Attiecas uz
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Sākotnējās publicēšanas datums: 2025. gada 14. oktobris

KB ID: 5068197

Šajā rakstā ir norādījumi: 

  • Organizācijas, kurām ir sava IT nodaļa, kas pārvalda Windows ierīces un atjauninājumus.

Piezīme. Ja esat persona, kam pieder personiska Windows ierīce, lūdzu, skatiet rakstu Windows ierīces mājas lietotājiem, uzņēmumiem un mācību iestādēm, kurās tiek lietoti Microsoft pārvaldīti atjauninājumi

Šī atbalsta pieejamība:  

  • Iekļauts Windows atjauninājumos, kas izlaisti 2025. gada 28. oktobrī un pēc Windows 11. gada Windows 11, 24H2 un Windows 11, versija 23H2.

  • Iekļauti atjauninājumos, kas izlaisti 2025. gada 11. novembrī un pēc Windows 10. gada Windows 10, 21H2, Windows 10, 22H2 un Windows Server 2022. gada versijas.

  • Iekļauti atjauninājumos, kas izlaisti 2026. gada pirmajā ceturksnī citām Windows versijām.

Datuma maiņa

Apraksta maiņa

2025. gada 16. decembris

  • Izlabojiet komandrindas kļūdu sadaļā "Kā lietot drošas sāknēšanas konfigurāciju", jo tajā ir iekļautas nepareizas rakstzīmes.Lai: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Izlabojiet komandrindas labojumu sadaļā "Kā auditēt Secure Boot konfigurāciju", jo tā iekļāva atstarpi rindiņas beigās.To: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • Sadaļā "Šī atbalsta pieejamība" pievienojāt, ka Windows 10 2025. gada 11. novembrī un pēc 2025. gada 11. novembra izlaistos laidienos tiek pievienotas Windows 10 versijas 21 Windows Server H2 un 22H2. Turklāt atbalsts citām Windows versijām tiks iekļauts atjauninājumos, kas izlaisti 2026. gada pirmajā ceturksnī.

2025. gada 11. decembris

  • Mainīta sadaļas "Kā auditēt drošas sāknēšanas konfigurāciju" 3. darbība.No: lai pārbaudītu, vai droša sāknēšanas DB atjaunināšana bija sekmīga, atveriet PowerShell uzvedni kā administrators un pēc tam izpildiet šādu komandu: Kam: Kā ātri pārbaudīt, vai droša sāknēšanas DB atjaunināšana bija sekmīga, atveriet PowerShell uzvedni kā administrators un pēc tam izpildiet šādu komandu:

  • Sadaļai "Kā auditēt drošās sāknēšanas konfigurāciju" tika pievienota 4. darbība: Lai pārbaudītu, vai visi sertifikāti ir atjaunināti, skatiet sadaļu Drošas sāknēšanas sertifikātu atjauninājumi: Norādījumi IT speciālistiem un organizācijām un izpildiet norādījumus sadaļā "Notikumu žurnālu pārraudzība". Šajā sadaļā ir norādīts notikuma ID: 1801 un notikuma ID: 1808 , kas ir pilnīgs veids, kā auditēt sertifikātu atjaunināšanu.

Droša sāknēšanas CLI, izmantojot Windows konfigurācijas sistēmu (WinCS)

Mērķis. Domēnu administratori var arī izmantot Windows konfigurācijas sistēmu (WinCS ), kas izlaista ar Windows OS atjauninājumiem, lai izvietotu drošās sāknēšanas atjauninājumus domēnam savienotos Windows klientos un serveros. To veido komandrindas interfeisa (COMMAND-line interface — CLI) utilīta, kas nodrošina vaicājumus un lokālas drošās sāknēšanas konfigurācijas lietojiet datorā.  

WinCS darbojas ārpus konfigurācijas atslēgas, ko var izmantot ar komandrindas utilītu, lai modificētu drošas sāknēšanas konfigurācijas stāvokli datorā. Pēc lietošanas nākamā ieplānotā drošā sāknēšana veiks darbības atbilstoši atslēgai. 

WinCS atbalstītās platformas

WinCS komandrindas utilīta tiek atbalstīta Windows 10 versijā 21H2, Windows 10, versijā 22H2, Windows Server 2022, Windows 11, 23H2, Windows 11, 24H2, Windows 11, versijā 25H2.

Šī utilīta ir pieejama Windows atjauninājumos, kas izlaisti 2025. gada 28. oktobrī un pēc Windows 11. oktobra versija 24H2 un Windows 11, versija 23H2.

Šī utilīta ir pieejama arī Windows atjauninājumos, kas izlaisti 2025. gada 11. novembrī un Windows 10 versijā 21H2, Windows 10, 22H2 un Windows Server 2022.

Piezīme. Mēs strādājam, lai nodrošinātu šo WinCS atbalstu Windows 10 platformās. Tiklīdz atbalsts būs iespējots, mēs atjaunināsim šo rakstu. 

Šeit ir drošās sāknēšanas konfigurācijas līdzekļu atslēga, ko domēnu administratori veiks vaicājumus un lieto ierīcēs, izmantojot WinCS. 

Līdzekļa nosaukums

WinCS atslēga

Apraksts

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Šīs atslēgas iespējošana ļauj ierīcē instalēt tālāk norādītos Microsoft nodrošinātos drošās sāknēšanas jaunos sertifikātus. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS atslēgas vērtība: 

  • F33E0C8E002 — drošas sāknēšanas konfigurācijas stāvoklis = iespējots

Kā veikt vaicājumu drošās sāknēšanas konfigurāciju 

Var veikt vaicājumu par drošās sāknēšanas konfigurāciju, izmantojot šādu komandrindu:

WinCsFlags.exe /query --key F33E0C8E002

Tādējādi tiks atgriezta šāda informācija (tīrā datorā): 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E001

  Statuss: atspējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav  

  FwLink: https://aka.ms/getsecureboot 

  Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001 

Tiek mainīta pašreizējās ierīces konfigurācija, F33E0C8E001 nozīmē, ka drošā sāknēšanas atslēga ir atspējotā stāvoklī.  

Kā lietot drošās sāknēšanas konfigurāciju  

Konkrētu konfigurāciju drošas sāknēšanas sertifikātu iespējošanai var konfigurēt šādi: 

WinCsFlags.exe /apply --key "F33E0C8E002"

Sekmīgai atslēgas lietojumprogrammai ir jāatgriež šāda informācija: 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E002

  Stāvoklis: iespējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav

  FwLink: https://aka.ms/getsecureboot 

 Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001  

Kā auditēt drošās sāknēšanas konfigurāciju  

Lai vēlāk noteiktu drošās sāknēšanas konfigurācijas stāvokli, varat atkārtoti izmantot sākotnējo vaicājuma komandu:

WinCsFlags.exe /query --key F33E0C8E002

Atkarībā no karodziņa statusa atgrieztā informācija ir līdzīga tālāk norādītajiem nosacījumiem. 

Karodziņš: F33E0C8E 

  Pašreizējā konfigurācija: F33E0C8E002

  Stāvoklis: iespējots

  Gaida konfigurāciju: Nav 

  Gaidoša darbība: Nav

  FwLink: https://aka.ms/getsecureboot 

  Pieejamās konfigurācijas: 

    F33E0C8E002 

    F33E0C8E001  

Ievērojiet, ka atslēgas stāvoklis tagad ir iespējots, un pašreizējā konfigurācija ir F33E0C8E002. 

Piezīme. Drošas sāknēšanas atslēgas lietošanas, izmantojot WinCS, nenozīmē, ka drošas sāknēšanas sertifikāta instalēšanas process ir sākts vai pabeigts.  Tas norāda tikai to, ka dators turpinās darbu ar drošās sāknēšanas atjauninājumiem, kad drošas sāknēšanas apkalpošanas uzdevums (TPMTasks) darbosies šajā datorā nākamajā pieejamajā iespēju. Kad TPMUzdevumi darbojas šajā datorā, 0x5944 un veic atjaunināšanu. Pēc grafika drošas sāknēšanas atjaunināšanas ieplānotais uzdevums tiek izpildīts ik pēc 12 stundām, lai apstrādātu šādus drošas sāknēšanas atjaunināšanas karodziņus. Administratori var paātrināt arī uzdevumu, manuāli izpildot uzdevumu vai restartējot to, ja nepieciešams.  

Varat arī manuāli aktivizēt drošās sāknēšanas apkalpošanas uzdevumu, veicot tālāk norādītās darbības. 

  1. Kā administrators atveriet PowerShell uzvedni un pēc tam izpildiet šādu komandu:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Restartējiet ierīci divas reizes pēc komandas palaišanas, lai apstiprinātu, ka ierīce tiek startēta ar atjauninātu uzticamo parakstu datu bāzi (DB).

  3. Kā ātru pārbaudi, ja Secure Boot DB atjaunināšana bija sekmīga, atveriet PowerShell uzvedni kā administrators un pēc tam izpildiet šādu komandu: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Droša palaišana

    Ja komanda atgriež vērtību True, atjaunināšana bija sekmīga.Ja, lietojot DB atjauninājumu, rodas kļūdas, skatiet rakstu KB5016061: Neaizsargātu un atsauktu sāknēšanas pārvaldnieku adresēšana.

    Piezīme.: Šādi tiek pārbaudīts tikai viena CA, bet ne visas sācējas.

  4. Lai pārbaudītu, vai visi sertifikāti ir atjaunināti, skatiet sadaļu Drošas sāknēšanas sertifikātu atjauninājumi: Norādījumi IT speciālistiem un organizācijām un izpildiet norādījumus sadaļā "Notikumu žurnālu pārraudzība". Šajā sadaļā ir norādīts Notikuma ID: 1801 un Notikuma ID: 1808 , kas ir pilnīgāk, lai auditētu, ka sertifikāti ir atjaunināti.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs