Megjegyzés
- Eredeti közzétételi dátum: 2025. október 14.
- KB-azonosító: 5068197
Módosítási napló
| Dátum módosítása | Módosítás leírása |
|---|---|
| Április 16. 2026 |
|
| Április 10, 2026 |
|
| 2026. február 20. |
|
| 2025. december 16. |
|
| 2025. december 11. |
|
Biztonságos rendszerindítási parancssori felület a Windows konfigurációs rendszerével (WinCS)
Cél: A tartományi rendszergazdák a Windows operációs rendszer frissítéseivel együtt kiadott Windows konfigurációs rendszer (WinCS) használatával is üzembe helyezhetik a biztonságos rendszerindítási frissítéseket tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Ez egy parancssori felület (CLI) segédprogramból áll, amely lekérdezi és helyileg alkalmazza a biztonságos rendszerindítási konfigurációkat a gépen.
A WinCS egy konfigurációs kulcsot használ, amely a parancssori segédprogrammal használható a biztonságos rendszerindítás konfigurációs állapotának módosításához a gépen. Az alkalmazást követően a következő ütemezett biztonságos rendszerindítás a kulcsnak megfelelő műveleteket hajt végre.
Először ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok frissülnek-e a platformján
A biztonságos rendszerindítás állapotát a PowerShell paranccsal ellenőrizheti:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Név 'UEFICA2023Status'). UEFICA2023Állapot
Ha az állapotnál a "Frissítve" felirat látható, akkor nem kell futtatnia a WinCS szolgáltatást, és kihagyhatja az alábbi lépéseket.
Ha a tanúsítványok nem frissülnek a 2023-as verziókra, akkor az alábbi további lépések érvényesek.
WinCS által támogatott platformok
A WinCS parancssori segédprogram a Windows 10 21H2-es verziójában, a Windows 10 22H2-es verziójában, a Windows 10 1607-ben, a Windows Server 2022-ben, a Windows Server 2019-ben, a Windows Server 2016-ban támogatott, Windows 11, 23H2-es, Windows 11, 24H2-es verzió, Windows 11, 25H2-es verzió.
Ez a segédprogram a 2025. október 28-án és azt követően kiadott Windows-frissítésekben érhető el a Windows 11 24H2-es és a Windows 11 23H2-es verziójához.
Ez a segédprogram a 2025. november 11-én és azt követően kiadott Windows-frissítésekben is elérhető a Windows 10 21H2-es verziójához, a Windows 10 22H2-es verziójához és a Windows Server 2022-es verziójához.
A Windows Server 2019 esetében ez a segédprogram a 2026. január 13-án és azt követően kiadott Windows-frissítésekben található.
A Windows Server 2016 és a Windows 10 1607 esetében ez a segédprogram a 2026. április 14-én és azt követően kiadott Windows-frissítésekben található.
A Windows Server 2012 és a Windows Server 2012 R2 (ESU) esetében pedig ez a segédprogram a 2026. április 14-én és azt követően kiadott Windows-frissítésekben található.
Itt találja a biztonságos rendszerindítás konfigurációs funkciókulcsát, amelyet a tartományrendszergazdák lekérdezhetnek és alkalmazhatnak az eszközökre a WinCS-en keresztül.
| Funkció neve | WinCS-kulcs | Leírás: |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Ennek a kulcsnak az engedélyezése lehetővé teszi a következő, Microsoft által biztosított biztonságos rendszerindítási új tanúsítványok telepítését az eszközön.
|
WinCS-kulcs értéke:
- F33E0C8E002 – Biztonságos rendszerindítás konfigurációs állapota = Engedélyezve
A biztonságos rendszerindítási konfiguráció lekérdezése
A biztonságos rendszerindítási konfiguráció lekérdezéséhez nyisson meg egy parancssort rendszergazdaként, és futtassa a következő parancsot:
Megjegyzés
WinCsFlags.exe /query --key F33E0C8E002
Ez a következő adatokat adja vissza (tiszta gépen):
Megjegyzés
- Jelölő: F33E0C8E
- Jelenlegi konfiguráció: F33E0C8E001
- Állapot: Letiltva
- Függőben lévő konfiguráció: Nincs
- Függőben lévő művelet: Nincs
- FwLink: https://aka.ms/getsecureboot
- Elérhető konfigurációk:
- F33E0C8E002
- F33E0C8E001
Figyelje meg, hogy az eszköz jelenlegi konfigurációja F33E0C8E001, ami azt jelenti, hogy a biztonságos rendszerindítás kulcs letiltott állapotban van.
