Windows-configuratiesysteem (WinCS) API's voor Beveiligd opstarten

Van toepassing op
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 14 oktober 2025
  • KB-id: 5068197
Wijzigingenlogboek
Datum wijzigen Beschrijving van wijziging
16 april. 2026
  • De sectie 'Beschikbaarheid van deze ondersteuning' is verwijderd omdat de informatie zich in de sectie 'Door WinCS ondersteunde platforms' bevindt.
10 april 2026
  • De datum bijgewerkt voor Windows 10 1607 / en Windows Server 2016 onder de sectie ' Door WinCS ondersteunde platforms'.
  • Nieuwe platformondersteuning toegevoegd voor Windows Server 2012 en Windows Server 2012 R2 (ESU) onder de sectie ' Door WinCS ondersteunde platformen'.
20 februari 2026
  • Een nieuwe sectie 'Controleer eerst of certificaten voor beveiligd opstarten zijn bijgewerkt in je platform' toegevoegd
dinsdag 16 december 2025
  • De opdrachtregel in de sectie 'Hoe een Secure Boot-configuratie toe te passen' is gecorrigeerd omdat deze onjuiste tekens bevat.

    Aan: WinCsFlags.exe /apply --toets "F33E0C8E002"
  • De opdrachtregel in de sectie 'Hoe de configuratie van beveiligd opstarten te controleren' is gecorrigeerd omdat er een spatie aan het einde van de regel staat.

    aan: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • In de sectie 'Beschikbaarheid van deze ondersteuning' is toegevoegd dat Windows 10, versies 21H2 en 22H2 en Windows Server 2022 zijn toegevoegd in de releases van en na 11 november 2025. Daarnaast wordt ondersteuning voor andere versies van Windows opgenomen in updates die in het eerste kwartaal van 2026 worden uitgebracht.
11 december 2025
  • Stap 3 van de sectie 'De configuratie voor beveiligd opstarten controleren' is gewijzigd:

    Vanaf: Als je wilt controleren of de update voor de Secure Boot DB is geslaagd, open je een PowerShell-prompt als beheerder en voer je de volgende opdracht uit:

    Aan: Als snelle controle of de update voor de Secure Boot DB is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit:
  • Stap 4 toegevoegd aan de sectie 'De configuratie voor beveiligd opstarten controleren':

    Als je wilt controleren of alle certificaten zijn bijgewerkt, raadpleeg je Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties en volg de richtlijnen in de sectie Gebeurtenislogboeken controleren. In deze sectie worden gebeurtenis-id: 1801 en gebeurtenis-id: 1808 vermeld. Dit is een volledige manier om te controleren of de certificaten zijn bijgewerkt.

CLI beveiligd opstarten met behulp van Windows Configuration System (WinCS)

Doel: domeinbeheerders kunnen ook het Windows-configuratiesysteem (WinCS) gebruiken dat is uitgebracht met updates van het Windows-besturingssysteem om de updates voor beveiligd opstarten te implementeren op Windows-clients en servers die lid zijn van een domein. Het bestaat uit een CLI-hulpprogramma (command-line interface) om configuraties voor beveiligd opstarten lokaal op een computer op te vragen en toe te passen.

WinCS werkt met een configuratiesleutel die kan worden gebruikt met het opdrachtregelprogramma om de configuratiestatus voor beveiligd opstarten op de machine te wijzigen. Zodra de sleutel is toegepast, voert de volgende geplande functie voor beveiligd opstarten acties uit op basis van de sleutel.

Controleer eerst of de certificaten voor beveiligd opstarten zijn bijgewerkt in je platform

Je kunt de status van beveiligd opstarten controleren met behulp van de Powershell-opdracht:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Als de status 'Bijgewerkt' is, hoeft u WinCS niet uit te voeren en kunt u de onderstaande stappen overslaan.

Als de certificaten niet worden bijgewerkt naar versies van 2023, zijn de onderstaande extra stappen van toepassing.

Ondersteunde platforms voor WinCS

Het WinCS-opdrachtregelprogramma wordt ondersteund in Windows 10, versie 21H2, Windows 10, versie 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versie 23H2, Windows 11, versie 24H2, Windows 11, versie 25H2.

Dit hulpprogramma is beschikbaar in de Windows-updates die zijn uitgebracht op en na 28 oktober 2025 voor Windows 11, versie 24H2 en Windows 11, versie 23H2.

Dit hulpprogramma is ook beschikbaar in de Windows-updates die zijn uitgebracht op en na 11 november 2025 voor Windows 10, versie 21H2, Windows 10, versie 22H2 en Windows Server 2022.

Voor Windows Server 2019 wordt dit hulpprogramma meegeleverd met de Windows-updates die zijn uitgebracht op en na 13 januari 2026.

Voor Windows Server 2016, Windows 10 1607, wordt dit hulpprogramma geleverd bij de Windows-updates die zijn uitgebracht op en na 14 april 2026.

En voor Windows Server 2012 en Windows Server 2012 R2 (ESU) wordt dit hulpprogramma geleverd bij de Windows-updates die zijn uitgebracht op en na 14 april 2026.

Hier is de configuratiefunctiesleutel voor beveiligd opstarten die domeinbeheerders zullen opvragen en toepassen op apparaten via WinCS.

Onderdeelnaam WinCS-sleutel Beschrijving
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Als je deze sleutel inschakelt, kunnen de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op je apparaat worden geïnstalleerd.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft-optie UEFI ROM CA 2023

Sleutelwaarde WinCS:

  • F33E0C8E002 – Configuratiestatus beveiligd opstarten = Ingeschakeld

Een query uitvoeren op de configuratie van Secure Boot

Je kunt de configuratie van beveiligd opstarten opvragen door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:

Opmerking

WinCsFlags.exe /query --key F33E0C8E002

Dit retourneert de volgende informatie (op een schone machine):

Opmerking

  • Vlag: F33E0C8E
  • Huidige configuratie: F33E0C8E001
  • Status: Uitgeschakeld
  • Configuratie in behandeling: Geen
  • Actie in behandeling: Geen
  • FwLink: https://aka.ms/getsecureboot
  • Beschikbare configuraties:
  • F33E0C8E002
  • F33E0C8E001

Je ziet dat de huidige configuratie op een apparaat F33E0C8E001 is, wat betekent dat de sleutel voor beveiligd opstarten zich in de status Uitgeschakeld bevindt.

De configuratie voor beveiligd opstarten toepassen

De configuratie voor beveiligd opstarten kan worden toegepast door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:

Opmerking

WinCsFlags.exe /apply --key "F33E0C8E002"

Een geslaagde toepassing van de sleutel moet de volgende informatie retourneren:

Opmerking

  • Vlag: F33E0C8E
  • Huidige configuratie: F33E0C8E002
  • Status: Ingeschakeld
  • Configuratie in behandeling: Geen
  • Actie in behandeling: Geen
  • FwLink: https://aka.ms/getsecureboot
  • Beschikbare configuraties:
  • F33E0C8E002
  • F33E0C8E001

De configuratie van beveiligd opstarten controleren

Als je later de status van de configuratie voor beveiligd opstarten wilt bepalen, kun je de oorspronkelijke queryopdracht opnieuw uitvoeren door als beheerder een opdrachtprompt te openen:

Opmerking

WinCsFlags.exe /query --key F33E0C8E002

De geretourneerde informatie ziet er ongeveer als volgt uit, afhankelijk van de status van de vlag:

Opmerking

  • Vlag: F33E0C8E
  • Huidige configuratie: F33E0C8E002
  • Status: Ingeschakeld
  • Configuratie in behandeling: Geen
  • Actie in behandeling: Geen
  • FwLink: https://aka.ms/getsecureboot
  • Beschikbare configuraties:
  • F33E0C8E002
  • F33E0C8E001

U ziet dat de status van de sleutel nu Ingeschakeld is en dat de huidige configuratie F33E0C8E002.

Opmerking

Opmerking: Het toepassen van de sleutel voor beveiligd opstarten via WinCS betekent niet dat het installatieproces van het Secure Boot-certificaat is gestart of voltooid.  Het geeft alleen aan dat de computer doorgaat met updates voor beveiligd opstarten wanneer de Secure Boot-onderhoudstaak (TPMTasks) bij de eerstvolgende gelegenheid op die computer wordt uitgevoerd. Wanneer TPMTasks op die computer wordt uitgevoerd, detecteert het 0x5944 en voert het de update uit. Standaard wordt de geplande taak Secure-Boot-Update elke 12 uur uitgevoerd om dergelijke updatevlaggen voor Secure Boot te verwerken. Beheerders kunnen ook versnellen door de taak handmatig uit te voeren of desgewenst opnieuw te starten.

Je kunt de onderhoudstaak voor beveiligd opstarten ook handmatig activeren door de onderstaande stappen uit te voeren:

  1. Open een PowerShell-prompt als beheerder en voer de volgende opdracht uit:

    Opmerking

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Start het apparaat na het uitvoeren van de opdracht tweemaal opnieuw op om te bevestigen dat het apparaat wordt gestart met de bijgewerkte database met vertrouwde handtekeningen (DB).

  3. Als snelle controle of de update voor de Secure Boot DB is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit:

    Opmerking

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Boot Secure
    Als de opdracht Waar retourneert, is de update voltooid.

    In het geval van fouten tijdens het toepassen van de DB-update, zie het artikel KB5016061: Kwetsbare en ingetrokken opstartbeheerders aanpakken.

    Opmerking

    Hiermee wordt slechts één certificeringsinstantie gecontroleerd en niet alle certificeringsinstanties.

  4. Als je wilt controleren of alle certificaten zijn bijgewerkt, raadpleeg je Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties en volg de richtlijnen in de sectie Gebeurtenislogboeken controleren. In deze sectie worden gebeurtenis-id: 1801 en gebeurtenis-id: 1808 vermeld. Dit is een volledigere manier om te controleren of de certificaten zijn bijgewerkt.