API-ji konfiguracijskog sustava za Windows (WinCS) za sigurno pokretanje

Primjenjuje se na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Napomena

  • Izvorni datum objave: Listopad 14, 2025
  • ID baze znanja: 5068197
Zapisnik promjena
Promjena datuma Opis izmjene
16. travnja. 2026.
  • Uklonjen je odjeljak "Dostupnost ove podrške" jer su informacije sadržane u odjeljku "WinCS podržane platforme".
Travnja 10, 2026
  • Ažuriran je datum za Windows 10 1607Windows / Server 2016 u odjeljku "WinCS Podržane platforme".
  • Dodana je nova podrška za platformu za Windows Server 2012 i Windows Server 2012 R2 (ESU) u odjeljku "WinCS Podržane platforme".
Veljače 20, 2026
  • Dodan je novi odjeljak "Najprije provjerite jesu li certifikati za sigurno pokretanje ažurirani na vašoj platformi"
Prosinac 16, 2025
  • Ispravljen je naredbeni redak u odjeljku "Kako primijeniti konfiguraciju sigurnog pokretanja sustava" jer je sadržavao netočne znakove.

    Primatelj: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Ispravljen je naredbeni redak u odjeljku "Kako nadzirati konfiguraciju sigurnog pokretanja sustava" jer je sadržavao razmak na kraju retka.

    Primatelj: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • U odjeljku "Dostupnost ove podrške" dodano je da su Windows 10, verzije 21H2 i 22H2, i Windows Server 2022 dodani u izdanjima od 11. studenog 2025. i kasnije. Osim toga, podrška za druge verzije sustava Windows bit će uključena u ažuriranja izdana tijekom prvog tromjesečja 2026.
Prosinac 11, 2025
  • Promijenjen je korak 3 odjeljka "Kako nadzirati konfiguraciju sigurnog pokretanja sustava":

    Pošiljatelj: Da biste provjerili je li ažuriranje baze podataka sigurnog pokretanja sustava uspjelo, otvorite upit PowerShell kao administrator pa pokrenite sljedeću naredbu:

    Primatelj: Kao brzu provjeru je li ažuriranje baze sigurnog pokretanja sustava bilo uspješno, otvorite PowerShell upit kao administrator pa pokrenite sljedeću naredbu:
  • Dodan je četvrti korak u odjeljak "Kako nadzirati konfiguraciju sigurnog pokretanja sustava":

    Da biste provjerili jesu li svi certifikati ažurirani, pogledajte Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove i slijedite smjernice u odjeljku "Praćenje zapisnika događaja". U ovom se odjeljku navode ID događaja: 1801 i ID događaja: 1808 , što je potpun način nadzora ažuriranja certifikata.

CLI sigurnog pokretanja sustava pomoću konfiguracijskog sustava Windows (WinCS)

Cilj: administratori domena mogu alternativno koristiti konfiguracijski sustav Windows (WinCS) koji je izdan s ažuriranjima za operacijski sustav Windows za implementaciju ažuriranja sigurnog pokretanja na svim klijentima i poslužiteljima sustava Windows koji su pridruženi domeni. Sastoji se od uslužnog programa sučelja naredbenog retka (CLI) za postavljanje upita i primjenu konfiguracija sigurnog pokretanja lokalno na računalo.

WinCS radi na konfiguracijskom ključu koji se može koristiti s uslužnim programom naredbenog retka za izmjenu konfiguracijskog stanja sigurnog pokretanja sustava na računalu. Nakon primjene sljedeće zakazano sigurno pokretanje izvodit će radnje u skladu s tipkom.

Najprije provjerite jesu li na vašoj platformi ažurirani certifikati za sigurno pokretanje sustava

Status sigurnog pokretanja možete provjeriti pomoću naredbe Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Ako se status prikazuje "Ažurirano", ne morate pokrenuti WinCS i možete preskočiti korake u nastavku.

Ako Certifikati nisu ažurirani na verzije 2023., tada se primjenjuju dodatni koraci u nastavku.

Platforme koje podržava WinCS

Uslužni program naredbenog retka WinCS podržan je u sustavu Windows 10, verzija 21H2, Windows 10, verzija 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, verzija 23H2, Windows 11, verzija 24H2, Windows 11, verzija 25H2.

Ovaj je uslužni program dostupan u ažuriranjima sustava Windows objavljenim 28. listopada 2025. i nakon za Windows 11, verziju 24H2 i Windows 11, verziju 23H2.

Ovaj je uslužni program dostupan i u ažuriranjima sustava Windows objavljenim 11. studenog 2025. i nakon za Windows 10, verziju 21H2, Windows 10, verziju 22H2 i Windows Server 2022.

Za Windows Server 2019 ovaj se uslužni program isporučuje s ažuriranjima sustava Windows objavljenim 13. siječnja 2026. i kasnije.

Za Windows Server 2016, Windows 10 1607, ovaj se uslužni program isporučuje s ažuriranjima sustava Windows objavljenim 14. travnja 2026. i kasnije.

A za Windows Server 2012 i Windows Server 2012 R2 (ESU) taj se uslužni program isporučuje u ažuriranjima sustava Windows objavljenim 14. travnja 2026. i kasnije.

