Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opprinnelig publiseringsdato: 14. oktober 2025

KB-ID: 5068197

Denne artikkelen har veiledning for: 

  • Organisasjoner som har sin egen IT-avdeling som administrerer Windows-enheter og -oppdateringer.

Obs! Hvis du er en person som eier en personlig Windows-enhet, kan du gå til artikkelen Windows-enheter for hjemmebrukere, bedrifter og skoler med Microsoft-administrerte oppdateringer

Tilgjengelighet for denne støtten:  

  • Inkludert i Windows-oppdateringer utgitt på og etter 28 oktober 2025, for Windows 11, versjon 24H2 og Windows 11, versjon 23H2.

  • Inkludert i oppdateringer utgitt på og etter november 11, 2025, for andre versjoner av Windows.

Secure Boot CLI ved hjelp av Windows Configuration System (WinCS)

Mål: Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) utgitt med Windows OS-oppdateringer for å distribuere oppdateringene for sikker oppstart på tvers av domenetilknyttede Windows-klienter og -servere. Den består av et kommandolinjegrensesnitt (CLI)-verktøy for å spørre og bruke konfigurasjoner for sikker oppstart lokalt på en maskin.  

WinCS fungerer av en konfigurasjonsnøkkel som kan brukes med kommandolinjeverktøyet for å endre konfigurasjonstilstanden for sikker oppstart på maskinen. Når den er brukt, utfører den neste planlagte sikre oppstarten handlinger i henhold til nøkkelen. 

WinCS-støttede plattformer

WinCS-kommandolinjeverktøyet støttes i Windows 11, versjon 23H2, Windows 11, versjon 24H2, Windows 11, versjon 25H2. Dette verktøyet er tilgjengelig i Windows-oppdateringene som ble utgitt 28. oktober 2025, for Windows 11, versjon 24H2 og Windows 11, versjon 23H2.

Obs! Vi jobber med å bringe denne WinCS-støtten til Windows 10 plattformer. Vi oppdaterer denne artikkelen så snart støtten er aktivert. 

Her er funksjonsnøkkelen for konfigurasjon av sikker oppstart som domeneadministratorer vil spørre og bruke på enheter via WinCS. 

Funksjonsnavn

WinCS-nøkkel

Beskrivelse

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Hvis du aktiverer denne nøkkelen, kan du installere følgende nye sertifikater for sikker oppstart fra Microsoft på enheten. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-nøkkelverdi: 

  • F33E0C8E002 – konfigurasjonstilstand for sikker oppstart = aktivert

Slik spør du konfigurasjon for sikker oppstart 

Konfigurasjon av sikker oppstart kan spørres med følgende kommandolinje:

WinCsFlags.exe /query --key F33E0C8E002

Dette vil returnere følgende informasjon (på en ren maskin): 

Flagg: F33E0C8E 

  Gjeldende konfigurasjon: F33E0C8E001

  Tilstand: Deaktivert

  Venter på konfigurasjon: Ingen 

  Venter på handling: Ingen  

  FwLink: https://aka.ms/getsecureboot 

  Tilgjengelige konfigurasjoner: 

    F33E0C8E002 

    F33E0C8E001 

Legg merke til at den gjeldende konfigurasjonen på en enhet er F33E0C8E001, noe som betyr at nøkkelen for sikker oppstart er i deaktivert tilstand.  

Slik bruker du konfigurasjon for sikker oppstart  

Den spesifikke konfigurasjonen for å aktivere sertifikater for sikker oppstart kan konfigureres på følgende måte: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

En vellykket bruk av nøkkelen skal returnere følgende informasjon: 

Flagg: F33E0C8E 

  Gjeldende konfigurasjon: F33E0C8E002

  Tilstand: Aktivert

  Venter på konfigurasjon: Ingen 

  Venter på handling: Ingen

  FwLink: https://aka.ms/getsecureboot 

 Tilgjengelige konfigurasjoner: 

    F33E0C8E002 

    F33E0C8E001  

Slik overvåker du konfigurasjonen for sikker oppstart  

Hvis du vil fastslå tilstanden til konfigurasjonen for sikker oppstart senere, kan du bruke den opprinnelige spørringskommandoen på nytt: 

WinCsFlags.exe /query --key F33E0C8E002 

Informasjonen som returneres, ligner på følgende, avhengig av tilstanden til flagget: 

Flagg: F33E0C8E 

  Gjeldende konfigurasjon: F33E0C8E002

  Tilstand: Aktivert

  Venter på konfigurasjon: Ingen 

  Venter på handling: Ingen

  FwLink: https://aka.ms/getsecureboot 

  Tilgjengelige konfigurasjoner: 

    F33E0C8E002 

    F33E0C8E001  

Legg merke til at nøkkeltilstanden nå er aktivert, og at gjeldende konfigurasjon er F33E0C8E002. 

Obs!: Bruk av nøkkelen for sikker oppstart via WinCS betyr ikke at installasjonsprosessen for sertifikatet for sikker oppstart har startet eller er fullført.  Det indikerer bare at maskinen vil fortsette med oppdateringer for sikker oppstart når TPMTasks (Secure Boot Servicing Task) kjører på den maskinen ved neste tilgjengelige mulighet. Når TPMTasks kjører på den maskinen, vil den oppdage 0x5944 og utføre oppdateringen. Den planlagte oppgaven Secure-Boot-Update kjøres hver 12. time for å behandle slike flagg for sikker oppstartsoppdatering. Administratorer kan også fremskynde oppgaven manuelt eller starte den på nytt hvis ønskelig.  

Du kan også manuelt utløse vedlikeholdsoppgaven for sikker oppstart ved å følge disse trinnene: 

  1. Åpne en PowerShell-ledetekst som administrator, og kjør deretter følgende kommando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Start enheten på nytt to ganger etter at du har kjørt kommandoen for å bekrefte at enheten starter med den oppdaterte databasen med klarerte signaturer (DB).

  3. Hvis du vil bekrefte at DB-oppdateringen for sikker oppstart var vellykket, åpner du en PowerShell-melding som administrator og kjører deretter følgende kommando: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).byte) – samsvarer med Windows UEFI CA 2023

    Oppstart sikker

    Hvis kommandoen returnerer Sann, var oppdateringen vellykket.Hvis det oppstår feil under bruk av DB-oppdateringen, kan du se artikkelen KB5016061: Adressering av sårbare og tilbakekalte oppstartsbehandlere

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter