Dotyczy
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Oryginalna data publikacji: 14 października 2025 r.

Identyfikator BAZY WIEDZY: 5068197

Ten artykuł zawiera wskazówki dotyczące: 

  • Organizacje, które mają własny dział informatyczny zarządzający urządzeniami i aktualizacjami systemu Windows.

Uwaga: Jeśli jesteś osobą fizyczną, która jest właścicielem osobistego urządzenia z systemem Windows, przejdź do artykułu Urządzenia z systemem Windows dla użytkowników domowych, firm i szkół z aktualizacjami zarządzanymi przez firmę Microsoft

Dostępność tej pomocy technicznej:  

  • Dostępne w aktualizacjach systemu Windows wydanych 28 października 2025 r. dla Windows 11 w wersji 24H2 i Windows 11 w wersji 23H2.

  • Zawarte w aktualizacjach wydanych 11 listopada 2025 r. i później dla innych wersji systemu Windows.

Interfejs użytkownika bezpiecznego rozruchu przy użyciu systemu konfiguracji systemu Windows (WinCS)

Cel: Administratorzy domeny mogą również używać systemu konfiguracji systemu Windows (WinCS) wydanego wraz z aktualizacjami systemu operacyjnego Windows do wdrażania aktualizacji bezpiecznego rozruchu na komputerach klienckich i serwerach systemu Windows przyłączonych do domeny. Składa się on z narzędzia interfejsu wiersza polecenia (CLI) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze.  

WinCS działa poza kluczem konfiguracji, który może być używany z narzędziem wiersza polecenia do modyfikowania stanu konfiguracji bezpiecznego rozruchu na komputerze. Po zastosowaniu następnego zaplanowanego bezpiecznego rozruchu będą wykonywane akcje zgodnie z kluczem. 

Platformy obsługiwane przez WinCS

Narzędzie wiersza polecenia WinCS jest obsługiwane w Windows 11, wersja 23H2, Windows 11, wersja 24H2, Windows 11, wersja 25H2. To narzędzie jest dostępne w aktualizacjach systemu Windows wydanych 28 października 2025 r. dla Windows 11 w wersji 24H2 i Windows 11 w wersji 23H2.

Uwaga: Pracujemy nad wprowadzeniem tej obsługi WinCS na Windows 10 platformach. Zaktualizujemy ten artykuł zaraz po włączeniu pomocy technicznej. 

Oto klucz funkcji konfiguracji bezpiecznego rozruchu, który administratorzy domeny będą kwerendować i stosować do urządzeń za pośrednictwem WinCS. 

Nazwa funkcji

Klucz WinCS

Opis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Włączenie tego klucza umożliwia zainstalowanie na urządzeniu następujących certyfikatów bezpiecznego rozruchu dostarczonych przez firmę Microsoft. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Wartość klucza WinCS: 

  • F33E0C8E002 — stan konfiguracji bezpiecznego rozruchu = Włączony

Jak tworzyć zapytania dotyczące konfiguracji bezpiecznego rozruchu 

Konfigurację bezpiecznego rozruchu można uruchomić za pomocą następującego wiersza polecenia:

WinCsFlags.exe /query --key F33E0C8E002

Spowoduje to zwrócenie następujących informacji (na czystym komputerze): 

Flaga: F33E0C8E 

  Bieżąca konfiguracja: F33E0C8E001

  Stan: Wyłączono

  Oczekująca konfiguracja: Brak 

  Oczekująca akcja: Brak  

  FwLink: https://aka.ms/getsecureboot 

  Dostępne konfiguracje: 

    F33E0C8E002 

    F33E0C8E001 

Zwróć uwagę, że bieżąca konfiguracja na urządzeniu jest F33E0C8E001, co oznacza, że klucz bezpiecznego rozruchu jest w stanie wyłączonym .  

Jak zastosować konfigurację bezpiecznego rozruchu  

Konkretną konfigurację umożliwiającą włączenie certyfikatów bezpiecznego rozruchu można skonfigurować w następujący sposób: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Pomyślne zastosowanie klucza powinno zwrócić następujące informacje: 

Flaga: F33E0C8E 

  Bieżąca konfiguracja: F33E0C8E002

  Województwo: włączono

  Oczekująca konfiguracja: Brak 

  Oczekująca akcja: Brak

  FwLink: https://aka.ms/getsecureboot 

 Dostępne konfiguracje: 

    F33E0C8E002 

    F33E0C8E001  

Jak zostać objęte inspekcją konfiguracji bezpiecznego rozruchu  

Aby później określić stan konfiguracji bezpiecznego rozruchu, możesz ponownie użyć polecenia zapytania początkowego: 

WinCsFlags.exe /query --key F33E0C8E002 

Zwrócone informacje będą podobne do następujących, w zależności od stanu flagi: 

Flaga: F33E0C8E 

  Bieżąca konfiguracja: F33E0C8E002

  Województwo: włączono

  Oczekująca konfiguracja: Brak 

  Oczekująca akcja: Brak

  FwLink: https://aka.ms/getsecureboot 

  Dostępne konfiguracje: 

    F33E0C8E002 

    F33E0C8E001  

Zwróć uwagę, że stan klucza jest teraz włączony, a bieżąca konfiguracja jest F33E0C8E002. 

Uwaga: Zastosowanie klucza bezpiecznego rozruchu za pośrednictwem winCS nie oznacza, że proces instalacji certyfikatu bezpiecznego rozruchu rozpoczął się lub zakończył.  Oznacza to jedynie, że komputer będzie kontynuować aktualizacje bezpiecznego rozruchu, gdy zadanie obsługi bezpiecznego rozruchu (TPMTasks) będzie działać na tym komputerze przy następnej dostępnej okazji. Gdy TPMTasks działa na tym komputerze, wykrywa 0x5944 i przeprowadza aktualizację. Zgodnie z projektem zaplanowane zadanie Secure-Boot-Update jest uruchamiane co 12 godzin w celu przetworzenia flag aktualizacji bezpiecznego rozruchu. Administratorzy mogą także przyspieszyć, uruchamiając zadanie ręcznie lub ponownie uruchamiając je w razie potrzeby.  

Możesz również ręcznie uruchomić zadanie obsługi bezpiecznego rozruchu, wykonując poniższe czynności: 

  1. Otwórz monit programu PowerShell jako administrator, a następnie uruchom następujące polecenie:

    Start-ScheduledTask —Nazwa_zadania "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Uruchom ponownie urządzenie dwa razy po uruchomieniu polecenia, aby potwierdzić, że urządzenie zaczyna się od zaktualizowanej bazy danych zaufanych podpisów (DB).

  3. Aby sprawdzić, czy aktualizacja bazy danych bezpiecznego rozruchu zakończyła się pomyślnie, otwórz monit programu PowerShell jako administrator, a następnie uruchom następujące polecenie: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bajty) -match 'Windows UEFI CA 2023'

    Bezpieczny rozruch

    Jeśli polecenie zwraca wartość Prawda, aktualizacja zakończyła się pomyślnie.W przypadku błędów podczas stosowania aktualizacji bazy danych zobacz artykuł KB5016061: Rozwiązywanie problemów z wrażliwymi i odwołanymi menedżerami rozruchu

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu