API-ji sustava Windows Configuration System (WinCS) za sigurno pokretanje

Secure Boot CLI using Windows Configuration System (WinCS)

Cilj: administratori domene mogu koristiti i Windows Configuration System (WinCS) koji je izdan s ažuriranjima operacijskog sustava Windows radi implementacije ažuriranja sigurnog pokretanja na svim klijentima i poslužiteljima sustava Windows pridruženima domeni. Sastoji se od uslužnog programa sučelja naredbenog retka (CLI) za upit i primjenu konfiguracija sigurnog pokretanja lokalno na računalo.  

WinCS funkcionira s konfiguracijskim ključem koji se može koristiti s uslužnim programom naredbenog retka za izmjenu stanja konfiguracije sigurnog pokretanja na računalu. Nakon što se primijeni, sljedeće zakazano sigurno pokretanje izvodit će akcije prema ključu. 

Najprije provjerite jesu li certifikati za sigurno pokretanje ažurirani na vašoj platformi 

Status sigurnog pokretanja možete provjeriti pomoću naredbe Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Ako status prikazuje "Ažurirano", ne morate pokrenuti WinCS i preskočiti korake u nastavku.

Ako certifikati nisu ažurirani na verzije 2023, primijenit će se dodatni koraci u nastavku.

Platforme koje podržava WinCS

Uslužni program naredbenog retka za WinCS podržan je u verziji 21H2 sustava Windows 10, Windows 10, verziji 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, verzija 23H2, Windows 11, verzija 24H2, Windows 11, verzija 25H2.

Taj je uslužni program dostupan u ažuriranjima sustava Windows objavljenima 28. listopada 2025. i nakon toga za Windows 11, verziju 24H2 i Windows 11, verziju 23H2.

Taj je uslužni program dostupan i u ažuriranjima sustava Windows objavljenima 11. studenoga 2025. za Windows 10, verziju 21H2, Windows 10, verziju 22H2 i Windows Server 2022.

Za Windows Server 2019. taj se uslužni program isporučuje u ažuriranjima sustava Windows objavljenima 13. siječnja 2026. i nakon. siječnja 2026. 

A za Windows Server 2016. Windows 10 1607, taj se uslužni program isporučuje u ažuriranjima sustava Windows objavljenima 10. veljače 2026. i nakon toga.

Napomena: radimo na dovođenja ove podrške za WinCS na Windows 10 platforme. Ažurirat ćemo ovaj članak čim podrška bude omogućena. 

Evo ključa značajke konfiguracije sigurnog pokretanja koji će administratori domene pregledavati i primjenjivati na uređaje putem winCS-a. 

Vrijednost ključa za WinCS: 

• F33E0C8E002 – stanje konfiguracije sigurnog pokretanja = Omogućeno

Kako postaviti upit za konfiguraciju sigurnog pokretanja 

Konfiguracija sigurnog pokretanja može se upiti otvaranjem naredbenog retka kao administratora i pokretanjem ove naredbe:

Time će se vratiti sljedeće informacije (na čistom računalu): 

Obratite pozornost na trenutnu konfiguraciju na uređaju F33E0C8E001, što znači da je ključ sigurnog pokretanja u stanju Onemogućeno .  

Kako primijeniti konfiguraciju sigurnog pokretanja  

Konfiguracija sigurnog pokretanja može se primijeniti otvaranjem naredbenog retka kao administratora i pokretanjem ove naredbe:

Uspješna aplikacija ključa trebala bi vratiti sljedeće informacije: 

Nadzor konfiguracije sigurnog pokretanja  

Da biste kasnije odredili stanje konfiguracije sigurnog pokretanja, možete ponovno pokrenuti početnu naredbu upita tako da otvorite naredbeni redak kao administrator:

Vraćeni podaci bit će slični sljedećem, ovisno o stanju zastavice: 

Obratite pozornost na to da je stanje ključa sada Omogućeno, a trenutna je konfiguracija F33E0C8E002. 

Možete i ručno pokrenuti zadatak servisiranja sigurnog pokretanja slijedeći korake u nastavku: 

1. Otvorite upit za PowerShell kao administrator, a zatim pokrenite sljedeću naredbu:

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. Ponovno pokrenite uređaj dva puta nakon pokretanja naredbe da biste potvrdili da uređaj počinje s ažuriranom bazom podataka pouzdanih potpisa (DB).

3. Kao brzu provjeru je li ažuriranje baze podataka za sigurno pokretanje bilo uspješno, otvorite upit ljuske PowerShell kao administrator, a zatim pokrenite sljedeću naredbu: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   Ako naredba vraća True, ažuriranje je bilo uspješno.
   
   U slučaju pogrešaka prilikom primjene ažuriranja baze podataka pogledajte članak u članku KB5016061: Adresiranje ranjivih i opozvanih upravitelja pokretanja.

   Napomena: Time se provjerava samo jedan ca, a ne svi CAs.

4. Da biste provjerili jesu li svi certifikati ažurirani, pročitajte članak Ažuriranja certifikata za sigurno pokretanje: Smjernice za IT profesionalce i tvrtke ili ustanove i slijedite upute u odjeljku "Nadzor zapisnika događaja". U ovom se odjeljku navode ID događaja: 1801 i ID događaja: 1808 , što je potpuniji način nadzora ažuriranja certifikata.