Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pôvodný dátum publikovania: 14. októbra 2025

KB ID: 5068197

Tento článok obsahuje návod na: 

  • Organizácie, ktoré majú vlastné IT oddelenie, ktoré spravuje zariadenia a aktualizácie Windowsu.

Poznámka: Ak ste jednotlivec, ktorý vlastní osobné zariadenie s Windowsom, prejdite na článok Zariadenia s Windowsom určené pre domácich používateľov, podniky a školy s aktualizáciami spravovanými spoločnosťou Microsoft

Dostupnosť tejto podpory:  

  • Zahrnuté v aktualizáciách Windowsu vydaných 28. októbra 2025 a po ich skončení pre Windows 11 verzie 24H2 a Windows 11 verzie 23H2.

  • Zahrnuté v aktualizáciách vydaných 11. novembra 2025 a po ich skončení pre iné verzie Windowsu.

Secure Boot CLI pomocou systému Windows Configuration System (WinCS)

Cieľ: Správcovia domén môžu alternatívne použiť windowsový konfiguračný systém (WinCS) vydaný s aktualizáciami operačného systému Windows na nasadenie aktualizácií zabezpečeného spustenia v rámci klientov a serverov Windowsu pripojených k doméne. Pozostáva z pomôcky rozhrania príkazového riadka (CLI) na dotazovanie a lokálne použitie konfigurácií zabezpečeného spustenia v počítači.  

WinCS vypne konfiguračný kľúč, ktorý možno použiť s pomôckou príkazového riadka na úpravu stavu konfigurácie zabezpečeného spustenia v počítači. Po použití bude ďalšie naplánované bezpečné spustenie vykonávať akcie podľa kľúča. 

Podporované platformy WinCS

Pomôcka príkazového riadka WinCS je podporovaná v Windows 11 verzii 23H2, Windows 11, verzii 24H2, Windows 11, verzii 25H2. Tento nástroj je k dispozícii v aktualizáciách Windowsu vydaných 28. októbra 2025 a po tomto dátume pre Windows 11 verzie 24H2 a Windows 11 verzie 23H2.

Poznámka: Pracujeme na tom, aby sa táto podpora wincs pre Windows 10 platformy. Tento článok aktualizujeme hneď po povolení podpory. 

Tu je kľúč funkcie konfigurácie zabezpečeného spustenia, ktorý budú správcovia domény dotazovať a vzťahovať sa na zariadenia prostredníctvom WinCS. 

Názov funkcie

Kláves WinCS

Popis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Povolenie tohto kľúča umožňuje inštaláciu nasledujúcich nových certifikátov zabezpečeného spustenia od spoločnosti Microsoft do zariadenia. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Hodnota kľúča WinCS: 

  • F33E0C8E002 – stav konfigurácie zabezpečeného spustenia = Povolené

Ako dotazovať konfiguráciu zabezpečeného spustenia 

Konfiguráciu zabezpečeného spustenia je možné dotazovať pomocou nasledujúceho príkazového riadka:

WinCsFlags.exe /query --key F33E0C8E002

Vrátia sa nasledujúce informácie (v čistom zariadení): 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E001

  Stav: Zakázané

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne  

  Prepojenie FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001 

Všimnite si, že aktuálna konfigurácia v zariadení je F33E0C8E001, čo znamená, že kľúč zabezpečeného spustenia je v stave Vypnuté.  

Použitie konfigurácie zabezpečeného spustenia  

Konkrétnu konfiguráciu na povolenie certifikátov zabezpečeného spustenia je možné nakonfigurovať nasledujúcim spôsobom: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Úspešné použitie kľúča by malo vrátiť nasledujúce informácie: 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E002

  Stav: Povolené

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne

  Prepojenie FwLink: https://aka.ms/getsecureboot 

 Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001  

Ako auditovať konfiguráciu zabezpečeného spustenia  

Ak chcete neskôr zistiť stav konfigurácie zabezpečeného spustenia, môžete znova použiť počiatočný príkaz dotazu: 

WinCsFlags.exe /query --key F33E0C8E002 

Vrátené informácie budú podobné nasledujúcim informáciám v závislosti od stavu príznaku: 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E002

  Stav: Povolené

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne

  Prepojenie FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001  

Všimnite si, že stav kľúča je teraz povolený a aktuálna konfigurácia je F33E0C8E002. 

Poznámka: Použitie kľúča zabezpečeného spustenia cez WinCS neznamená, že sa spustil alebo dokončil proces inštalácie certifikátu zabezpečeného spustenia.  Označuje iba, že počítač bude pokračovať s aktualizáciami zabezpečeného spustenia, keď sa úloha údržby zabezpečeného spustenia (TPMTasks) spustí v danom počítači pri ďalšej dostupnej príležitosti. Keď sa v danom počítači spustí úloha modulu TPM, zistí 0x5944 a vykoná aktualizáciu. Na základe návrhu sa naplánovaná úloha secure-boot-update spustí každých 12 hodín na spracovanie takýchto príznakov aktualizácie zabezpečeného spustenia. Správcovia môžu tiež urýchliť manuálne spustenie úlohy alebo reštartovanie v prípade potreby.  

Úlohu údržby zabezpečeného spustenia môžete spustiť aj manuálne pomocou nasledujúcich krokov: 

  1. Otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Reštartujte zariadenie dvakrát po spustení príkazu a potvrďte, že zariadenie začína s aktualizovanou databázou dôveryhodných podpisov (DB).

  3. Ak chcete overiť, či bola aktualizácia databázy zabezpečeného spustenia úspešná, otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match "Windows UEFI CA 2023"

    Zabezpečenie spustenia

    Ak príkaz vráti hodnotu True, aktualizácia bola úspešná.V prípade chýb pri použití aktualizácie databázy si pozrite článok KB5016061: Riešenie zraniteľných a zrušených správcov spustenia

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania