Windows konfigurációs rendszer (WinCS) API-k a biztonságos rendszerindításhoz

Hatókör
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Megjegyzés

  • Eredeti közzétételi dátum: 2025. október 14.
  • KB-azonosító: 5068197
Módosítási napló
Dátum módosítása Módosítás leírása
Április 16. 2026
  • "A támogatás elérhetősége" szakasz el lett távolítva, mivel az információkat a "WinCS által támogatott platformok" szakasz tartalmazza.
Április 10, 2026
  • Frissítettük a dátumot a Windows 10 1607-Windows / Server 2016 rendszerhez a "WinCS által támogatott platformok" szakaszban.
  • Új platformtámogatással bővült a Windows Server 2012 és a Windows Server 2012 R2 (ESU) számára a "WinCS által támogatott platformok" szakaszban.
2026. február 20.
  • Új szakasz hozzáadva: "Először ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok frissülnek-e a platformon"
2025. december 16.
  • Javítottuk a parancssort a "Biztonságos rendszerindítási konfiguráció alkalmazása" szakaszban, mivel helytelen karaktereket tartalmazott.

    Címzett: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Kijavítottuk a "Biztonságos rendszerindítási konfiguráció naplózása" című szakasz parancssorát, mivel a sor végén szóköz szerepelt.

    Címzett: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • "A támogatás elérhetősége" szakaszban hozzáadtuk, hogy a Windows 10, a 21H2-es és 22H2-es verziók, valamint a Windows Server 2022 hozzá lett adva a 2025. november 11-én és azt követően készült kiadásokban. Emellett a 2026 első negyedévében kiadott frissítések tartalmazni fogják a Windows egyéb verzióinak támogatását is.
2025. december 11.
  • A "Biztonságos rendszerindítási konfiguráció naplózása" című szakasz 3. lépése megváltozott:

    Kezdő időpont: A Secure Boot DB frissítésének sikerességét úgy ellenőrizheti, hogy rendszergazdaként nyisson meg egy PowerShell-parancsot, majd futtassa a következő parancsot:

    Címzett: A biztonságos rendszerindítási adatbázis frissítésének gyors ellenőrzéséhez nyisson meg egy PowerShell-parancsot rendszergazdaként, majd futtassa a következő parancsot:
  • A 4. lépés hozzáadva a "Biztonságos rendszerindítási konfiguráció naplózása" szakaszhoz:

    Ha ellenőrizni szeretné, hogy az összes tanúsítvány frissült-e, olvassa el a Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek című témakört, és kövesse az "Eseménynaplók figyelése" című szakasz útmutatását. Ebben a szakaszban az 1801-es és az 1808-as eseményazonosító szerepel, amely a tanúsítványok frissítésének teljes körű ellenőrzésére szolgál.

Biztonságos rendszerindítási parancssori felület a Windows konfigurációs rendszerével (WinCS)

Cél: A tartományi rendszergazdák a Windows operációs rendszer frissítéseivel együtt kiadott Windows konfigurációs rendszer (WinCS) használatával is üzembe helyezhetik a biztonságos rendszerindítási frissítéseket tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Ez egy parancssori felület (CLI) segédprogramból áll, amely lekérdezi és helyileg alkalmazza a biztonságos rendszerindítási konfigurációkat a gépen.

A WinCS egy konfigurációs kulcsot használ, amely a parancssori segédprogrammal használható a biztonságos rendszerindítás konfigurációs állapotának módosításához a gépen. Az alkalmazást követően a következő ütemezett biztonságos rendszerindítás a kulcsnak megfelelő műveleteket hajt végre.

Először ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok frissülnek-e a platformján

A biztonságos rendszerindítás állapotát a PowerShell paranccsal ellenőrizheti:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Név 'UEFICA2023Status'). UEFICA2023Állapot

Ha az állapotnál a "Frissítve" felirat látható, akkor nem kell futtatnia a WinCS szolgáltatást, és kihagyhatja az alábbi lépéseket.

Ha a tanúsítványok nem frissülnek a 2023-as verziókra, akkor az alábbi további lépések érvényesek.

WinCS által támogatott platformok

A WinCS parancssori segédprogram a Windows 10 21H2-es verziójában, a Windows 10 22H2-es verziójában, a Windows 10 1607-ben, a Windows Server 2022-ben, a Windows Server 2019-ben, a Windows Server 2016-ban támogatott, Windows 11, 23H2-es, Windows 11, 24H2-es verzió, Windows 11, 25H2-es verzió.

Ez a segédprogram a 2025. október 28-án és azt követően kiadott Windows-frissítésekben érhető el a Windows 11 24H2-es és a Windows 11 23H2-es verziójához.

Ez a segédprogram a 2025. november 11-én és azt követően kiadott Windows-frissítésekben is elérhető a Windows 10 21H2-es verziójához, a Windows 10 22H2-es verziójához és a Windows Server 2022-es verziójához.

A Windows Server 2019 esetében ez a segédprogram a 2026. január 13-án és azt követően kiadott Windows-frissítésekben található.

A Windows Server 2016 és a Windows 10 1607 esetében ez a segédprogram a 2026. április 14-én és azt követően kiadott Windows-frissítésekben található.

A Windows Server 2012 és a Windows Server 2012 R2 (ESU) esetében pedig ez a segédprogram a 2026. április 14-én és azt követően kiadott Windows-frissítésekben található.

Itt találja a biztonságos rendszerindítás konfigurációs funkciókulcsát, amelyet a tartományrendszergazdák lekérdezhetnek és alkalmazhatnak az eszközökre a WinCS-en keresztül.

Funkció neve WinCS-kulcs Leírás:
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Ennek a kulcsnak az engedélyezése lehetővé teszi a következő, Microsoft által biztosított biztonságos rendszerindítási új tanúsítványok telepítését az eszközön.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

WinCS-kulcs értéke:

  • F33E0C8E002 – Biztonságos rendszerindítás konfigurációs állapota = Engedélyezve

A biztonságos rendszerindítási konfiguráció lekérdezése

A biztonságos rendszerindítási konfiguráció lekérdezéséhez nyisson meg egy parancssort rendszergazdaként, és futtassa a következő parancsot:

Megjegyzés

WinCsFlags.exe /query --key F33E0C8E002

Ez a következő adatokat adja vissza (tiszta gépen):

Megjegyzés

  • Jelölő: F33E0C8E
  • Jelenlegi konfiguráció: F33E0C8E001
  • Állapot: Letiltva
  • Függőben lévő konfiguráció: Nincs
  • Függőben lévő művelet: Nincs
  • FwLink: https://aka.ms/getsecureboot
  • Elérhető konfigurációk:
  • F33E0C8E002
  • F33E0C8E001

Figyelje meg, hogy az eszköz jelenlegi konfigurációja F33E0C8E001, ami azt jelenti, hogy a biztonságos rendszerindítás kulcs letiltott állapotban van.

A biztonságos rendszerindítási konfiguráció alkalmazása

A biztonságos rendszerindítási konfiguráció alkalmazásához nyissa meg a parancssort rendszergazdaként, és futtassa az alábbi parancsot:

Megjegyzés

WinCsFlags.exe /apply --key "F33E0C8E002"

A kulcs sikeres alkalmazása a következő adatokat adja vissza:

Megjegyzés

  • Jelölő: F33E0C8E
  • Jelenlegi konfiguráció: F33E0C8E002
  • Állapot: Engedélyezve
  • Függőben lévő konfiguráció: Nincs
  • Függőben lévő művelet: Nincs
  • FwLink: https://aka.ms/getsecureboot
  • Elérhető konfigurációk:
  • F33E0C8E002
  • F33E0C8E001

A biztonságos rendszerindítási konfiguráció naplózása

A biztonságos rendszerindítási konfiguráció állapotának későbbi meghatározásához futtassa újra a kezdeti lekérdezési parancsot egy parancssor rendszergazdaként történő megnyitásával:

Megjegyzés

WinCsFlags.exe /query --key F33E0C8E002

Az eredményül kapott információ a jelző állapotától függően a következőhöz hasonló:

Megjegyzés

  • Jelölő: F33E0C8E
  • Jelenlegi konfiguráció: F33E0C8E002
  • Állapot: Engedélyezve
  • Függőben lévő konfiguráció: Nincs
  • Függőben lévő művelet: Nincs
  • FwLink: https://aka.ms/getsecureboot
  • Elérhető konfigurációk:
  • F33E0C8E002
  • F33E0C8E001

Láthatja, hogy a kulcs állapota engedélyezve van, és az aktuális konfiguráció F33E0C8E002.

Megjegyzés

Megjegyzés: A biztonságos rendszerindítási kulcs WinCS-en keresztüli alkalmazása nem jelenti azt, hogy a biztonságos rendszerindítási tanúsítvány telepítési folyamata elkezdődött vagy befejeződött.  Csupán azt jelzi, hogy a gép folytatni fogja a biztonságos rendszerindítási frissítéseket, amikor a biztonságos rendszerindítási karbantartási feladat (TPMTasks) fut a gépen a következő alkalommal. Amikor a TPMTasks fut az adott gépen, észleli a 0x5944 és végrehajtja a frissítést. Szándékosan a biztonságos rendszerindítási frissítés ütemezett feladata 12 óránként fut az ilyen biztonságos rendszerindítási frissítési jelzők feldolgozásához. A rendszergazdák a feladat manuális futtatásával vagy szükség esetén az újraindítással is meggyorsíthatják a műveletet.

A Biztonságos rendszerindítási karbantartási feladatot manuálisan is elindíthatja az alábbi lépések végrehajtásával:

  1. Nyisson meg egy PowerShell-parancsot rendszergazdaként, majd futtassa a következő parancsot:

    Megjegyzés

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. A parancs futtatása után indítsa újra kétszer az eszközt, és győződjön meg arról, hogy az eszköz a megbízható aláírások frissített adatbázisával indul.

  3. A biztonságos rendszerindítási adatbázis frissítésének gyors ellenőrzéséhez nyisson meg egy PowerShell-parancsot rendszergazdaként, majd futtassa a következő parancsot:

    Megjegyzés

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Biztonságos rendszerindítás
    Ha a parancs Igaz értéket ad vissza, a frissítés sikeres volt.

    Ha hibák lépnek fel az adatbázis-frissítés alkalmazása során, olvassa el a következő cikket : KB5016061: A sebezhető és visszavont rendszerindító-kezelők javítása.

    Megjegyzés

    Ez csak egy hitelesítésszolgáltatót ellenőriz, és nem az összeset.

  4. Ha ellenőrizni szeretné, hogy az összes tanúsítvány frissült-e, olvassa el a Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek című témakört, és kövesse az "Eseménynaplók figyelése" című szakasz útmutatását. Ebben a szakaszban az 1801-es és az 1808-as eseményazonosítójú események szerepelnek, amelyekkel részletesebben ellenőrizhető, hogy a tanúsítványok frissültek-e.