PowerShell: De parameter -Decoded gebruiken in Get-SecureBootUEFI

Van toepassing op
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

Oorspronkelijke publicatiedatum: dinsdag 28 april 2026
KB-id: 5093574

Opmerking

De parameter -Decoded is toegevoegd aan de Get-SecureBootUEFI PowerShell-cmdlets in de maandelijkse cumulatieve updates van 14 april 2026 en updates die na die datum zijn uitgebracht.

Inleiding

De Get-SecureBootUEFI PowerShell cmdlet haalt UEFI Secure Boot-variabelen op, zoals PK (Platform Key), KEK (Key Exchange Key), DB (Allowed signature Database) en DBX (Revoked signature Database). Deze variabelen retourneren normaal gesproken ruwe binaire gegevens, die moeilijk direct kunnen worden geïnterpreteerd.

De nieuwe parameter -Decoded biedt een meer toegankelijke weergave van deze informatie.

Wat doet de parameter -Decoded?

Als u de parameter -Decoded gebruikt, wordt via de cmdlet de inhoud van databases voor beveiligd opstarten weergegeven in een indeling die door mensen kan worden gelezen. In plaats van onbewerkte bytes, decodeert en presenteert het de onderliggende gegevens, inclusief certificaten, hashes en bijbehorende metagegevens die zijn opgeslagen in door UEFI geverifieerde variabelen.

Met de parameter -Decoded bevat de uitvoer leesbare certificaatinformatie, zoals:

  • Onderwerp (bijvoorbeeld Microsoft Windows Production PCA 2011)
  • Algoritme en versie
  • Serienummer
  • Geldigheidsduur

Dit maakt het gemakkelijker om:

  • Items voor beveiligd opstarten zoals certificaten, hashes en openbare sleutels controleren
  • Certificaateigenschappen weergeven, zoals onderwerp, uitgever en geldigheidsdatums
  • U kunt beter begrijpen wat wordt vertrouwd in PK, KEK en DB en wat wordt ingetrokken in DBX zonder extra parsering

Voorbeeld

Gebruik van opdrachten in PowerShell:

Opmerking

Get-SecureBootUEFI -Name db -Decoded

De opdracht retourneert:

Opmerking

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Gebruik

Gebruik de parameter -Decoded wanneer u de configuratie van beveiligd opstarten wilt analyseren of valideren in plaats van de onbewerkte waarden op te halen.

Meer informatie

Zie de documentatie bij Get-SecureBootUEFI voor volledige informatie over de cmdlet, parameters en aanvullende voorbeelden.

Opmerking

De documentatie waarnaar wordt verwezen bevat de parameter -Decoded nog niet. De documentatie wordt bijgewerkt in een toekomstige revisie.

Wijzigingenlogboek

Datum wijzigen Beschrijving van wijziging
30 april 2026
  • De beschrijvende tekst voor de UEFI Secure Boot-variabelen PK, KEK, DB en DBX toegevoegd in de sectie 'Inleiding'
  • Een 'Opmerking' toegevoegd om aan te geven dat de parameter -Decoderd is toegevoegd in de maandelijkse beveiligingsupdate van april 2026.