Taikoma
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pradinė publikavimo data: 2025 m. spalio 14 d.

KB ID: 5068197

Šiame straipsnyje pateikiamos rekomendacijos, skirtos: 

  • Organizacijos, kurios turi savo IT skyrių, valdantį "Windows" įrenginius ir naujinimus.

Pastaba: jei esate asmuo, kuriam priklauso asmeninis "Windows" įrenginys, eikite į straipsnį Namų vartotojams, įmonėms ir mokymo įstaigoms skirti "Windows" įrenginiai su "Microsoft" valdomais naujinimais

Šio palaikymo pasiekiamumas:  

  • Įtraukta į 2025 m. spalio 28 d. ir vėliau išleistus "Windows" naujinimus, skirtus Windows 11 24H2 versijai ir Windows 11 23H2 versijai.

  • Įtraukta į 2025 m. lapkričio 11 d. ir vėliau išleistus kitų "Windows" versijų naujinimus.

Saugiosios įkrovos CLI naudojant "Windows" konfigūravimo sistemą (WinCS)

Tikslas: Domeno administratoriai taip pat gali naudoti "Windows" konfigūravimo sistemą (WinCS), išleistą su "Windows" OS naujinimais, kad įdiegtų saugiosios įkrovos naujinimus visuose prie domeno prijungtuose "Windows" klientuose ir serveriuose. Jį sudaro komandų eilutės sąsajos (CLI) priemonė, kuri leidžia teikti užklausas ir kompiuteryje taikyti saugiosios įkrovos konfigūracijas.  

"WinCS" veikia su konfigūracijos raktu, kuris gali būti naudojamas su komandų eilutės paslaugų programa, kad modifikuotų saugiosios įkrovos konfigūracijos būseną kompiuteryje. Pritaikius kitą suplanuotą saugiąją įkrovą, veiksmai bus atliekami pagal raktą. 

"WinCS" palaikomos platformos

"WinCS" komandų eilutės paslaugų programa palaikoma Windows 11 23H2 versijoje, Windows 11, 24H2 versijoje, Windows 11, 25H2 versijoje. Ši paslaugų programa pasiekiama "Windows" naujinimuose, išleistuose 2025 m. spalio 28 d. ir vėliau Windows 11 24H2 versijoje ir Windows 11, 23H2 versijoje.

Pastaba: stengiamės šį "WinCS" palaikymą perkelti į Windows 10 platformas. Atnaujinsime šį straipsnį, kai tik bus įgalintas palaikymas. 

Štai saugiosios įkrovos konfigūracijos funkcijos raktas, kurį domeno administratoriai pateiks užklausą ir pritaikys įrenginiams per "WinCS". 

Funkcijos pavadinimas

WinCS raktas

Aprašas

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Įgalinus šį raktą, jūsų įrenginyje galima įdiegti šiuos "Microsoft" pateiktus saugiosios įkrovos naujus sertifikatus. 

  • Microsoft Corporation KEK 2K CA 2023

  • "Windows UEFI CA 2023"

  • Microsoft UEFI CA 2023

  • "Microsoft Option UEFI ROM CA 2023"

"WinCS" rakto reikšmė: 

  • F33E0C8E002 – saugiosios įkrovos konfigūracijos būsena = įgalinta

Kaip užklausti saugiosios įkrovos konfigūraciją 

Saugiosios įkrovos konfigūraciją galima pateikti naudojant šią komandų eilutę:

WinCsFlags.exe /query --key F33E0C8E002

Bus pateikta ši informacija (švariame įrenginyje): 

Vėliavėlė: F33E0C8E 

  Dabartinė konfigūracija: F33E0C8E001

  Būsena: išjungta

  Laukianti konfigūracija: nėra 

  Laukiantis veiksmas: nėra  

  FwLink: https://aka.ms/getsecureboot 

  Galimos konfigūracijos: 

    F33E0C8E002 

    F33E0C8E001 

Atkreipkite dėmesį, kad dabartinė įrenginio konfigūracija yra F33E0C8E001, o tai reiškia, kad saugiosios įkrovos rakto būsena yra Išjungta .  

Kaip taikyti saugiosios įkrovos konfigūraciją  

Konkreti konfigūracija įgalinti saugiosios įkrovos sertifikatus gali būti konfigūruojama tokiu būdu: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Sėkmingas rakto taikymas turėtų pateikti šią informaciją: 

Vėliavėlė: F33E0C8E 

  Dabartinė konfigūracija: F33E0C8E002

  Būsena: įgalinta

  Laukianti konfigūracija: nėra 

  Laukiantis veiksmas: nėra

  FwLink: https://aka.ms/getsecureboot 

 Galimos konfigūracijos: 

    F33E0C8E002 

    F33E0C8E001  

Kaip patikrinti saugiosios įkrovos konfigūraciją  

Norėdami nustatyti saugiosios įkrovos konfigūracijos būseną vėliau, galite iš naujo naudoti pradinės užklausos komandą: 

WinCsFlags.exe /query – rakto F33E0C8E002 

Atsižvelgiant į vėliavėlės būseną, grąžinama informacija bus panaši į šią: 

Vėliavėlė: F33E0C8E 

  Dabartinė konfigūracija: F33E0C8E002

  Būsena: įgalinta

  Laukianti konfigūracija: nėra 

  Laukiantis veiksmas: nėra

  FwLink: https://aka.ms/getsecureboot 

  Galimos konfigūracijos: 

    F33E0C8E002 

    F33E0C8E001  

Atkreipkite dėmesį, kad dabar rakto būsena yra Įgalinta, o dabartinė konfigūracija yra F33E0C8E002. 

Pastaba: Saugiosios įkrovos rakto taikymas per "WinCS" nereiškia, kad saugiosios įkrovos sertifikato diegimo procesas buvo pradėtas arba baigtas.  Jis tik nurodo, kad įrenginys tęs saugiosios įkrovos naujinimus, kai saugiosios įkrovos priežiūros užduotis (TPMTasks) veiks tame kompiuteryje kita galima galimybe. Kai TPMTasks veikia tame kompiuteryje, jis aptiks 0x5944 ir atliks naujinimą. Numatyta, kad saugiosios įkrovos naujinimo suplanuota užduotis vykdoma kas 12 valandų, kad būtų apdorotos saugiosios įkrovos naujinimo žymės. Administratoriai taip pat gali pagreitinti rankiniu būdu paleisdami užduotį arba, jei reikia, paleisdami iš naujo.  

Taip pat galite rankiniu būdu paleisti saugiosios įkrovos priežiūros užduotį atlikdami toliau nurodytus veiksmus: 

  1. Atidarykite "PowerShell" eilutę administratoriaus teisėmis ir vykdykite šią komandą:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Paleidę komandą du kartus iš naujo paleiskite įrenginį, kad įsitikintumėte, jog įrenginys pradedamas nuo atnaujintos patikimų parašų duomenų bazės (DB).

  3. Norėdami patikrinti, ar saugiosios įkrovos DB naujinimas pavyko, atidarykite "PowerShell" raginimą administratoriaus teisėmis ir vykdykite šią komandą: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) - atitinka "Windows UEFI CA 2023"

    Saugi įkrova

    Jei komanda pateikia True (teisinga), naujinimas pavyko.Įvykus klaidoms taikant DB naujinimą, žr. straipsnį KB5016061: Pažeidžiamų ir atšauktų paleidimo tvarkytuvų sprendimas

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras