובטח נמצא במצב לא זמין.  

כיצד להחיל תצורת אתחול מאובטח  

ניתן להחיל את תצורת האתחול המאובטח על-ידי פתיחת שורת פקודה כמנהל מערכת והפעלת פקודה זו:

WinCsFlags.exe /apply --key "F33E0C8E002"

יישום מוצלח של המפתח אמור להחזיר את המידע הבא: 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E002

  מצב: זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא

  FwLink: https://aka.ms/getsecureboot 

 תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001  

כיצד לבצע ביקורת של תצורת אתחול מאובטח  

כדי לקבוע את המצב של תצורת האתחול המאובטח מאוחר יותר, באפשרותך להפעיל מחדש את פקודת השאילתה הראשונית על-ידי פתיחת שורת פקודה כמנהל מערכת:

WinCsFlags.exe /query --key F33E0C8E002

המידע המוחזר יהיה דומה לתנאים הבאים, בהתאם למצב הדגל: 

דגל: F33E0C8E 

  תצורה נוכחית: F33E0C8E002

  מצב: זמין

  ממתין לתצורה: ללא 

  פעולה ממתינה: ללא

  FwLink: https://aka.ms/getsecureboot 

  תצורות זמינות: 

    F33E0C8E002 

    F33E0C8E001  

שים לב כי מצב המפתח זמין כעת, והתצורה הנוכחית אינה F33E0C8E002. 

הערה: החלת מפתח האתחול המאובטח באמצעות WinCS אינה אומרת שתהליך ההתקנה של אישור האתחול המאובטח הופעל או הסתיים.  הוא רק מציין שהמכונה תמשיך עם עדכוני אתחול מאובטח כאשר המשימה של שירות אתחול מאובטח (TPMTasks) פועלת במחשב זה בהזדמנות הזמינה הבאה. כאשר TPMTasks פועל במחשב זה, הוא יזהה 0x5944 ויבצע את העדכון. מתוכנן, המשימה המתוזמנת 'עדכון אתחול מאובטח' מופעלת כל 12 שעות כדי לעבד דגלי עדכון מסוג אתחול מאובטח מסוג זה. מנהלי מערכת יכולים גם לזרז על-ידי הפעלה ידנית של המשימה או הפעלה מחדש, אם אתה מעוניין בכך.  

באפשרותך גם להפעיל באופן ידני את המשימה של שירות אתחול מאובטח על-ידי ביצוע השלבים הבאים: 

  1. פתח שורת PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. הפעל מחדש את המכשיר פעמיים לאחר הפעלת הפקודה כדי לוודא שהמכשיר מתחיל במסד הנתונים המעודכן של חתימות מהימנות (DB).

  3. כבדיקת מצב מהירה אם עדכון מסד הנתונים של האתחול המאובטח הצליח, פתח בקשה של PowerShell כמנהל מערכת ולאחר מכן הפעל את הפקודה הבאה: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    אתחול מאובטח

    אם הפקודה מחזירה True, העדכון הצליח.במקרה של שגיאות בעת החלת העדכון של מסד הנתונים, עיין במאמר KB5016061: טופלו מנהלי אתחול פגיעים בוטלים.

    הערה: פעולה זו בודקת רשות אישורים אחת בלבד ולא את כולם.

  4. כדי לוודא שכל האישורים מעודכנים, עיין בנושא עדכוני אישור אתחול מאובטח : הדרכה עבור מומחי IT וארגונים ופעל בהתאם להנחיות בסעיף "ניטור יומני אירועים". סעיף זה מפרט את מזהה האירוע: 1801 ומזהה האירוע : 1808 , שהוא דרך מלאה יותר לביקורת על כך שהאישורים עודכנו.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות