Si applica a
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Data di pubblicazione originale: 14 ottobre 2025

ID KB: 5068197

Questo articolo contiene indicazioni per: 

  • Organizzazioni che hanno un reparto IT che gestisce i dispositivi e gli aggiornamenti di Windows.

Nota: se sei una persona che possiede un dispositivo Windows personale, vai all'articolo Dispositivi Windows per utenti privati, aziende e istituti di istruzione con aggiornamenti gestiti da Microsoft

Disponibilità di questo supporto:  

  • Incluso negli aggiornamenti di Windows rilasciati dopo il 28 ottobre 2025 per Windows 11, versione 24H2 e Windows 11, versione 23H2.

  • Incluso negli aggiornamenti rilasciati dopo l'11 novembre 2025 per altre versioni di Windows.

Secure Boot CLI using Windows Configuration System (WinCS)

Obiettivo: gli amministratori del dominio possono in alternativa usare il sistema di configurazione di Windows (WinCS) rilasciato con gli aggiornamenti del sistema operativo Windows per distribuire gli aggiornamenti di Avvio protetto tra client e server Windows aggiunti a un dominio. È costituito da un'utilità di interfaccia della riga di comando per eseguire query e applicare le configurazioni di avvio protetto in locale a un computer.  

WinCS disattiva una chiave di configurazione che può essere utilizzata con l'utilità della riga di comando per modificare lo stato di configurazione di avvio protetto nel computer. Una volta applicato, il successivo avvio protetto pianificato eseguirà azioni in base alla chiave. 

Piattaforme supportate da WinCS

L'utilità della riga di comando WinCS è supportata in Windows 11, versione 23H2, Windows 11, versione 24H2, Windows 11, versione 25H2. Questa utilità è disponibile negli aggiornamenti di Windows rilasciati dopo il 28 ottobre 2025 per Windows 11, versione 24H2 e Windows 11, versione 23H2.

Nota: stiamo lavorando per rendere disponibile il supporto WinCS per Windows 10 piattaforme. Questo articolo verrà aggiornato non appena il supporto sarà abilitato. 

Ecco la chiave della funzionalità di configurazione di avvio protetto che gli amministratori del dominio esercicheranno e applicano ai dispositivi tramite WinCS. 

Nome della funzionalità

Tasto WINCS

Descrizione

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

L'abilitazione di questa chiave consente l'installazione dei seguenti certificati di avvio protetto forniti da Microsoft nel dispositivo. 

  • Microsoft Corporation KEK 2K CA 2023

  • CA 2023 UEFI di Windows

  • Microsoft UEFI CA 2023

  • ROM UEFI Microsoft Option CA 2023

Valore della chiave WinCS: 

  • F33E0C8E002 - Stato di configurazione di Avvio protetto = Abilitato

Come eseguire query sulla configurazione di avvio protetto 

È possibile eseguire una query sulla configurazione di Avvio protetto con la seguente riga di comando:

WinCsFlags.exe /query --key F33E0C8E002

Verranno restituite le seguenti informazioni (su una macchina pulita): 

Contrassegno: F33E0C8E 

  Configurazione corrente: F33E0C8E001

  Stato: Disabilitato

  Configurazione in sospeso: Nessuna 

  Azione in sospeso: Nessuna  

  FwLink: https://aka.ms/getsecureboot 

  Configurazioni disponibili: 

    F33E0C8E002 

    F33E0C8E001 

Si noti che la configurazione corrente in un dispositivo è F33E0C8E001, il che significa che la chiave di avvio protetto è in stato disabilitato .  

Come applicare la configurazione di avvio protetto  

La configurazione specifica per abilitare i certificati di avvio protetto può essere configurata nel modo seguente: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Una corretta applicazione della chiave dovrebbe restituire le seguenti informazioni: 

Contrassegno: F33E0C8E 

  Configurazione corrente: F33E0C8E002

  Stato: abilitato

  Configurazione in sospeso: Nessuna 

  Azione in sospeso: Nessuna

  FwLink: https://aka.ms/getsecureboot 

 Configurazioni disponibili: 

    F33E0C8E002 

    F33E0C8E001  

Come controllare la configurazione di avvio protetto  

Per determinare lo stato della configurazione di avvio protetto in un secondo momento, è possibile riutilizzazione del comando di query iniziale: 

WinCsFlags.exe /query --key F33E0C8E002 

Le informazioni restituite saranno simili alle seguenti, a seconda dello stato del flag: 

Contrassegno: F33E0C8E 

  Configurazione corrente: F33E0C8E002

  Stato: abilitato

  Configurazione in sospeso: Nessuna 

  Azione in sospeso: Nessuna

  FwLink: https://aka.ms/getsecureboot 

  Configurazioni disponibili: 

    F33E0C8E002 

    F33E0C8E001  

Si noti che lo stato della chiave è ora Abilitato e la configurazione corrente è F33E0C8E002. 

Nota: L'applicazione della chiave di avvio protetto tramite WinCS non significa che il processo di installazione del certificato di avvio protetto sia stato avviato o completato.  Indica semplicemente che il computer procederà con gli aggiornamenti di Avvio protetto quando l'attività di manutenzione di Avvio protetto (TPMTasks) viene eseguita su quel computer alla successiva opportunità disponibile. Quando TPMTasks viene eseguito su quel computer, rileverà 0x5944 ed eseguirà l'aggiornamento. Per impostazione predefinita, l'attività pianificata Secure-Boot-Update viene eseguita ogni 12 ore per elaborare tali flag di aggiornamento di avvio protetto. Gli amministratori possono anche accelerare l'esecuzione manuale dell'attività o il riavvio, se necessario.  

Puoi anche attivare manualmente l'attività di manutenzione di Avvio protetto eseguendo le operazioni seguenti: 

  1. Aprire un prompt di PowerShell come amministratore e quindi eseguire il comando seguente:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Riavvia il dispositivo due volte dopo aver eseguito il comando per verificare che il dispositivo inizi con il database aggiornato delle firme attendibili (DB).

  3. Per verificare che l'aggiornamento di Secure Boot DB sia stato completato correttamente, apri un prompt di PowerShell come amministratore ed esegui il comando seguente: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Boot Secure

    Se il comando restituisce True, l'aggiornamento è riuscito.In caso di errori durante l'applicazione dell'aggiornamento DB, vedi l'articolo KB5016061: Risoluzione dei problemi relativi a boot manager vulnerabili e revocati

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità