PowerShell: usando o parâmetro -Decodificado em Get-SecureBootUEFI

Aplica-se a
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Observação

Data de publicação original: 28 de abril de 2026
ID da base de dados: 5093574

Observação

O parâmetro -Decoded foi adicionado aos cmdlets Get-SecureBootUEFI do PowerShell nas atualizações cumulativas mensais de 14 de abril de 2026 e nas atualizações lançadas após essa data.

Introdução

O cmdlet Get-SecureBootUEFI do PowerShell recupera variáveis de Inicialização Segura UEFI, como PK (Chave da Plataforma), KEK (Chave de Troca de Chaves), DB (banco de dados de assinatura permitida) e DBX (banco de dados de assinatura revogada). Essas variáveis normalmente retornam dados binários brutos, que podem ser difíceis de interpretar diretamente.

O novo parâmetro -Decoded fornece uma exibição mais acessível dessas informações.

O que o parâmetro -Decoded faz?

Quando você usa o parâmetro -Decoded , o cmdlet exibe o conteúdo dos bancos de dados de Inicialização Segura em um formato legível. Em vez de bytes brutos, ele decodifica e apresenta os dados subjacentes, incluindo certificados, hashes e metadados associados armazenados em variáveis autenticadas pela UEFI.

Com o parâmetro -Decoded , a saída inclui informações de certificado legíveis, como:

  • Assunto (por exemplo, Microsoft Windows Production PCA 2011)
  • Algoritmo e versão
  • Número de série
  • Período de validade

Isso torna mais fácil:

  • Inspecionar itens de Inicialização Segura, como certificados, hashes e chaves públicas
  • Exibir propriedades do certificado, como assunto, emissor e datas de validade
  • Entenda mais facilmente o que é confiável em PK, KEK e DB e o que é revogado em DBX sem análise adicional

Exemplo

Uso do comando no PowerShell:

Observação

Get-SecureBootUEFI -Name db -Decoded

O comando retorna:

Observação

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Quando utilizar

Use o parâmetro -Decoded quando precisar analisar ou validar a configuração de Inicialização Segura, em vez de recuperar seus valores brutos.

Saiba mais

Para obter detalhes completos do cmdlet, parâmetros e exemplos adicionais, consulte a documentação Get-SecureBootUEFI .

Observação

A documentação referenciada ainda não inclui o parâmetro -Decoded . A documentação será atualizada em uma revisão futura.

Log de mudanças

Data da alteração Alterar descrição
30 de abril de 2026
  • Adicionado o texto descritivo para as variáveis de Inicialização Segura UEFI PK, KEK, DB e DBX na seção "Introdução"
  • Adicionada uma "Observação" para indicar que o parâmetro -Decoded foi adicionado na atualização de segurança mensal de abril de 2026.