Opmerking
- Oorspronkelijke publicatiedatum: 14 oktober 2025
- KB-id: 5068197
Wijzigingenlogboek
| Datum wijzigen | Beschrijving van wijziging |
|---|---|
| 16 april. 2026 |
|
| 10 april 2026 |
|
| 20 februari 2026 |
|
| dinsdag 16 december 2025 |
|
| 11 december 2025 |
|
CLI beveiligd opstarten met behulp van Windows Configuration System (WinCS)
Doel: domeinbeheerders kunnen ook het Windows-configuratiesysteem (WinCS) gebruiken dat is uitgebracht met updates van het Windows-besturingssysteem om de updates voor beveiligd opstarten te implementeren op Windows-clients en servers die lid zijn van een domein. Het bestaat uit een CLI-hulpprogramma (command-line interface) om configuraties voor beveiligd opstarten lokaal op een computer op te vragen en toe te passen.
WinCS werkt met een configuratiesleutel die kan worden gebruikt met het opdrachtregelprogramma om de configuratiestatus voor beveiligd opstarten op de machine te wijzigen. Zodra de sleutel is toegepast, voert de volgende geplande functie voor beveiligd opstarten acties uit op basis van de sleutel.
Controleer eerst of de certificaten voor beveiligd opstarten zijn bijgewerkt in je platform
Je kunt de status van beveiligd opstarten controleren met behulp van de Powershell-opdracht:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status
Als de status 'Bijgewerkt' is, hoeft u WinCS niet uit te voeren en kunt u de onderstaande stappen overslaan.
Als de certificaten niet worden bijgewerkt naar versies van 2023, zijn de onderstaande extra stappen van toepassing.
Ondersteunde platforms voor WinCS
Het WinCS-opdrachtregelprogramma wordt ondersteund in Windows 10, versie 21H2, Windows 10, versie 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versie 23H2, Windows 11, versie 24H2, Windows 11, versie 25H2.
Dit hulpprogramma is beschikbaar in de Windows-updates die zijn uitgebracht op en na 28 oktober 2025 voor Windows 11, versie 24H2 en Windows 11, versie 23H2.
Dit hulpprogramma is ook beschikbaar in de Windows-updates die zijn uitgebracht op en na 11 november 2025 voor Windows 10, versie 21H2, Windows 10, versie 22H2 en Windows Server 2022.
Voor Windows Server 2019 wordt dit hulpprogramma meegeleverd met de Windows-updates die zijn uitgebracht op en na 13 januari 2026.
Voor Windows Server 2016, Windows 10 1607, wordt dit hulpprogramma geleverd bij de Windows-updates die zijn uitgebracht op en na 14 april 2026.
En voor Windows Server 2012 en Windows Server 2012 R2 (ESU) wordt dit hulpprogramma geleverd bij de Windows-updates die zijn uitgebracht op en na 14 april 2026.
Hier is de configuratiefunctiesleutel voor beveiligd opstarten die domeinbeheerders zullen opvragen en toepassen op apparaten via WinCS.
| Onderdeelnaam | WinCS-sleutel | Beschrijving |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Als je deze sleutel inschakelt, kunnen de volgende door Microsoft geleverde nieuwe certificaten voor beveiligd opstarten op je apparaat worden geïnstalleerd.
|
Sleutelwaarde WinCS:
- F33E0C8E002 – Configuratiestatus beveiligd opstarten = Ingeschakeld
Een query uitvoeren op de configuratie van Secure Boot
Je kunt de configuratie van beveiligd opstarten opvragen door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:
Opmerking
WinCsFlags.exe /query --key F33E0C8E002
Dit retourneert de volgende informatie (op een schone machine):
Opmerking
- Vlag: F33E0C8E
- Huidige configuratie: F33E0C8E001
- Status: Uitgeschakeld
- Configuratie in behandeling: Geen
- Actie in behandeling: Geen
- FwLink: https://aka.ms/getsecureboot
- Beschikbare configuraties:
- F33E0C8E002
- F33E0C8E001
Je ziet dat de huidige configuratie op een apparaat F33E0C8E001 is, wat betekent dat de sleutel voor beveiligd opstarten zich in de status Uitgeschakeld bevindt.
