API системы конфигурации Windows (WinCS) для безопасной загрузки

Интерфейс командной строки безопасной загрузки с помощью системы конфигурации Windows (WinCS)

Цель. Администраторы домена могут использовать систему конфигурации Windows (WinCS), выпущенную с обновлениями ОС Windows, для развертывания обновлений безопасной загрузки на клиентах и серверах Windows, присоединенных к домену. Она состоит из служебной программы интерфейса командной строки (CLI) для локального запроса и применения конфигураций безопасной загрузки к компьютеру.  

WinCS работает с ключом конфигурации, который можно использовать с программой командной строки для изменения состояния конфигурации безопасной загрузки на компьютере. После применения следующая запланированная безопасная загрузка выполнит действия в соответствии с ключом. 

Сначала проверка, обновлены ли сертификаты безопасной загрузки на вашей платформе 

Состояние безопасной загрузки можно проверка с помощью команды PowerShell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Если в поле Состояние отображается значение "Обновлено", запускать WinCS не нужно и можно пропустить описанные ниже действия.

Если сертификаты не обновлены до версии 2023 года, применяются дополнительные действия, описанные ниже.

Поддерживаемые платформы WinCS

Служебная программа командной строки WinCS поддерживается в Windows 10 версии 21H2, Windows 10, версия 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, версия 23H2, Windows 11, версия 24H2, Windows 11, версия 25H2.

Эта служебная программа доступна в обновлениях Windows, выпущенных 28 октября 2025 г. и позже для Windows 11 версии 24H2 и Windows 11 версии 23H2.

Эта служебная программа также доступна в обновлениях Windows, выпущенных 11 ноября 2025 г. и позже для Windows 10, версии 21H2, Windows 10 версии 22H2 и Windows Server 2022 г.

Для Windows Server 2019 г. эта служебная программа поставляется в обновлениях Windows, выпущенных 13 января 2026 г. и позже. 

Для Windows Server 2016, Windows 10 1607, эта служебная программа поставляется в обновлениях Windows, выпущенных с 14 апреля 2026 г.

Для Windows Server 2012 и Windows Server 2012 R2 (ESU) эта служебная программа поставляется в обновлениях Windows, выпущенных с 14 апреля 2026 г. и позже.

Ниже приведен ключ конфигурации безопасной загрузки, который администраторы домена будут запрашивать и применять к устройствам через WinCS. 

Значение ключа WinCS: 

• F33E0C8E002 — состояние конфигурации безопасной загрузки = включено

Запрос конфигурации безопасной загрузки 

Конфигурацию безопасной загрузки можно запросить, открыв командную строку от имени администратора и выполнив следующую команду:

При этом будут возвращены следующие сведения (на чистом компьютере): 

Обратите внимание, что текущая конфигурация на устройстве F33E0C8E001, что означает, что ключ безопасной загрузки находится в состоянии Отключено .  

Применение конфигурации безопасной загрузки  

Конфигурацию безопасной загрузки можно применить, открыв командную строку от имени администратора и выполнив следующую команду:

При успешном применении ключа должны быть возвращены следующие сведения: 

Аудит конфигурации безопасной загрузки  

Чтобы определить состояние конфигурации безопасной загрузки позже, можно повторно выполнить начальную команду запроса, открыв командную строку от имени администратора:

Возвращаемые сведения будут выглядеть следующим образом в зависимости от состояния флага: 

Обратите внимание, что состояние ключа теперь включено, а текущая конфигурация F33E0C8E002. 

Вы также можете вручную запустить задачу обслуживания безопасной загрузки, выполнив следующие действия. 

1. Откройте командную строку PowerShell от имени администратора и выполните следующую команду:

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. Перезапустите устройство два раза после выполнения команды, чтобы убедиться, что устройство начинается с обновленной базы данных доверенных сигнатур (БД).

3. В качестве краткого проверка, если обновление базы данных безопасной загрузки прошло успешно, откройте командную строку PowerShell от имени администратора и выполните следующую команду: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   Если команда возвращает значение True, обновление прошло успешно.
   
   В случае ошибок при применении обновления базы данных см. статью KB5016061: Устранение уязвимых и отозванных диспетчеров загрузки.

   Примечание: При этом проверяется только один ЦС, а не все ЦС.

4. Чтобы убедиться, что все сертификаты обновлены, см. статью Обновления сертификатов безопасной загрузки: руководство для ИТ-специалистов и организаций и следуйте указаниям в разделе "Журналы событий мониторинга". В этом разделе перечислены идентификатор события: 1801 и идентификатор события: 1808 , который является более полным способом аудита обновления сертификатов.