Obs!
- Opprinnelig publiseringsdato: 14. oktober 2025 kl.
- KB-ID: 5068197
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| 16. april. 2026 |
|
| 10. april 2026 kl. |
|
| 20. februar 2026 |
|
| Desember 16, 2025 |
|
| Desember 11, 2025 |
|
CLI for sikker oppstart ved hjelp av Windows Configuration System (WinCS)
Mål: Domeneadministratorer kan alternativt bruke Windows Configuration System (WinCS) som ble utgitt med oppdateringer for Windows-operativsystemet, til å distribuere Secure Boot-oppdateringer på tvers av domenetilknyttede Windows-klienter og -servere. Det består av et kommandolinjegrensesnittverktøy (CLI) for spørring og bruk Secure Boot-konfigurasjoner lokalt på en maskin.
WinCS fungerer med en konfigurasjonsnøkkel som kan brukes med kommandolinjeverktøyet for å endre konfigurasjonstilstanden for Secure Boot på maskinen. Når den er aktivert, utfører neste planlagte Secure Boot handlinger i henhold til nøkkelen.
Sjekk først om Secure Boot-sertifikater er oppdatert på plattformen
Du kan kontrollere statusen for sikker oppstart ved hjelp av Powershell-kommandoen:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status
Hvis statusen viser «Oppdatert», trenger du ikke å kjøre WinCS og kan hoppe over trinnene nedenfor.
Hvis sertifikatene ikke oppdateres til 2023-versjoner, gjelder de ekstra trinnene nedenfor.
WinCS-støttede plattformer
WinCS-kommandolinjeverktøyet støttes i Windows 10, versjon 21H2, Windows 10, versjon 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versjon 23H2, Windows 11, versjon 24H2, Windows 11, versjon 25H2.
Dette verktøyet er tilgjengelig i Windows-oppdateringene utgitt 28. oktober 2025 eller senere for Windows 11, versjon 24H2 og Windows 11, versjon 23H2.
Dette verktøyet er også tilgjengelig i Windows-oppdateringene utgitt 11. november 2025 eller senere for Windows 10, versjon 21H2, Windows 10, versjon 22H2 og Windows Server 2022.
For Windows Server 2019 leveres dette verktøyet i Windows-oppdateringene utgitt 13. januar 2026 eller senere.
For Windows Server 2016, Windows 10 1607 leveres dette verktøyet i Windows-oppdateringene utgitt 14. april 2026 eller senere.
Og for Windows Server 2012 og Windows Server 2012 R2 (ESU) leveres dette verktøyet i Windows-oppdateringene utgitt 14. april 2026 eller senere.
Her er funksjonsnøkkelen for konfigurasjon av sikker oppstart som domeneadministratorer spør etter og bruker på enheter via WinCS.
| Funksjonsnavn | WinCS-nøkkel | Beskrivelse |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Aktivering av denne nøkkelen tillater installasjon av følgende nye Secure Boot-sertifikater fra Microsoft på enheten.
|
WinCS-nøkkelverdi:
- F33E0C8E002 – konfigurasjonstilstand for sikker oppstart = Aktivert
Slik spør du konfigurasjon for sikker oppstart
Du kan forespørre konfigurasjonen for sikker oppstart ved å åpne en ledetekst som administrator og kjøre denne kommandoen:
Obs!
WinCsFlags.exe /query --key F33E0C8E002
Dette returnerer følgende informasjon (på en ren maskin):
Obs!
- Flagg: F33E0C8E
- Gjeldende konfigurasjon: F33E0C8E001
- Tilstand: Deaktivert
- Ventende konfigurasjon: Ingen
- Ventende handling: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tilgjengelige konfigurasjoner:
- F33E0C8E002
- F33E0C8E001
Legg merke til at den gjeldende konfigurasjonen på en enhet er F33E0C8E001, noe som betyr at Secure Boot-nøkkelen er i deaktivert tilstand.
Slik bruker du konfigurasjon for sikker oppstart
Sikker oppstart-konfigurasjon kan tas i bruk ved å åpne en ledetekst som administrator og kjøre denne kommandoen:
Obs!
WinCsFlags.exe /apply --key "F33E0C8E002"
En vellykket iføring av nøkkelen skal returnere følgende informasjon:
Obs!
- Flagg: F33E0C8E
- Gjeldende konfigurasjon: F33E0C8E002
- Tilstand: Aktivert
- Ventende konfigurasjon: Ingen
- Ventende handling: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tilgjengelige konfigurasjoner:
- F33E0C8E002
- F33E0C8E001
Slik overvåker du konfigurasjon av sikker oppstart
Hvis du vil fastslå tilstanden til konfigurasjonen av sikker oppstart senere, kan du kjøre den opprinnelige spørringskommandoen på nytt ved å åpne en ledetekst som administrator:
Obs!
WinCsFlags.exe /query --key F33E0C8E002
Informasjonen som returneres, ligner på følgende, avhengig av tilstanden til flagget:
Obs!
- Flagg: F33E0C8E
- Gjeldende konfigurasjon: F33E0C8E002
- Tilstand: Aktivert
- Ventende konfigurasjon: Ingen
- Ventende handling: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tilgjengelige konfigurasjoner:
- F33E0C8E002
- F33E0C8E001
Legg merke til at nøkkelstatusen nå er aktivert, og gjeldende konfigurasjon er F33E0C8E002.
Obs!
Obs! Å bruke Secure Boot-nøkkelen via WinCS betyr ikke at installasjonsprosessen for Secure Boot-sertifikatet har startet eller er fullført. Det indikerer bare at maskinen vil fortsette med Secure Boot-oppdateringer når Secure Boot servicing task (TPMTasks) kjører på maskinen ved neste tilgjengelige mulighet. Når TPMTasks kjører på denne maskinen, oppdager den 0x5944 og utfører oppdateringen. Den planlagte oppgaven Secure-Boot-Update kjører som standard hver 12. time for å behandle slike Secure Boot-oppdateringsflagg. Administratorer kan også fremskynde arbeidet ved å kjøre oppgaven manuelt eller starte på nytt hvis ønskelig.
Du kan også manuelt utløse serviceoppgaven Secure Boot ved å følge trinnene nedenfor:
Åpne en PowerShell-ledetekst som administrator, og kjør deretter følgende kommando:
Obs!
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Start enheten på nytt to ganger etter at du har kjørt kommandoen for å bekrefte at enheten starter med den oppdaterte databasen over klarerte signaturer (DB).
Som en rask kontroll på om DB-oppdateringen for Secure Boot var vellykket, åpner du en PowerShell-ledetekst som administrator og kjører deretter følgende kommando:
Obs!
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Hvis kommandoen returnerer True, var oppdateringen vellykket.Hvis det oppstår feil under bruk av DB-oppdateringen, kan du se artikkelen KB5016061: Adressere sårbare og tilbakekalte oppstartsbehandlere.
Obs!
Dette kontrollerer bare én sertifiseringsinstans, ikke alle sertifiseringsinstanser.
Hvis du vil kontrollere at alle sertifikatene er oppdatert, kan du se Oppdateringer for sertifikater for sikker oppstart: Veiledning for IT-teknikere og organisasjoner, og følg veiledningen i delen «Overvåke hendelseslogger». Denne delen viser hendelses-ID: 1801 og hendelses-ID: 1808 , som er en mer komplett måte å kontrollere at sertifikatene er oppdatert.