A biztonságos rendszerindítási konfiguráció alkalmazása
A biztonságos rendszerindítási konfiguráció alkalmazásához nyissa meg a parancssort rendszergazdaként, és futtassa az alábbi parancsot:
Megjegyzés
WinCsFlags.exe /apply --key "F33E0C8E002"
A kulcs sikeres alkalmazása a következő adatokat adja vissza:
Megjegyzés
- Jelölő: F33E0C8E
- Jelenlegi konfiguráció: F33E0C8E002
- Állapot: Engedélyezve
- Függőben lévő konfiguráció: Nincs
- Függőben lévő művelet: Nincs
- FwLink: https://aka.ms/getsecureboot
- Elérhető konfigurációk:
- F33E0C8E002
- F33E0C8E001
A biztonságos rendszerindítási konfiguráció naplózása
A biztonságos rendszerindítási konfiguráció állapotának későbbi meghatározásához futtassa újra a kezdeti lekérdezési parancsot egy parancssor rendszergazdaként történő megnyitásával:
Megjegyzés
WinCsFlags.exe /query --key F33E0C8E002
Az eredményül kapott információ a jelző állapotától függően a következőhöz hasonló:
Megjegyzés
- Jelölő: F33E0C8E
- Jelenlegi konfiguráció: F33E0C8E002
- Állapot: Engedélyezve
- Függőben lévő konfiguráció: Nincs
- Függőben lévő művelet: Nincs
- FwLink: https://aka.ms/getsecureboot
- Elérhető konfigurációk:
- F33E0C8E002
- F33E0C8E001
Láthatja, hogy a kulcs állapota engedélyezve van, és az aktuális konfiguráció F33E0C8E002.
Megjegyzés
Megjegyzés: A biztonságos rendszerindítási kulcs WinCS-en keresztüli alkalmazása nem jelenti azt, hogy a biztonságos rendszerindítási tanúsítvány telepítési folyamata elkezdődött vagy befejeződött. Csupán azt jelzi, hogy a gép folytatni fogja a biztonságos rendszerindítási frissítéseket, amikor a biztonságos rendszerindítási karbantartási feladat (TPMTasks) fut a gépen a következő alkalommal. Amikor a TPMTasks fut az adott gépen, észleli a 0x5944 és végrehajtja a frissítést. Szándékosan a biztonságos rendszerindítási frissítés ütemezett feladata 12 óránként fut az ilyen biztonságos rendszerindítási frissítési jelzők feldolgozásához. A rendszergazdák a feladat manuális futtatásával vagy szükség esetén az újraindítással is meggyorsíthatják a műveletet.
A Biztonságos rendszerindítási karbantartási feladatot manuálisan is elindíthatja az alábbi lépések végrehajtásával:
Nyisson meg egy PowerShell-parancsot rendszergazdaként, majd futtassa a következő parancsot:
Megjegyzés
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"A parancs futtatása után indítsa újra kétszer az eszközt, és győződjön meg arról, hogy az eszköz a megbízható aláírások frissített adatbázisával indul.
A biztonságos rendszerindítási adatbázis frissítésének gyors ellenőrzéséhez nyisson meg egy PowerShell-parancsot rendszergazdaként, majd futtassa a következő parancsot:
Megjegyzés
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Ha a parancs Igaz értéket ad vissza, a frissítés sikeres volt.Ha hibák lépnek fel az adatbázis-frissítés alkalmazása során, olvassa el a következő cikket : KB5016061: A sebezhető és visszavont rendszerindító-kezelők javítása.
Megjegyzés
Ez csak egy hitelesítésszolgáltatót ellenőriz, és nem az összeset.
Ha ellenőrizni szeretné, hogy az összes tanúsítvány frissült-e, olvassa el a Biztonságos rendszerindítási tanúsítvány frissítései: Útmutató informatikai szakembereknek és szervezeteknek című témakört, és kövesse az "Eseménynaplók figyelése" című szakasz útmutatását. Ebben a szakaszban az 1801-es és az 1808-as eseményazonosítójú események szerepelnek, amelyekkel részletesebben ellenőrizhető, hogy a tanúsítványok frissültek-e.