Observação
- Data de publicação original: 14 de outubro de 2025
- ID da base de dados: 5068197
Log de mudanças
| Data da alteração | Alterar descrição |
|---|---|
| 16 de abril. 2026 |
|
| 10 de abril de 2026 |
|
| 20 de fevereiro de 2026 |
|
| 16 de dezembro de 2025 |
|
| 11 de dezembro de 2025 |
|
CLI de Inicialização Segura usando o Sistema de Configuração do Windows (WinCS)
Objetivo: os administradores de domínio podem, alternativamente, usar o Sistema de Configuração do Windows (WinCS) lançado com as atualizações do sistema operacional Windows para implantar as atualizações de Inicialização Segura em clientes e servidores Windows ingressados no domínio. Ele consiste em um utilitário de interface de linha de comando (CLI) para consultar e aplicar configurações de Inicialização Segura localmente a um computador.
O WinCS funciona com uma chave de configuração que pode ser usada com o utilitário de linha de comando para modificar o estado de configuração da Inicialização Segura no computador. Uma vez aplicada, a próxima Inicialização Segura agendada executará ações de acordo com a chave.
Primeiro, marque se os certificados de Inicialização Segura são atualizados em sua plataforma
Você pode marcar o status da Inicialização Segura usando o comando Powershell:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status do Voo
Se o Status mostrar "Atualizado", você não precisará executar o WinCS e pode pular as etapas abaixo.
Se os certificados não forem atualizados para as versões de 2023, as etapas adicionais abaixo serão aplicadas.
Plataformas com suporte do WinCS
O utilitário de linha de comando WinCS tem suporte no Windows 10, versão 21H2, Windows 10, versão 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, versão 23H2, Windows 11, versão 24H2, Windows 11, versão 25H2.
Esse utilitário está disponível nas atualizações do Windows lançadas em 28 de outubro de 2025 para Windows 11, versão 24H2 e Windows 11, versão 23H2.
Esse utilitário também está disponível nas atualizações do Windows lançadas em e após 11 de novembro de 2025 para Windows 10, versão 21H2, Windows 10, versão 22H2 e Windows Server 2022.
Para o Windows Server 2019, esse utilitário é enviado nas atualizações do Windows lançadas em e após 13 de janeiro de 2026.
Para o Windows Server 2016 e o Windows 10 1607, esse utilitário é fornecido nas atualizações do Windows lançadas em e após 14 de abril de 2026.
E para o Windows Server 2012 e o Windows Server 2012 R2 (ESU), esse utilitário é enviado nas atualizações do Windows lançadas em e após 14 de abril de 2026.
Aqui está a chave do recurso de configuração de Inicialização Segura que os administradores de domínio consultarão e aplicarão aos dispositivos por meio do WinCS.
| Nome do recurso | Chave WinCS | Descrição |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Habilitar essa chave permite a instalação dos seguintes certificados de Inicialização Segura fornecidos pela Microsoft em seu dispositivo.
|
Valor da chave do WinCS:
- F33E0C8E002 – Estado de configuração de Inicialização Segura = Habilitado
Como consultar a configuração do Secure Boot
Para consultar a configuração do Secure Boot, abra um prompt de comando como administrador e execute este comando:
Observação
WinCsFlags.exe /query --key F33E0C8E002
Isso retornará as seguintes informações (em um computador limpo):
Observação
- Bandeira: F33E0C8E
- Configuração atual: F33E0C8E001
- Estado: Desabilitado
- Configuração pendente: nenhuma
- Ação pendente: nenhuma
- FwLink: https://aka.ms/getsecureboot
- Configurações disponíveis:
- F33E0C8E002
- F33E0C8E001
Observe que a configuração atual em um dispositivo está F33E0C8E001, o que significa que a chave de Inicialização Segura está no estado Desabilitado .
Como aplicar a configuração de Inicialização Segura
A configuração de Inicialização Segura pode ser aplicada abrindo um prompt de comando como administrador e executando este comando:
Observação
WinCsFlags.exe /apply --key "F33E0C8E002"
Uma aplicação bem-sucedida da chave deve retornar as seguintes informações:
Observação
- Bandeira: F33E0C8E
- Configuração atual: F33E0C8E002
- Estado: Habilitado
- Configuração pendente: nenhuma
- Ação pendente: nenhuma
- FwLink: https://aka.ms/getsecureboot
- Configurações disponíveis:
- F33E0C8E002
- F33E0C8E001
Como auditar a configuração de Inicialização Segura
Para determinar o estado da configuração de Inicialização Segura posteriormente, você pode executar novamente o comando de consulta inicial abrindo um prompt de comando como administrador:
Observação
WinCsFlags.exe /query --key F33E0C8E002
As informações retornadas serão semelhantes às seguintes, dependendo do estado do sinalizador:
Observação
- Bandeira: F33E0C8E
- Configuração atual: F33E0C8E002
- Estado: Habilitado
- Configuração pendente: nenhuma
- Ação pendente: nenhuma
- FwLink: https://aka.ms/getsecureboot
- Configurações disponíveis:
- F33E0C8E002
- F33E0C8E001
Observe que o estado da chave agora é Habilitado e a configuração atual é F33E0C8E002.
Observação
Observação: Aplicar a chave de Inicialização Segura por meio do WinCS não significa que o processo de instalação do certificado de Inicialização Segura foi iniciado ou concluído. Ele simplesmente indica que o computador continuará com as atualizações de Inicialização Segura quando a tarefa de manutenção de Inicialização Segura (TPMTasks) for executada nesse computador na próxima oportunidade disponível. Quando o TPMTasks é executado nesse computador, ele detecta 0x5944 e executa a atualização. Por padrão, a tarefa agendada Secure-Boot-Update é executada a cada 12 horas para processar esses sinalizadores de atualização da Inicialização Segura. Os administradores também podem agilizá-la manualmente ou reiniciando-a, se quiserem.
Você também pode disparar manualmente a tarefa de manutenção de Inicialização Segura seguindo as etapas abaixo:
Abra um prompt do PowerShell como administrador e execute o seguinte comando:
Observação
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Reinicie o dispositivo duas vezes depois de executar o comando para confirmar que o dispositivo está sendo iniciado com o banco de dados atualizado de assinaturas confiáveis (DB).
Para marcar rapidamente se a atualização do Banco de Dados de Inicialização Segura foi bem-sucedida, abra um prompt do PowerShell como administrador e execute o seguinte comando:
Observação
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Se o comando retornar True, a atualização foi bem-sucedida.No caso de erros ao aplicar a atualização do banco de dados, consulte o artigo KB5016061: Abordando gerenciadores de inicialização vulneráveis e revogados.
Observação
Essa verificação está verificando apenas uma autoridade de certificação e não todas as autoridades de certificação.
Para verificar se todos os certificados estão atualizados, consulte Atualizações do Certificado de Inicialização Segura: Diretrizes para profissionais de TI e organizações e siga as diretrizes na seção "Logs de eventos de monitoramento". Esta seção lista a ID do Evento: 1801 e a ID do Evento: 1808, que é uma maneira mais completa de auditar se os certificados foram atualizados.