Vzťahuje sa na
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Pôvodný dátum publikovania: 14. októbra 2025

KB ID: 5068197

Zmeniť dátum

Zmeniť popis

16. apríla. 2026

  • Odstránila sa časť Dostupnosť tejto podpory, pretože informácie sú obsiahnuté v časti Podporované platformy WinCS.

10. apríla 2026

  • Aktualizoval sa dátum Windows 10 1607 /Windows Server 2016 v časti Podporované platformy WinCS.

  • Pridali sme novú podporu platformy pre Windows Server 2012 a Windows Server 2012 R2 (ESU) v časti Podporované platformy WinCS.

20. februára 2026

  • Pridala sa nová sekcia Prvá kontrola, či sa certifikáty zabezpečeného spustenia aktualizujú vo vašej platforme

16. decembra 2025

  • Opravili sme príkazový riadok v časti Ako použiť konfiguráciu zabezpečeného spustenia, pretože obsahoval nesprávne znaky.Komu: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Opravili sme príkazový riadok v časti Ako auditovať konfiguráciu zabezpečeného spustenia, pretože obsahoval medzeru na konci riadka.Komu: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • V časti Dostupnosť tejto podpory dodala, že Windows 10 verzie 21H2 a 22H2 a Windows Server 2022 sa pridajú vo vydaniach z 11. novembra 2025 a po ich skončení. Okrem toho bude podpora pre iné verzie Windowsu zahrnutá v aktualizáciách vydaných v prvom štvrťroku 2026.

11. decembra 2025

  • Zmenený krok 3 časti Ako auditovať konfiguráciu zabezpečeného spustenia: Od: Ak chcete overiť, či bola aktualizácia databázy zabezpečeného spustenia úspešná, otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz: Ak chcete: Ako rýchlu kontrolu úspešnosti aktualizácie databázy zabezpečeného spustenia otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz:

  • Pridal krok 4 do časti Ako auditovať konfiguráciu zabezpečeného spustenia: Ak chcete overiť aktualizáciu všetkých certifikátov, pozrite si aktualizácie certifikátov zabezpečeného spustenia: Pokyny pre IT profesionálov a organizácie a postupujte podľa pokynov v časti Monitorovanie denníkov udalostí. V tejto časti sa nachádza identifikácia udalosti: 1801 a identifikácia udalosti: 1808 , čo je úplný spôsob kontroly aktualizácie certifikátov.

Secure Boot CLI pomocou systému Windows Configuration System (WinCS)

Cieľ: Správcovia domén môžu alternatívne použiť windowsový konfiguračný systém (WinCS) vydaný s aktualizáciami operačného systému Windows na nasadenie aktualizácií zabezpečeného spustenia v rámci klientov a serverov Windowsu pripojených k doméne. Pozostáva z pomôcky rozhrania príkazového riadka (CLI) na dotazovanie a lokálne použitie konfigurácií zabezpečeného spustenia v počítači.  

WinCS vypne konfiguračný kľúč, ktorý možno použiť s pomôckou príkazového riadka na úpravu stavu konfigurácie zabezpečeného spustenia v počítači. Po použití bude ďalšie naplánované bezpečné spustenie vykonávať akcie podľa kľúča. 

Najskôr skontrolujte, či sa certifikáty zabezpečeného spustenia aktualizujú vo vašej platforme 

Stav zabezpečeného spustenia môžete skontrolovať pomocou príkazu prostredia Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -name 'UEFICA2023Status'). UEFICA2023Status

Ak sa v stave zobrazuje stav Aktualizované, nie je potrebné spustiť WinCS a môžete vynechať kroky uvedené nižšie.

Ak sa certifikáty neaktualizujú na verzie 2023, použite ďalšie kroky uvedené nižšie.

Podporované platformy WinCS

Pomôcka príkazového riadka WinCS je podporovaná v Windows 10 verzii 21H2, Windows 10, verzii 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019 Windows Server 2016, Windows 11, verzia 23H2, Windows 11, verzia 24H2, Windows 11, verzia 25H2.

Tento nástroj je k dispozícii v aktualizáciách Windowsu vydaných 28. októbra 2025 a po tomto dátume pre Windows 11 verzie 24H2 a Windows 11 verzie 23H2.

Tento nástroj je k dispozícii aj v aktualizáciách Windowsu vydaných 11. novembra 2025 a po ich vydaní pre Windows 10, verziu 21H2, Windows 10, verziu 22H2 a Windows Server 2022.

Pre Windows Server 2019 sa tento nástroj dodáva v aktualizáciách Windowsu vydaných 13. januára 2026 a po tomto dátume. 

Pre Windows Server 2016, Windows 10 1607, sa tento nástroj dodáva v aktualizáciách Windowsu vydaných 14. apríla 2026 a po tomto dátume.

A pre Windows Server 2012 a Windows Server 2012 R2 (ESU) je tento nástroj dodávaný v aktualizáciách Windowsu vydaných 14. apríla 2026 a po tomto dátume.

Tu je kľúč funkcie konfigurácie zabezpečeného spustenia, ktorý budú správcovia domény dotazovať a vzťahovať sa na zariadenia prostredníctvom WinCS. 

Názov funkcie

Kláves WinCS

Popis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Povolenie tohto kľúča umožňuje inštaláciu nasledujúcich nových certifikátov zabezpečeného spustenia od spoločnosti Microsoft do zariadenia. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Hodnota kľúča WinCS: 

  • F33E0C8E002 – stav konfigurácie zabezpečeného spustenia = Povolené

Ako dotazovať konfiguráciu zabezpečeného spustenia 

Konfiguráciu zabezpečeného spustenia je možné dotazovať otvorením príkazového riadka ako správca a spustením tohto príkazu:

WinCsFlags.exe /query --key F33E0C8E002

Vrátia sa nasledujúce informácie (v čistom zariadení): 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E001

  Stav: Zakázané

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne  

  Prepojenie FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001 

Všimnite si, že aktuálna konfigurácia v zariadení je F33E0C8E001, čo znamená, že kľúč zabezpečeného spustenia je v stave Vypnuté.  

Použitie konfigurácie zabezpečeného spustenia  

Konfiguráciu zabezpečeného spustenia možno použiť otvorením príkazového riadka ako správca a spustením tohto príkazu:

WinCsFlags.exe /apply --key "F33E0C8E002"

Úspešné použitie kľúča by malo vrátiť nasledujúce informácie: 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E002

  Stav: Povolené

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne

  Prepojenie FwLink: https://aka.ms/getsecureboot 

 Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001  

Ako auditovať konfiguráciu zabezpečeného spustenia  

Ak chcete zistiť stav konfigurácie zabezpečeného spustenia neskôr, môžete znova spustiť počiatočný príkaz dotazu otvorením príkazového riadka ako správca:

WinCsFlags.exe /query --key F33E0C8E002

Vrátené informácie budú podobné nasledujúcim informáciám v závislosti od stavu príznaku: 

Príznak: F33E0C8E 

  Aktuálna konfigurácia: F33E0C8E002

  Stav: Povolené

  Čakajúca konfigurácia: Žiadne 

  Nevybavená akcia: Žiadne

  Prepojenie FwLink: https://aka.ms/getsecureboot 

  Dostupné konfigurácie: 

    F33E0C8E002 

    F33E0C8E001  

Všimnite si, že stav kľúča je teraz povolený a aktuálna konfigurácia je F33E0C8E002. 

Poznámka: Použitie kľúča zabezpečeného spustenia cez WinCS neznamená, že sa spustil alebo dokončil proces inštalácie certifikátu zabezpečeného spustenia.  Označuje iba, že počítač bude pokračovať s aktualizáciami zabezpečeného spustenia, keď sa úloha údržby zabezpečeného spustenia (TPMTasks) spustí v danom počítači pri ďalšej dostupnej príležitosti. Keď sa v danom počítači spustí úloha modulu TPM, zistí 0x5944 a vykoná aktualizáciu. Na základe návrhu sa naplánovaná úloha secure-boot-update spustí každých 12 hodín na spracovanie takýchto príznakov aktualizácie zabezpečeného spustenia. Správcovia môžu tiež urýchliť manuálne spustenie úlohy alebo reštartovanie v prípade potreby.  

Úlohu údržby zabezpečeného spustenia môžete spustiť aj manuálne pomocou nasledujúcich krokov: 

  1. Otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Reštartujte zariadenie dvakrát po spustení príkazu a potvrďte, že zariadenie začína s aktualizovanou databázou dôveryhodných podpisov (DB).

  3. Ak chcete rýchlo skontrolovať, či bola aktualizácia databázy zabezpečeného spustenia úspešná, otvorte výzvu prostredia PowerShell ako správca a potom spustite nasledujúci príkaz: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Zabezpečenie spustenia

    Ak príkaz vráti hodnotu True, aktualizácia bola úspešná.V prípade chýb pri použití aktualizácie databázy si pozrite článok KB5016061: Riešenie zraniteľných a zrušených správcov spustenia.

    Poznámka: Kontroluje sa iba jedna certifikačná autorita a nie všetky certifikačné autority.

  4. Ak chcete overiť aktualizáciu všetkých certifikátov, pozrite si aktualizácie certifikátov zabezpečeného spustenia: Pokyny pre IT profesionálov a organizácie a postupujte podľa pokynov v časti Monitorovanie denníkov udalostí. V tejto časti sa nachádza identifikácia udalosti: 1801 a identifikácia udalosti: 1808 , čo predstavuje úplnejší spôsob kontroly aktualizácie certifikátov.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania