PowerShell: używanie parametru -Decoded w poleceniu Get-SecureBootUEFI

Dotyczy
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Uwaga

Data pierwotnej publikacji: 28 kwietnia 2026 r
Identyfikator KB: 5093574

Uwaga

Parametr -Decoded został dodany do poleceń cmdlet Get-SecureBootUEFI programu PowerShell w comiesięcznych aktualizacjach zbiorczych i aktualizacjach wydanych po tej dacie z 14 kwietnia 2026 r.

Wprowadzenie

Polecenie cmdlet Get-SecureBootUEFI programu PowerShell pobiera zmienne bezpiecznego rozruchu UEFI, takie jak PK (klucz platformy), KEK (klucz wymiany kluczy), DB (dozwolona baza danych podpisów) i DBX (odwołana baza danych podpisów). Te zmienne zwykle zwracają nieprzetworzone dane binarne, które mogą być trudne do bezpośredniej interpretacji.

Nowy parametr -Decoded zapewnia bardziej przystępny widok tych informacji.

Co robi parametr -Decoded?

W przypadku użycia parametru -Decoded polecenie cmdlet wyświetla zawartość baz danych bezpiecznego rozruchu w formacie czytelnym dla człowieka. Zamiast nieprzetworzonych bajtów dekoduje i prezentuje dane źródłowe, w tym certyfikaty, skróty i skojarzone metadane przechowywane w zmiennych uwierzytelnionych UEFI.

W przypadku parametru -Decoded dane wyjściowe zawierają czytelne informacje o certyfikacie, takie jak:

  • Temat (na przykład Microsoft Windows Production PCA 2011)
  • Algorytm i wersja
  • Numer seryjny
  • Okres ważności

Ułatwia to:

  • Sprawdzanie elementów bezpiecznego rozruchu, takich jak certyfikaty, skróty i klucze publiczne
  • Wyświetlanie właściwości certyfikatu, takich jak temat, wystawca i daty ważności
  • Łatwiejsze zrozumienie, co jest zaufane w PK, KEK i DB, a co jest odwołane w DBX bez dodatkowego analizowania

Przykład

Użycie poleceń w programie PowerShell:

Uwaga

Get-SecureBootUEFI -Name db -Decoded

Polecenie zwróci:

Uwaga

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Okoliczności użycia

Użyj parametru -Decoded , gdy musisz przeanalizować lub zweryfikować konfigurację bezpiecznego rozruchu, zamiast pobierać ich nieprzetworzone wartości.

Dowiedz się więcej

Aby uzyskać pełne szczegóły polecenia cmdlet, parametry i dodatkowe przykłady, zobacz dokumentację Get-SecureBootUEFI .

Uwaga

Przywoływana dokumentacja nie zawiera jeszcze parametru -Decoded . Dokumentacja zostanie zaktualizowana w przyszłej wersji.

Dziennik zmian

Zmień datę Opis zmiany
30 kwietnia 2026 r.
  • Dodano opis zmiennych bezpiecznego rozruchu UEFI PK, KEK, DB i DBX w sekcji "Wprowadzenie"
  • Dodano "notatkę" wskazującą, że parametr -Decoded został dodany w comiesięcznej aktualizacji zabezpieczeń z kwietnia 2026 r.