Ovo je ključ značajke konfiguracije sigurnog pokretanja sustava koji će administratori domene postaviti upit i primijeniti ga na uređaje putem WinCS-a.

Naziv značajke Ključ WinCS Opis
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Omogućivanje tog ključa omogućuje instalaciju sljedećih novih certifikata za sigurno pokretanje sustava koje je omogućila tvrtka Microsoft na vašem uređaju.
  • Microsoft Corporation KEK 2K, CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

Vrijednost ključa za WinCS:

  • F33E0C8E002 – stanje konfiguracije sigurnog pokretanja = omogućeno

Kako postaviti upit o konfiguraciji sigurnog pokretanja sustava

Upit o konfiguraciji sigurnog pokretanja sustava može se zatražiti tako da otvorite naredbeni redak kao administrator i pokrenete sljedeću naredbu:

Napomena

WinCsFlags.exe /query --key F33E0C8E002

Vratit će sljedeće informacije (na čistom stroju):

Napomena

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E001
  • Stanje: Onemogućeno
  • Konfiguracija na čekanju: Nema
  • Radnja na čekanju: Nema
  • FwLink: https://aka.ms/getsecureboot
  • Dostupne konfiguracije:
  • F33E0C8E002
  • F33E0C8E001

Obratite pozornost na to da je trenutačna konfiguracija na uređaju F33E0C8E001, što znači da je ključ sigurnog pokretanja u stanju Onemogućeno .

Kako primijeniti konfiguraciju sigurnog pokretanja

Konfiguracija sigurnog pokretanja može se primijeniti tako da otvorite naredbeni redak kao administrator i pokrenete sljedeću naredbu:

Napomena

WinCsFlags.exe /apply --key "F33E0C8E002"

Uspješna primjena ključa trebala bi vratiti sljedeće informacije:

Napomena

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E002
  • Stanje: Omogućeno
  • Konfiguracija na čekanju: Nema
  • Radnja na čekanju: Nema
  • FwLink: https://aka.ms/getsecureboot
  • Dostupne konfiguracije:
  • F33E0C8E002
  • F33E0C8E001

Revizija konfiguracije sigurnog pokretanja sustava

Da biste kasnije utvrdili stanje konfiguracije sigurnog pokretanja, možete ponovno pokrenuti početnu naredbu za upit tako da kao administrator otvorite naredbeni redak:

Napomena

WinCsFlags.exe /query --key F33E0C8E002

Vraćene informacije bit će slične sljedećima, ovisno o stanju zastavice:

Napomena

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E002
  • Stanje: Omogućeno
  • Konfiguracija na čekanju: Nema
  • Radnja na čekanju: Nema
  • FwLink: https://aka.ms/getsecureboot
  • Dostupne konfiguracije:
  • F33E0C8E002
  • F33E0C8E001

Obratite pozornost na to da je stanje ključa sada Omogućeno, a trenutna je konfiguracija F33E0C8E002.

Napomena

Napomena: Primjena ključa sigurnog pokretanja putem WinCS-a ne znači da je postupak instaliranja certifikata za sigurno pokretanje sustava započeo ili da je završio.  To samo naznačuje da će računalo nastaviti s ažuriranjima sigurnog pokretanja kada se servisni zadatak sigurnog pokretanja sustava (TPMTasks) pokrene na tom računalu u sljedećoj dostupnoj prilici. Kada se TPMTasks pokrene na tom računalu, otkrit će 0x5944 i provesti ažuriranje. Planirani zadatak sigurnog pokretanja i ažuriranja pokreće se svakih 12 sati radi obrade zastavica ažuriranja sigurnog pokretanja sustava. Administratori to mogu ubrzati i ručnim pokretanjem zadatka ili ponovnim pokretanjem ako to žele.

Zadatak servisiranja sigurnog pokretanja sustava možete pokrenuti i ručno tako da slijedite korake u nastavku:

  1. Otvorite upit PowerShell kao administrator, a zatim pokrenite sljedeću naredbu:

    Napomena

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Ponovno pokrenite uređaj dva puta nakon pokretanja naredbe da biste potvrdili da uređaj radi s ažuriranom bazom pouzdanih potpisa (DB).

  3. Kao brzu provjeru je li ažuriranje baze sigurnog pokretanja sustava bilo uspješno, otvorite PowerShell upit kao administrator pa pokrenite sljedeću naredbu:

    Napomena

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Boot Secure
    Ako naredba vrati vrijednost True, ažuriranje je uspjelo.

    U slučaju pogrešaka prilikom primjene ažuriranja baze podataka, pogledajte članak KB5016061: Adresiranje ranjivih i opozvanih upravitelja pokretanja.

    Napomena

    Provjerava samo jednu ustanovu za izdavanje certifikata, a ne sve ustanove za izdavanje certifikata.

  4. Da biste provjerili jesu li svi certifikati ažurirani, pogledajte Ažuriranja certifikata za sigurno pokretanje: smjernice za IT stručnjake i tvrtke ili ustanove i slijedite smjernice u odjeljku "Praćenje zapisnika događaja". U ovom se odjeljku navode ID događaja: 1801 i ID događaja: 1808 , što je potpuniji način nadzora ažuriranja certifikata.