セキュア ブート用の Windows 構成システム (WinCS) API

Windows 構成システム (WinCS) を使用したセキュア ブート CLI

目標: ドメイン管理者は、Windows OS 更新プログラムでリリースされた Windows 構成システム (WinCS) を使用して、ドメインに参加している Windows クライアントとサーバー間でセキュア ブート更新プログラムを展開することもできます。 これは、コマンド ライン インターフェイス (CLI) ユーティリティで構成され、セキュア ブート構成をコンピューターに対してローカルに照会して適用します。  

WinCS は、コマンド ライン ユーティリティで使用できる構成キーをオフにして、マシンのセキュア ブート構成状態を変更します。 適用されると、次にスケジュールされたセキュア ブートがキーに従ってアクションを実行します。 

WinCS でサポートされているプラットフォーム

WinCS コマンド ライン ユーティリティは、2025 年 10 月Windows 11バージョン 23H2、Windows 11、バージョン 24H2、Windows 11、バージョン 25H2 でサポートされています。  

注: この WinCS サポートをWindows 10プラットフォームに導入しています。 サポートが有効になり次第、この記事を更新します。 

ドメイン管理者が WinCS を介してデバイスにクエリを実行して適用するセキュア ブート構成機能キーを次に示します。 

WinCS キー値: 

• F33E0C8E002 – セキュア ブート構成状態 = 有効

セキュア ブート構成のクエリを実行する方法 

セキュア ブート構成は、次のコマンド ラインで照会できます。

これにより、(クリーン コンピューター上の) 次の情報が返されます。 

デバイスの現在の構成が F33E0C8E001されていることに注意してください。つまり、セキュア ブート キーが 無効 状態です。  

セキュア ブート構成を適用する方法  

セキュア ブート証明書を有効にする特定の構成は、次の方法で構成できます。 

キーを正常に適用すると、次の情報が返されます。 

セキュア ブート構成を監査する方法  

セキュア ブート構成の状態を後で確認するには、最初のクエリ コマンドを再利用します。 

返される情報は、フラグの状態に応じて、次のようになります。 

キーの状態が [有効] になり、現在の構成がF33E0C8E002されていることに注意してください。 

次の手順に従って、セキュア ブート サービス タスクを手動でトリガーすることもできます。 

1. 管理者として PowerShell プロンプトを開き、次のコマンドを実行します。

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. コマンドを実行した後、デバイスを 2 回 再起動して、信頼された署名 (DB) の更新されたデータベースでデバイスが起動していることを確認します。

3. セキュア ブート DB の更新が成功したことを確認するには、管理者として PowerShell プロンプトを開き、次のコマンドを実行します。 

   [System.Text.Encoding]::ASCII。GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   コマンドが True を返した場合、更新は成功しました。
   
   DB 更新プログラムの適用中にエラーが発生した場合は、「KB5016061: 脆弱なブート マネージャーと取り消されたブート マネージャーの対処」の記事を参照してください。