"Windows" konfigūracijos sistemos ("WinCS") API, skirtos saugiai įkrovai

Saugiosios įkrovos CLI naudojant "Windows" konfigūravimo sistemą (WinCS)

Tikslas: Domeno administratoriai taip pat gali naudoti "Windows" konfigūravimo sistemą (WinCS), išleistą su "Windows" OS naujinimais, kad įdiegtų saugiosios įkrovos naujinimus visuose prie domeno prijungtuose "Windows" klientuose ir serveriuose. Jį sudaro komandų eilutės sąsajos (CLI) priemonė, kuri leidžia teikti užklausas ir kompiuteryje taikyti saugiosios įkrovos konfigūracijas.  

"WinCS" veikia su konfigūracijos raktu, kuris gali būti naudojamas su komandų eilutės paslaugų programa, kad modifikuotų saugiosios įkrovos konfigūracijos būseną kompiuteryje. Pritaikius kitą suplanuotą saugiąją įkrovą, veiksmai bus atliekami pagal raktą. 

Pirmiausia patikrinkite, ar jūsų platformoje atnaujinti saugiosios įkrovos sertifikatai 

Galite patikrinti saugiosios įkrovos būseną naudodami "PowerShell" komandą:

(Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" - pavadinimas UEFICA2023Status). UEFICA2023Status

Jei būsena rodoma "Atnaujinta", jums nereikia paleisti "WinCS" ir galite praleisti toliau nurodytus veiksmus.

Jei sertifikatai neatnaujinami į 2023 m. versijas, tada taikomi toliau nurodyti papildomi veiksmai.

"WinCS" palaikomos platformos

"WinCS" komandų eilutės paslaugų programa palaikoma Windows 10 21H2, Windows 10 versijos 22H2, Windows 10 1607, 2022 Windows Server 2022 Windows Server 2019, Windows Server 2016", Windows 11, 23H2, Windows 11, 24H2 versija, Windows 11, 25H2 versija.

Ši paslaugų programa pasiekiama "Windows" naujinimuose, išleistuose 2025 m. spalio 28 d. ir vėliau Windows 11 24H2 versijoje ir Windows 11, 23H2 versijoje.

Ši paslaugų programa taip pat pasiekiama "Windows" naujinimuose, išleistuose 2025 m. lapkričio 11 d. ir vėliau Windows 10 21H2, Windows 10, 22H2 versijoje ir Windows Server 2022.

"Windows Server 2019" ši paslaugų programa siunčiama į "Windows" naujinimus, išleistus 2026 m. sausio 13 d. ir vėliau. 

O Windows Server 2016" Windows 10 1607" ši paslaugų programa pristatoma "Windows" naujinimuose, išleistuose 2026 m. vasario 10 d. ir vėliau.

Pastaba: stengiamės šį "WinCS" palaikymą perkelti į Windows 10 platformas. Atnaujinsime šį straipsnį, kai tik bus įgalintas palaikymas. 

Štai saugiosios įkrovos konfigūracijos funkcijos raktas, kurį domeno administratoriai pateiks užklausą ir pritaikys įrenginiams per "WinCS". 

"WinCS" rakto reikšmė: 

• F33E0C8E002 – saugiosios įkrovos konfigūracijos būsena = įgalinta

Kaip užklausti saugiosios įkrovos konfigūraciją 

Saugiosios įkrovos konfigūraciją galima pateikti atidarius komandinę eilutę administratoriaus teisėmis ir vykdant šią komandą:

Bus pateikta ši informacija (švariame įrenginyje): 

Atkreipkite dėmesį, kad dabartinė įrenginio konfigūracija yra F33E0C8E001, o tai reiškia, kad saugiosios įkrovos rakto būsena yra Išjungta .  

Kaip taikyti saugiosios įkrovos konfigūraciją  

Saugiosios įkrovos konfigūraciją galima taikyti atidarius komandinę eilutę administratoriaus teisėmis ir paleidus šią komandą:

Sėkmingas rakto taikymas turėtų pateikti šią informaciją: 

Kaip patikrinti saugiosios įkrovos konfigūraciją  

Norėdami nustatyti saugiosios įkrovos konfigūracijos būseną vėliau, galite iš naujo paleisti pradinės užklausos komandą, atidarydami komandinę eilutę kaip administratorius:

Atsižvelgiant į vėliavėlės būseną, grąžinama informacija bus panaši į šią: 

Atkreipkite dėmesį, kad dabar rakto būsena yra Įgalinta, o dabartinė konfigūracija yra F33E0C8E002. 

Taip pat galite rankiniu būdu paleisti saugiosios įkrovos priežiūros užduotį atlikdami toliau nurodytus veiksmus: 

1. Atidarykite "PowerShell" eilutę administratoriaus teisėmis ir vykdykite šią komandą:

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. Paleidę komandą du kartus iš naujo paleiskite įrenginį, kad įsitikintumėte, jog įrenginys pradedamas nuo atnaujintos patikimų parašų duomenų bazės (DB).

3. Norėdami greitai patikrinti, ar saugiosios įkrovos DB naujinimas pavyko, atidarykite "PowerShell" raginimą administratoriaus teisėmis ir vykdykite šią komandą: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   Jei komanda pateikia True (teisinga), naujinimas pavyko.
   
   Įvykus klaidoms taikant DB naujinimą, žr. straipsnį KB5016061: Pažeidžiamų ir atšauktų paleidimo tvarkytuvų sprendimas.

   Pastaba: Tai tikrins tik vieną CA, o ne visus CA.

4. Norėdami patikrinti, ar atnaujinti visi sertifikatai, žr. Saugiosios įkrovos sertifikatų naujinimai: rekomendacijos IT specialistams ir organizacijoms ir vykdykite skyriuje "Įvykių žurnalų stebėjimas" pateiktus nurodymus. Šiame skyriuje pateikiamas įvykio ID: 1801 ir įvykio ID: 1808 , kuris yra išsamesnis būdas patikrinti, ar sertifikatai atnaujinti.