Windows configuration system (WinCS) API-k a biztonságos rendszerindításhoz

Biztonságos rendszerindítási parancssori felület a Windows konfigurációs rendszerével (WinCS)

Cél: A tartományi rendszergazdák a Windows operációs rendszer frissítéseivel kiadott Windows konfigurációs rendszert (WinCS) is használhatják a biztonságos rendszerindítási frissítések központi telepítéséhez a tartományhoz csatlakoztatott Windows-ügyfeleken és -kiszolgálókon. Ez egy parancssori felületi (CLI) segédprogramból áll, amely lekérdezi és helyileg alkalmazza a biztonságos rendszerindítási konfigurációkat egy gépen.  

A WinCS egy olyan konfigurációs kulcson dolgozik, amely a parancssori segédprogrammal használható a számítógép biztonságos rendszerindítási konfigurációs állapotának módosításához. Az alkalmazás után a következő ütemezett biztonságos rendszerindítás a kulcsnak megfelelően hajt végre műveleteket. 

Először ellenőrizze, hogy a biztonságos rendszerindítási tanúsítványok frissülnek-e a platformon 

A Biztonságos rendszerindítás állapotát a PowerShell-paranccsal ellenőrizheti:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Ha az Állapot értéke "Frissítve", akkor nem kell futtatnia a WinCS-t, és kihagyhatja az alábbi lépéseket.

Ha a tanúsítványok nem frissülnek a 2023-ra, akkor az alábbi további lépések érvényesek.

WinCS által támogatott platformok

A WinCS parancssori segédprogramot a Windows 10 21H2-es, Windows 10-es, 22H2-es, Windows 10 1607-es, Windows Server 2022-es, Windows Server 2019-es Windows Server 2016- és Windows 11, 23H2-es, Windows 11-es, 24H2-es, Windows 11-es, 25H2-es verzió.

Ez a segédprogram a 2025. október 28-án és azt követően kiadott Windows-frissítésekben érhető el Windows 11 24H2-es és Windows 11 23H2-es verziójához.

Ez a segédprogram a 2025. november 11-én és azt követően kiadott Windows-frissítésekben is elérhető, Windows 10, 21H2, Windows 10, 22H2 és Windows Server 2022-es verzióhoz.

A 2019-Windows Server esetében ez a segédprogram a 2026. január 13-án és azt követően kiadott Windows-frissítésekben érhető el. 

És Windows Server 2016, Windows 10 1607 esetében ez a segédprogram a 2026. február 10-én és azt követően kiadott Windows-frissítésekben érhető el.

Megjegyzés: Dolgozunk azon, hogy ezt a WinCS-támogatást Windows 10 platformokra hozzuk. Amint engedélyezve van a támogatás, frissítjük ezt a cikket. 

Itt található a Biztonságos rendszerindítás konfigurációs funkciókulcsa, amelyet a tartományi rendszergazdák a WinCS-n keresztül kérdeznek le és alkalmaznak az eszközökre. 

WinCS-kulcs értéke: 

• F33E0C8E002 – Biztonságos rendszerindítás konfigurációs állapota = Engedélyezve

Biztonságos rendszerindítási konfiguráció lekérdezése 

A biztonságos rendszerindítási konfiguráció egy parancssor rendszergazdaként való megnyitásával és a következő parancs futtatásával kérdezhető le:

Ez a következő információkat adja vissza (tiszta gépen): 

Figyelje meg, hogy az eszköz aktuális konfigurációja F33E0C8E001, ami azt jelenti, hogy a biztonságos rendszerindítási kulcs Letiltva állapotban van.  

Biztonságos rendszerindítási konfiguráció alkalmazása  

A biztonságos rendszerindítási konfiguráció egy parancssor rendszergazdaként való megnyitásával és a következő parancs futtatásával alkalmazható:

A kulcs sikeres alkalmazásának a következő információkat kell visszaadnia: 

Biztonságos rendszerindítási konfiguráció naplózása  

A biztonságos rendszerindítási konfiguráció állapotának későbbi meghatározásához futtassa újra a kezdeti lekérdezési parancsot, ha rendszergazdaként megnyit egy parancssort:

A visszaadott információk a jelölő állapotától függően a következőkhöz hasonlóak lesznek: 

Figyelje meg, hogy a kulcs állapota mostantól Engedélyezve, és az aktuális konfiguráció F33E0C8E002. 

A Biztonságos rendszerindítás karbantartási feladat manuális aktiválásához kövesse az alábbi lépéseket: 

1. Nyisson meg egy PowerShell-parancssort rendszergazdaként, majd futtassa a következő parancsot:

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. A parancs futtatása után kétszer indítsa újra az eszközt annak ellenőrzéséhez, hogy az eszköz a megbízható aláírások (DB) frissített adatbázisával kezd-e.

3. A biztonságos rendszerindítási adatbázis frissítésének sikerességének gyors ellenőrzéseként nyisson meg egy PowerShell-parancssort rendszergazdaként, majd futtassa a következő parancsot: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   Ha a parancs True ( Igaz) értéket ad vissza, a frissítés sikeres volt.
   
   Az adatbázis-frissítés alkalmazása során felmerülő hibák esetén tekintse meg a KB5016061: Sebezhető és visszavont rendszerindítás-kezelők kezelése című cikket.

   Megjegyzés: Ez csak egy hitelesítésszolgáltatót ellenőriz, nem minden hitelesítésszolgáltatót.

4. Az összes tanúsítvány frissítésének ellenőrzéséhez tekintse meg a Biztonságos rendszerindítási tanúsítványok frissítése: Útmutató informatikai szakembereknek és szervezeteknek című témakört, és kövesse az "Eseménynaplók monitorozása" című szakasz útmutatását. Ez a szakasz az 1801-es eseményazonosítót és az 1808-es eseményazonosítót sorolja fel, amely a tanúsítványok frissítésének teljesebb naplózására szolgál.