Применяется к
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Исходная дата публикации: 14 октября 2025 г.

Идентификатор базы знаний: 5068197

В этой статье содержатся рекомендации по следующим вопросам: 

  • Организации, имеющие собственный ИТ-отдел, который управляет устройствами и обновлениями Windows.

Примечание. Если вы являетесь владельцем личного устройства Windows, перейдите к статье Устройства Windows для домашних пользователей, предприятий и учебных заведений с обновлениями под управлением Майкрософт

Доступность этой поддержки:  

  • Входит в состав обновлений Windows, выпущенных 28 октября 2025 г. и позже, для Windows 11 версии 24H2 и Windows 11 версии 23H2.

  • Включены в обновления, выпущенные 11 ноября 2025 г. и позже для других версий Windows.

Интерфейс командной строки безопасной загрузки с помощью системы конфигурации Windows (WinCS)

Цель. Администраторы домена могут использовать систему конфигурации Windows (WinCS), выпущенную с обновлениями ОС Windows, для развертывания обновлений безопасной загрузки на клиентах и серверах Windows, присоединенных к домену. Она состоит из служебной программы интерфейса командной строки (CLI) для локального запроса и применения конфигураций безопасной загрузки к компьютеру.  

WinCS работает с ключом конфигурации, который можно использовать с программой командной строки для изменения состояния конфигурации безопасной загрузки на компьютере. После применения следующая запланированная безопасная загрузка выполнит действия в соответствии с ключом. 

Поддерживаемые платформы WinCS

Служебная программа командной строки WinCS поддерживается в Windows 11 версии 23H2, Windows 11, версии 24H2, Windows 11 версии 25H2. Эта служебная программа доступна в обновлениях Windows, выпущенных 28 октября 2025 г. и позже для Windows 11 версии 24H2 и Windows 11 версии 23H2.

Примечание. Мы работаем над переносом этой поддержки WinCS на Windows 10 платформы. Мы обновим эту статью, как только поддержка будет включена. 

Ниже приведен ключ конфигурации безопасной загрузки, который администраторы домена будут запрашивать и применять к устройствам через WinCS. 

Имя компонента

Клавиша WinCS

Описание

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Включение этого ключа позволяет установить на устройстве следующие новые сертификаты безопасной загрузки, предоставленные Корпорацией Майкрософт. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Значение ключа WinCS: 

  • F33E0C8E002 — состояние конфигурации безопасной загрузки = включено

Запрос конфигурации безопасной загрузки 

Конфигурацию безопасной загрузки можно запросить с помощью следующей командной строки:

WinCsFlags.exe /query --key F33E0C8E002

При этом будут возвращены следующие сведения (на чистом компьютере): 

Флаг: F33E0C8E 

  Текущая конфигурация: F33E0C8E001

  Состояние: Отключено

  Ожидающая конфигурация: нет 

  Ожидающее действие: нет  

  FwLink: https://aka.ms/getsecureboot 

  Доступные конфигурации: 

    F33E0C8E002 

    F33E0C8E001 

Обратите внимание, что текущая конфигурация на устройстве F33E0C8E001, что означает, что ключ безопасной загрузки находится в состоянии Отключено .  

Применение конфигурации безопасной загрузки  

Конкретную конфигурацию для включения сертификатов безопасной загрузки можно настроить следующим образом: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

При успешном применении ключа должны быть возвращены следующие сведения: 

Флаг: F33E0C8E 

  Текущая конфигурация: F33E0C8E002

  Состояние: включено

  Ожидающая конфигурация: нет 

  Ожидающее действие: нет

  FwLink: https://aka.ms/getsecureboot 

 Доступные конфигурации: 

    F33E0C8E002 

    F33E0C8E001  

Аудит конфигурации безопасной загрузки  

Чтобы определить состояние конфигурации безопасной загрузки позже, можно повторно использовать начальную команду запроса: 

WinCsFlags.exe /query --key F33E0C8E002 

Возвращаемые сведения будут выглядеть следующим образом в зависимости от состояния флага: 

Флаг: F33E0C8E 

  Текущая конфигурация: F33E0C8E002

  Состояние: включено

  Ожидающая конфигурация: нет 

  Ожидающее действие: нет

  FwLink: https://aka.ms/getsecureboot 

  Доступные конфигурации: 

    F33E0C8E002 

    F33E0C8E001  

Обратите внимание, что состояние ключа теперь включено, а текущая конфигурация F33E0C8E002. 

Примечание. Применение ключа безопасной загрузки через WinCS не означает, что процесс установки сертификата безопасной загрузки запущен или завершен.  Он просто указывает, что компьютер будет продолжать работу с обновлениями безопасной загрузки при выполнении задачи обслуживания безопасной загрузки (TPMTasks) на этом компьютере при следующей доступной возможности. Когда TPMTasks запускается на этом компьютере, он обнаружит 0x5944 и выполнит обновление. По умолчанию запланированная задача безопасной загрузки и обновления выполняется каждые 12 часов для обработки таких флагов обновления безопасной загрузки. Администраторы также могут ускорить работу, вручную запустив задачу или перезапустив, если это необходимо.  

Вы также можете вручную запустить задачу обслуживания безопасной загрузки, выполнив следующие действия. 

  1. Откройте командную строку PowerShell от имени администратора и выполните следующую команду:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Перезапустите устройство два раза после выполнения команды, чтобы убедиться, что устройство начинается с обновленной базы данных доверенных сигнатур (БД).

  3. Чтобы убедиться, что обновление базы данных безопасной загрузки прошло успешно, откройте командную строку PowerShell от имени администратора, а затем выполните следующую команду: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Безопасная загрузка

    Если команда возвращает значение True, обновление прошло успешно.В случае ошибок при применении обновления базы данных см. статью KB5016061: Устранение уязвимых и отозванных диспетчеров загрузки

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей