PowerShell: Utilizar o parâmetro -Decoded no Get-SecureBootUEFI

Aplica-se A
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Nota

Data de publicação original: 28 de abril de 2026
ID da BDC: 5093574

Nota

O parâmetro -Decoded foi adicionado aos cmdlets do PowerShell Get-SecureBootUEFI em 14 de abril de 2026, atualizações cumulativas mensais e atualizações lançadas após essa data.

Introdução

O cmdlet do PowerShell Get-SecureBootUEFI obtém variáveis de Arranque Seguro UEFI, como PK (Chave de Plataforma), KEK (Chave do Exchange de Chaves), BD (base de dados de assinatura permitida) e DBX (base de dados de assinatura revogada). Normalmente, estas variáveis devolvem dados binários não processados, o que pode ser difícil de interpretar diretamente.

O novo parâmetro -Decoded fornece uma vista mais acessível destas informações.

O que faz o parâmetro -Decoded?

Quando utiliza o parâmetro -Decoded , o cmdlet apresenta os conteúdos das bases de dados de Arranque Seguro num formato legível por humanos. Em vez de bytes não processados, descodifica e apresenta os dados subjacentes, incluindo certificados, hashes e metadados associados armazenados em variáveis autenticadas ueFI.

Com o parâmetro -Decoded , a saída inclui informações de certificado legíveis, tais como:

  • Assunto (por exemplo, Microsoft Windows Production PCA 2011)
  • Algoritmo e versão
  • Número de série
  • Período de validade

Desta forma, é mais fácil:

  • Inspecionar itens de Arranque Seguro, como certificados, hashes e chaves públicas
  • Ver as propriedades do certificado, como o assunto, o emissor e as datas de validade
  • Compreender mais facilmente o que é fidedigno em PK, KEK e BD e o que é revogado no DBX sem análise adicional

Exemplo

Utilização de comandos no PowerShell:

Nota

Get-SecureBootUEFI -Name db -Decoded

O comando devolve:

Nota

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Quando utilizá-lo

Utilize o parâmetro -Decoded quando precisar de analisar ou validar a configuração de Arranque Seguro, em vez de obter os respetivos valores não processados.

Mais informações

Para obter detalhes completos do cmdlet, parâmetros e exemplos adicionais, veja a documentação Get-SecureBootUEFI .

Nota

A documentação referenciada ainda não inclui o parâmetro -Decoded . A documentação será atualizada numa revisão futura.

Registo de alterações

Alterar data Alterar descrição
30 de abril de 2026
  • Foi adicionado o texto descritivo para as variáveis de Arranque Seguro UEFI PK, KEK, DB e DBX na secção "Introdução"
  • Foi adicionada uma "Nota" para indicar que o parâmetro -Decoded foi adicionado na atualização de segurança mensal de abril de 2026.