Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 14. oktobris

KB ID: 5068197

Šajā rakstā ir norādījumi: 

  • Organizācijas, kurām ir sava IT nodaļa, kas pārvalda Windows ierīces un atjauninājumus.

Piezīme. Ja esat persona, kam pieder personiska Windows ierīce, lūdzu, skatiet rakstu Windows ierīces mājas lietotājiem, uzņēmumiem un mācību iestādēm, kurās tiek lietoti Microsoft pārvaldīti atjauninājumi

Šī atbalsta pieejamība:  

  • Iekļauts Windows atjauninājumos, kas izlaisti 2025. gada 28. oktobrī un pēc Windows 11. gada Windows 11, 24H2 un Windows 11, versija 23H2.

  • Iekļauti atjauninājumos, kas izlaisti 2025. gada 11. novembrī un pēc tam, arī citās Windows versijās.

Droša sāknēšanas CLI, izmantojot Windows konfigurācijas sistēmu (WinCS)

Mērķis. Domēnu administratori var arī izmantot Windows konfigurācijas sistēmu (WinCS ), kas izlaista ar Windows OS atjauninājumiem, lai izvietotu drošās sāknēšanas atjauninājumus domēnam savienotos Windows klientos un serveros. To veido komandrindas interfeisa (COMMAND-line interface — CLI) utilīta, kas nodrošina vaicājumus un lokālas drošās sāknēšanas konfigurācijas lietojiet datorā.  

WinCS darbojas ārpus konfigurācijas atslēgas, ko var izmantot ar komandrindas utilītu, lai modificētu drošas sāknēšanas konfigurācijas stāvokli datorā. Pēc lietošanas nākamā ieplānotā drošā sāknēšana veiks darbības atbilstoši atslēgai. 

WinCS atbalstītās platformas

WinCS komandrindas utilīta tiek atbalstīta Windows 11 versijā 23H2, Windows 11, 24H2, Windows 11, versijā 25H2. Šī utilīta ir pieejama Windows atjauninājumos, kas izlaisti 2025. gada 28. oktobrī un pēc Windows 11. oktobra versija 24H2 un Windows 11, versija 23H2.

Piezīme. Mēs strādājam, lai nodrošinātu šo WinCS atbalstu Windows 10 platformās. Tiklīdz atbalsts būs iespējots, mēs atjaunināsim šo rakstu. 

Šeit ir drošās sāknēšanas konfigurācijas līdzekļu atslēga, ko domēnu administratori veiks vaicājumus un lieto ierīcēs, izmantojot WinCS. 

Līdzekļa nosaukums

WinCS atslēga

Apraksts

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Šīs atslēgas iespējošana ļauj ierīcē instalēt tālāk norādītos Microsoft nodrošinātos drošās sāknēšanas jaunos sertifikātus. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS atslēgas vērtība: 

  • F33E0C8E002 — drošas sāknēšanas konfigurācijas stāvoklis = iespējots

Kā veikt vaicājumu drošās sāknēšanas konfigurāciju 

Var veikt vaicājumu par drošās sāknēšanas konfigurāciju, izmantojot šādu komandrindu:

WinCsFlags.exe /query --key F33E0C8E002

Tādējādi tiks atgriezta šāda informācija (tīrā datorā): 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E001

  Statuss: atspējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav  

  FwLink: https://aka.ms/getsecureboot 

  Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001 

Tiek mainīta pašreizējās ierīces konfigurācija, F33E0C8E001 nozīmē, ka drošā sāknēšanas atslēga ir atspējotā stāvoklī.  

Kā lietot drošās sāknēšanas konfigurāciju  

Konkrētu konfigurāciju drošas sāknēšanas sertifikātu iespējošanai var konfigurēt šādi: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Sekmīgai atslēgas lietojumprogrammai ir jāatgriež šāda informācija: 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E002

  Stāvoklis: iespējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav

  FwLink: https://aka.ms/getsecureboot 

 Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001  

Kā auditēt drošās sāknēšanas konfigurāciju  

Lai vēlāk noteiktu drošās sāknēšanas konfigurācijas stāvokli, varat atkārtoti izmantot sākotnējo vaicājuma komandu: 

WinCsFlags.exe /query --key F33E0C8E002 

Atkarībā no karodziņa statusa atgrieztā informācija ir līdzīga tālāk norādītajiem nosacījumiem. 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E002

  Stāvoklis: iespējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav

  FwLink: https://aka.ms/getsecureboot 

  Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001  

Ievērojiet, ka atslēgas stāvoklis tagad ir iespējots, un pašreizējā konfigurācija ir F33E0C8E002. 

Piezīme. Drošas sāknēšanas atslēgas lietošanas, izmantojot WinCS, nenozīmē, ka drošas sāknēšanas sertifikāta instalēšanas process ir sākts vai pabeigts.  Tas norāda tikai to, ka dators turpinās darbu ar drošās sāknēšanas atjauninājumiem, kad drošas sāknēšanas apkalpošanas uzdevums (TPMTasks) darbosies šajā datorā nākamajā pieejamajā iespēju. Kad TPMUzdevumi darbojas šajā datorā, 0x5944 un veic atjaunināšanu. Pēc grafika drošas sāknēšanas atjaunināšanas ieplānotais uzdevums tiek izpildīts ik pēc 12 stundām, lai apstrādātu šādus drošas sāknēšanas atjaunināšanas karodziņus. Administratori var paātrināt arī uzdevumu, manuāli izpildot uzdevumu vai restartējot to, ja nepieciešams.  

Varat arī manuāli aktivizēt drošās sāknēšanas apkalpošanas uzdevumu, veicot tālāk norādītās darbības. 

  1. Kā administrators atveriet PowerShell uzvedni un pēc tam izpildiet šādu komandu:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Restartējiet ierīci divas reizes pēc komandas palaišanas, lai apstiprinātu, ka ierīce tiek startēta ar atjauninātu uzticamo parakstu datu bāzi (DB).

  3. Lai pārbaudītu, vai droša sāknēšanas DB atjaunināšana bija sekmīga, atveriet PowerShell uzvedni kā administrators un pēc tam izpildiet šādu komandu: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Droša palaišana

    Ja komanda atgriež vērtību True, atjaunināšana bija sekmīga.Ja, lietojot DB atjauninājumu, rodas kļūdas, skatiet rakstu KB5016061: Neaizsargātu un atsauktu sāknēšanas pārvaldnieku adresēšana

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs