セキュア ブート用の Windows 構成システム (WinCS) API

Windows 構成システム (WinCS) を使用したセキュア ブート CLI

目標: ドメイン管理者は、Windows OS 更新プログラムでリリースされた Windows 構成システム (WinCS) を使用して、ドメインに参加している Windows クライアントとサーバー間でセキュア ブート更新プログラムを展開することもできます。 これは、コマンド ライン インターフェイス (CLI) ユーティリティで構成され、セキュア ブート構成をコンピューターに対してローカルに照会して適用します。  

WinCS は、コマンド ライン ユーティリティで使用できる構成キーをオフにして、マシンのセキュア ブート構成状態を変更します。 適用されると、次にスケジュールされたセキュア ブートがキーに従ってアクションを実行します。 

WinCS でサポートされているプラットフォーム

WinCS コマンド ライン ユーティリティは、Windows 11、バージョン 23H2、Windows 11、バージョン 24H2、Windows 11、バージョン 25H2 でサポートされています。 このユーティリティは、2025 年 10 月 28 日以降にリリースされた Windows 更新プログラムで、Windows 11、バージョン 24H2、Windows 11バージョン 23H2 で使用できます。

注: この WinCS サポートをWindows 10プラットフォームに導入しています。 サポートが有効になり次第、この記事を更新します。 

ドメイン管理者が WinCS を介してデバイスにクエリを実行して適用するセキュア ブート構成機能キーを次に示します。 

WinCS キー値: 

• F33E0C8E002 – セキュア ブート構成状態 = 有効

セキュア ブート構成のクエリを実行する方法 

セキュア ブート構成は、次のコマンド ラインで照会できます。

これにより、(クリーン コンピューター上の) 次の情報が返されます。 

デバイスの現在の構成が F33E0C8E001されていることに注意してください。つまり、セキュア ブート キーが 無効 状態です。  

セキュア ブート構成を適用する方法  

セキュア ブート証明書を有効にする特定の構成は、次の方法で構成できます。 

キーを正常に適用すると、次の情報が返されます。 

セキュア ブート構成を監査する方法  

セキュア ブート構成の状態を後で確認するには、最初のクエリ コマンドを再利用します。 

返される情報は、フラグの状態に応じて、次のようになります。 

キーの状態が [有効] になり、現在の構成がF33E0C8E002されていることに注意してください。 

次の手順に従って、セキュア ブート サービス タスクを手動でトリガーすることもできます。 

1. 管理者として PowerShell プロンプトを開き、次のコマンドを実行します。

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. コマンドを実行した後、デバイスを 2 回 再起動して、信頼された署名 (DB) の更新されたデータベースでデバイスが起動していることを確認します。

3. セキュア ブート DB の更新が成功したことを確認するには、管理者として PowerShell プロンプトを開き、次のコマンドを実行します。 

   [System.Text.Encoding]::ASCII。GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   コマンドが True を返した場合、更新は成功しました。
   
   DB 更新プログラムの適用中にエラーが発生した場合は、「KB5016061: 脆弱なブート マネージャーと取り消されたブート マネージャーの対処」の記事を参照してください。