De configuratie voor beveiligd opstarten toepassen
De configuratie voor beveiligd opstarten kan worden toegepast door als beheerder een opdrachtprompt te openen en deze opdracht uit te voeren:
Opmerking
WinCsFlags.exe /apply --key "F33E0C8E002"
Een geslaagde toepassing van de sleutel moet de volgende informatie retourneren:
Opmerking
- Vlag: F33E0C8E
- Huidige configuratie: F33E0C8E002
- Status: Ingeschakeld
- Configuratie in behandeling: Geen
- Actie in behandeling: Geen
- FwLink: https://aka.ms/getsecureboot
- Beschikbare configuraties:
- F33E0C8E002
- F33E0C8E001
De configuratie van beveiligd opstarten controleren
Als je later de status van de configuratie voor beveiligd opstarten wilt bepalen, kun je de oorspronkelijke queryopdracht opnieuw uitvoeren door als beheerder een opdrachtprompt te openen:
Opmerking
WinCsFlags.exe /query --key F33E0C8E002
De geretourneerde informatie ziet er ongeveer als volgt uit, afhankelijk van de status van de vlag:
Opmerking
- Vlag: F33E0C8E
- Huidige configuratie: F33E0C8E002
- Status: Ingeschakeld
- Configuratie in behandeling: Geen
- Actie in behandeling: Geen
- FwLink: https://aka.ms/getsecureboot
- Beschikbare configuraties:
- F33E0C8E002
- F33E0C8E001
U ziet dat de status van de sleutel nu Ingeschakeld is en dat de huidige configuratie F33E0C8E002.
Opmerking
Opmerking: Het toepassen van de sleutel voor beveiligd opstarten via WinCS betekent niet dat het installatieproces van het Secure Boot-certificaat is gestart of voltooid. Het geeft alleen aan dat de computer doorgaat met updates voor beveiligd opstarten wanneer de Secure Boot-onderhoudstaak (TPMTasks) bij de eerstvolgende gelegenheid op die computer wordt uitgevoerd. Wanneer TPMTasks op die computer wordt uitgevoerd, detecteert het 0x5944 en voert het de update uit. Standaard wordt de geplande taak Secure-Boot-Update elke 12 uur uitgevoerd om dergelijke updatevlaggen voor Secure Boot te verwerken. Beheerders kunnen ook versnellen door de taak handmatig uit te voeren of desgewenst opnieuw te starten.
Je kunt de onderhoudstaak voor beveiligd opstarten ook handmatig activeren door de onderstaande stappen uit te voeren:
Open een PowerShell-prompt als beheerder en voer de volgende opdracht uit:
Opmerking
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Start het apparaat na het uitvoeren van de opdracht tweemaal opnieuw op om te bevestigen dat het apparaat wordt gestart met de bijgewerkte database met vertrouwde handtekeningen (DB).
Als snelle controle of de update voor de Secure Boot DB is geslaagd, opent u een PowerShell-prompt als beheerder en voert u de volgende opdracht uit:
Opmerking
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Als de opdracht Waar retourneert, is de update voltooid.In het geval van fouten tijdens het toepassen van de DB-update, zie het artikel KB5016061: Kwetsbare en ingetrokken opstartbeheerders aanpakken.
Opmerking
Hiermee wordt slechts één certificeringsinstantie gecontroleerd en niet alle certificeringsinstanties.
Als je wilt controleren of alle certificaten zijn bijgewerkt, raadpleeg je Certificaatupdates voor beveiligd opstarten: richtlijnen voor IT-professionals en organisaties en volg de richtlijnen in de sectie Gebeurtenislogboeken controleren. In deze sectie worden gebeurtenis-id: 1801 en gebeurtenis-id: 1808 vermeld. Dit is een volledigere manier om te controleren of de certificaten zijn bijgewerkt.