Windows Configuration System (WinCS)-API-er for sikker oppstart

Gjelder for
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Obs!

  • Opprinnelig publiseringsdato: 14. oktober 2025 kl.
  • KB-ID: 5068197
Endringslogg
Endre dato Endre beskrivelse
16. april. 2026
  • Fjernet delen «Tilgjengelighet av denne støtten» ettersom informasjonen finnes i delen «WinCS-støttede plattformer».
10. april 2026 kl.
  • Oppdaterte datoen for Windows 10 1607Windows / Server 2016 under delen «WinCS-støttede plattformer».
  • La til en ny plattformstøtte for Windows Server 2012 og Windows Server 2012 R2 (ESU) under delen «WinCS-støttede plattformer».
20. februar 2026
  • La til en ny del «Kontroller først om Secure Boot-sertifikater er oppdatert på plattformen»
Desember 16, 2025
  • Rettet kommandolinjen i delen «Slik bruker du sikker oppstartskonfigurasjon» da den inneholdt feil tegn.

    Til: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Rettet kommandolinjen i delen «Hvordan du reviderer konfigurasjon av sikker oppstart» da den inneholdt et mellomrom på slutten av linjen.

    Til: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • I delen «Tilgjengelighet av denne støtten» ble lagt til at Windows 10, versjonene 21H2 og 22H2 og Windows Server 2022 legges til i utgivelsene datert 11. november 2025 eller senere. I tillegg vil støtte for andre versjoner av Windows bli inkludert i oppdateringer som ble utgitt i løpet av første kvartal av 2026.
Desember 11, 2025
  • Endret trinn 3 i delen «Slik overvåker du konfigurasjon av sikker oppstart»:

    Fra: Hvis du vil bekrefte at DB-oppdateringen for Secure Boot var vellykket, åpner du en PowerShell-ledetekst som administrator og kjører deretter følgende kommando:

    Til: Som en rask kontroll på om DB-oppdateringen for Secure Boot var vellykket, åpner du en PowerShell-ledetekst som administrator og kjører deretter følgende kommando:
  • La til trinn 4 i delen «Slik overvåker du konfigurasjon av sikker oppstart»:

    Hvis du vil kontrollere at alle sertifikatene er oppdatert, kan du se Oppdateringer for sertifikater for sikker oppstart: Veiledning for IT-teknikere og organisasjoner, og følg veiledningen i delen «Overvåke hendelseslogger». Denne delen viser hendelses-ID: 1801 og hendelses-ID: 1808 , som er en komplett måte å kontrollere at sertifikatene har blitt oppdatert på.

CLI for sikker oppstart ved hjelp av Windows Configuration System (WinCS)

Mål: Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som ble utgitt med oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Det består av et kommandolinjegrensesnittverktøy (CLI) for spørring og bruk Secure Boot-konfigurasjoner lokalt på en maskin.

WinCS fungerer med en konfigurasjonsnøkkel som kan brukes med kommandolinjeverktøyet for å endre konfigurasjonstilstanden for Secure Boot på maskinen. Når den er aktivert, utfører neste planlagte Secure Boot handlinger i henhold til nøkkelen.

Sjekk først om Secure Boot-sertifikater er oppdatert på plattformen

Du kan kontrollere statusen for sikker oppstart ved hjelp av Powershell-kommandoen:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Hvis statusen viser «Oppdatert», trenger du ikke å kjøre WinCS og kan hoppe over trinnene nedenfor.

Hvis sertifikatene ikke oppdateres til 2023-versjoner, gjelder de ekstra trinnene nedenfor.

WinCS-støttede plattformer

WinCS-kommandolinjeverktøyet støttes i Windows 10, versjon 21H2, Windows 10, versjon 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versjon 23H2, Windows 11, versjon 24H2, Windows 11, versjon 25H2.

Dette verktøyet er tilgjengelig i Windows-oppdateringene utgitt 28. oktober 2025 eller senere for Windows 11, versjon 24H2 og Windows 11, versjon 23H2.

Dette verktøyet er også tilgjengelig i Windows-oppdateringene utgitt 11. november 2025 eller senere for Windows 10, versjon 21H2, Windows 10, versjon 22H2 og Windows Server 2022.

For Windows Server 2019 leveres dette verktøyet i Windows-oppdateringene utgitt 13. januar 2026 eller senere.

For Windows Server 2016, Windows 10 1607 leveres dette verktøyet i Windows-oppdateringene utgitt 14. april 2026 eller senere.

Og for Windows Server 2012 og Windows Server 2012 R2 (ESU) leveres dette verktøyet i Windows-oppdateringene utgitt 14. april 2026 eller senere.

Her er funksjonsnøkkelen for konfigurasjon av sikker oppstart som domeneadministratorer spør etter og bruker på enheter via WinCS.

Funksjonsnavn WinCS-nøkkel Beskrivelse
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Aktivering av denne nøkkelen tillater installasjon av følgende nye Secure Boot-sertifikater fra Microsoft på enheten.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

WinCS-nøkkelverdi:

  • F33E0C8E002 – konfigurasjonstilstand for sikker oppstart = Aktivert

Slik spør du konfigurasjon for sikker oppstart

Du kan forespørre konfigurasjonen for sikker oppstart ved å åpne en ledetekst som administrator og kjøre denne kommandoen:

Obs!

WinCsFlags.exe /query --key F33E0C8E002

Dette returnerer følgende informasjon (på en ren maskin):

Obs!

  • Flagg: F33E0C8E
  • Gjeldende konfigurasjon: F33E0C8E001
  • Tilstand: Deaktivert
  • Ventende konfigurasjon: Ingen
  • Ventende handling: Ingen
  • FwLink: https://aka.ms/getsecureboot
  • Tilgjengelige konfigurasjoner:
  • F33E0C8E002
  • F33E0C8E001

Legg merke til at den gjeldende konfigurasjonen på en enhet er F33E0C8E001, noe som betyr at Secure Boot-nøkkelen er i deaktivert tilstand.

Slik bruker du konfigurasjon for sikker oppstart

Sikker oppstart-konfigurasjon kan tas i bruk ved å åpne en ledetekst som administrator og kjøre denne kommandoen:

Obs!

WinCsFlags.exe /apply --key "F33E0C8E002"

En vellykket iføring av nøkkelen skal returnere følgende informasjon:

Obs!

  • Flagg: F33E0C8E
  • Gjeldende konfigurasjon: F33E0C8E002
  • Tilstand: Aktivert
  • Ventende konfigurasjon: Ingen
  • Ventende handling: Ingen
  • FwLink: https://aka.ms/getsecureboot
  • Tilgjengelige konfigurasjoner:
  • F33E0C8E002
  • F33E0C8E001

Slik overvåker du konfigurasjon av sikker oppstart

Hvis du vil fastslå tilstanden til konfigurasjonen av sikker oppstart senere, kan du kjøre den opprinnelige spørringskommandoen på nytt ved å åpne en ledetekst som administrator:

Obs!

WinCsFlags.exe /query --key F33E0C8E002

Informasjonen som returneres, ligner på følgende, avhengig av tilstanden til flagget:

Obs!

  • Flagg: F33E0C8E
  • Gjeldende konfigurasjon: F33E0C8E002
  • Tilstand: Aktivert
  • Ventende konfigurasjon: Ingen
  • Ventende handling: Ingen
  • FwLink: https://aka.ms/getsecureboot
  • Tilgjengelige konfigurasjoner:
  • F33E0C8E002
  • F33E0C8E001

Legg merke til at nøkkelstatusen nå er aktivert, og gjeldende konfigurasjon er F33E0C8E002.

Obs!

Obs! Å bruke Secure Boot-nøkkelen via WinCS betyr ikke at installasjonsprosessen for Secure Boot-sertifikatet har startet eller er fullført.  Det indikerer bare at maskinen vil fortsette med Secure Boot-oppdateringer når Secure Boot servicing task (TPMTasks) kjører på maskinen ved neste tilgjengelige mulighet. Når TPMTasks kjører på denne maskinen, oppdager den 0x5944 og utfører oppdateringen. Den planlagte oppgaven Secure-Boot-Update kjører som standard hver 12. time for å behandle slike Secure Boot-oppdateringsflagg. Administratorer kan også fremskynde arbeidet ved å kjøre oppgaven manuelt eller starte på nytt hvis ønskelig.

Du kan også manuelt utløse serviceoppgaven Secure Boot ved å følge trinnene nedenfor:

  1. Åpne en PowerShell-ledetekst som administrator, og kjør deretter følgende kommando:

    Obs!

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Start enheten på nytt to ganger etter at du har kjørt kommandoen for å bekrefte at enheten starter med den oppdaterte databasen over klarerte signaturer (DB).

  3. Som en rask kontroll på om DB-oppdateringen for Secure Boot var vellykket, åpner du en PowerShell-ledetekst som administrator og kjører deretter følgende kommando:

    Obs!

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Boot Secure
    Hvis kommandoen returnerer True, var oppdateringen vellykket.

    Hvis det oppstår feil under bruk av DB-oppdateringen, kan du se artikkelen KB5016061: Adressere sårbare og tilbakekalte oppstartsbehandlere.

    Obs!

    Dette kontrollerer bare én sertifiseringsinstans, ikke alle sertifiseringsinstanser.

  4. Hvis du vil kontrollere at alle sertifikatene er oppdatert, kan du se Oppdateringer for sertifikater for sikker oppstart: Veiledning for IT-teknikere og organisasjoner, og følg veiledningen i delen «Overvåke hendelseslogger». Denne delen viser hendelses-ID: 1801 og hendelses-ID: 1808 , som er en mer komplett måte å kontrollere at sertifikatene er oppdatert.