API-ji sistema za konfiguracijo Windows (WinCS) za varni zagon

Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Opomba

  • Izvirni datum objave: 14 oktobra, 2025
  • ID zbirke znanja: 5068197
Dnevnik sprememb
Spremenite datum Opis spremembe
16. aprila. 2026
  • Odstranili smo razdelek »Razpoložljivost te podpore«, saj so informacije vsebovane v razdelku »Podprte platforme WinCS«.
10 aprila, 2026
  • Posodobljen datum za Windows 10 1607Windows / Server 2016 v razdelku »Podprte platforme WinCS«.
  • Dodali smo novo podporo za platformo za Windows Server 2012 in Windows Server 2012 R2 (ESU) v razdelku »Podprte platforme WinCS«.
20 februarja, 2026
  • Dodan je bil nov razdelek »Najprej preverite, ali so v vaši platformi posodobljeni certifikati za varni zagon«.
16. decembra 2025
  • Popravili smo ukazno vrstico v razdelku »Kako uporabiti konfiguracijo varnega zagona«, ker je vsebovala nepravilne znake.

    To: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • Popravili smo ukazno vrstico v razdelku »Kako nadzirati konfiguracijo varnega zagona«, saj je na koncu vrstice vključevala presledek.

    Za: Start-ScheduledTask -taskname "\Microsoft\Windows\PI\Secure-boot-update"
  • V razdelku »Razpoložljivost te podpore« smo dodali, da je Windows 10, različici 21H2 in 22H2 ter Windows Server 2022 dodan v izdajah z dne 11. novembra 2025 in pozneje. Poleg tega bo podpora za druge različice sistema Windows vključena v posodobitve, izdane v prvem četrtletju leta 2026.
11. december 2025
  • Spremenjen 3. korak v razdelku »Kako nadzirati konfiguracijo varnega zagona«:

    Od: Če želite preveriti, ali je bila posodobitev zbirke podatkov varnega zagona uspešna, odprite poziv lupine PowerShell kot skrbnik in nato zaženite ta ukaz:

    Za: Kot hitro preverite, ali je bila posodobitev zbirke podatkov varnega zagona uspešna, odprite poziv lupine PowerShell kot skrbnik in nato zaženite ta ukaz:
  • V razdelek »Kako nadzirati konfiguracijo varnega zagona« smo dodali 4. korak:

    Če želite preveriti, ali so vsa potrdila posodobljena, glejte Posodobitve potrdila za varni zagon: Navodila za strokovnjake za IT in organizacije ter sledite navodilom v razdelku »Spremljanje dnevnikov dogodkov«. V tem razdelku sta navedena ID dogodka: 1801 in ID dogodka: 1808, kar je popoln način za nadzor, ali so potrdila posodobljena.

CLI za varni zagon s sistemom za konfiguracijo Windows (WinCS)

Cilj: Skrbniki domen lahko uporabijo konfiguracijski sistem Windows (WinCS), izdan s posodobitvami operacijskega sistema Windows, in uvedejo posodobitve varnega zagona v odjemalce in strežnike Windows, pridruženi domeni. Sestavljen je iz pripomočka vmesnika ukazne vrstice (CLI) za poizvedovanje in lokalno uporabo konfiguracij varnega zagona v računalniku.

WinCS deluje na podlagi konfiguracijskega ključa, ki ga je mogoče uporabiti s pripomočkom ukazne vrstice za spreminjanje stanja konfiguracije varnega zagona v računalniku. Ko jo uporabite, naslednji načrtovani varni zagon izvede dejanja glede na ključ.

Najprej preverite, ali so v vaši platformi posodobljeni certifikati za varni zagon

Stanje varnega zagona lahko preverite z ukazom Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Če je stanje »Posodobljeno«, vam ni treba zagnati WinCS in lahko preskočite spodnje korake.

Če potrdila niso posodobljena na različice 2023, veljajo dodatni koraki spodaj.

Platforme, ki jih podpira WinCS

Pripomoček ukazne vrstice WinCS je podprt v sistemu Windows 10, različica 21H2, Windows 10, različica 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, različica 23H2, Windows 11, različica 24H2, Windows 11, različica 25H2.

Ta pripomoček je na voljo v posodobitvah sistema Windows, izdanih 28. oktobra 2025 in pozneje, za Windows 11, različica 24H2, in Windows 11, različica 23H2.

Ta pripomoček je na voljo tudi v posodobitvah sistema Windows, izdanih 11. novembra 2025 in pozneje, za Windows 10, različica 21H2, Windows 10, različica 22H2 in Windows Server 2022.

Za Windows Server 2019 je ta pripomoček vključen v posodobitve sistema Windows, izdane 13. januarja 2026 in kasneje.

Za Windows Server 2016, Windows 10 1607 je ta pripomoček vključen v posodobitve sistema Windows, izdane 14. aprila 2026 in pozneje.

Za Windows Server 2012 in Windows Server 2012 R2 (ESU) je ta pripomoček priložen posodobitvam sistema Windows, izdanim 14. aprila 2026 in kasneje.

Tukaj je ključ funkcije za konfiguracijo varnega zagona, s katerim bodo skrbniki domene izvedli poizvedbo in jo uporabili za naprave s sistemom WinCS.

Ime funkcije Ključ WinCS Opis
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Če omogočite ta ključ, lahko v svojo napravo namestite spodnja Microsoftova nova potrdila za varni zagon.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoftova možnost UEFI ROM CA 2023

Vrednost ključa WinCS:

  • F33E0C8E002 – stanje konfiguracije varnega zagona = omogočeno

Kako izvesti poizvedbo o konfiguraciji varnega zagona

Konfiguracijo varnega zagona lahko preverite tako, da odprete ukazni poziv kot skrbnik in zaženete ta ukaz:

Opomba

WinCsFlags.exe /query --key F33E0C8E002

S tem se prikažejo naslednje informacije (v čistem računalniku):

Opomba

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E001
  • Stanje: onemogočeno
  • Čakajoča konfiguracija: Brez
  • Čakajoče dejanje: Brez
  • FwLink: https://aka.ms/getsecureboot
  • Konfiguracije, ki so na voljo:
  • F33E0C8E002
  • F33E0C8E001

Upoštevajte, da je trenutna konfiguracija v napravi F33E0C8E001, kar pomeni, da je ključ za varni zagon v stanju »Onemogočeno «.

Uporaba konfiguracije varnega zagona

Konfiguracijo varnega zagona lahko uveljavite tako, da odprete ukazni poziv kot skrbnik in zaženete ta ukaz:

Opomba

WinCsFlags.exe /apply --key "F33E0C8E002"

Če bo ključ uspešno uporabljen, bi moral biti vrnjen naslednji podatek:

Opomba

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E002
  • Stanje: omogočeno
  • Čakajoča konfiguracija: Brez
  • Čakajoče dejanje: Brez
  • FwLink: https://aka.ms/getsecureboot
  • Konfiguracije, ki so na voljo:
  • F33E0C8E002
  • F33E0C8E001

Nadzor konfiguracije varnega zagona

Če želite pozneje ugotoviti stanje konfiguracije varnega zagona, lahko znova zaženete ukaz za začetno poizvedbo tako, da odprete ukazni poziv kot skrbnik:

Opomba

WinCsFlags.exe /query --key F33E0C8E002

Vrnjene informacije bodo podobne tem, odvisno od stanja zastavice:

Opomba

  • Zastavica: F33E0C8E
  • Trenutna konfiguracija: F33E0C8E002
  • Stanje: omogočeno
  • Čakajoča konfiguracija: Brez
  • Čakajoče dejanje: Brez
  • FwLink: https://aka.ms/getsecureboot
  • Razpoložljive konfiguracije:
  • F33E0C8E002
  • F33E0C8E001

Upoštevajte, da je stanje ključa zdaj Omogočeno, trenutna konfiguracija pa je F33E0C8E002.

Opomba

Opomba: Uporaba ključa za varen zagon prek WinCS ne pomeni, da se je postopek namestitve potrdila varnega zagona začel ali končal.  Označuje le, da bo računalnik nadaljeval s posodobitvami varnega zagona, ko se bo v tem računalniku ob naslednji priložnosti zagnalo opravilo servisiranja varnega zagona (TPMTasks). Ko se TPMTask zažene v tem računalniku, bo zaznal 0x5944 in izvedel posodobitev. Po zasnovi se načrtovano opravilo Secure-Boot-Update zažene vsakih 12 ur za obdelavo takšnih zastavic za posodobitev varnega zagona. Skrbniki lahko po želji pospešijo tudi z ročnim zagonom opravila ali ponovnim zagonom.

Opravilo servisiranja varnega zagona lahko sprožite tudi ročno, tako da sledite spodnjim korakom:

  1. Odprite poziv PowerShell kot skrbnik in nato zaženite ta ukaz:

    Opomba

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Po zagonu ukaza dvakrat znova zaženite napravo, da potrdite, da se naprava zažene s posodobljeno zbirko zaupanja vrednih podpisov (DB).

  3. Če želite hitro preveriti, ali je bila posodobitev Secure Boot DB uspešna, odprite poziv PowerShell kot skrbnik in nato zaženite ta ukaz:

    Opomba

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Varni zagon
    Če ukaz vrne »True«, je bila posodobitev uspešna.

    V primeru napak pri uporabi posodobitve zbirke podatkov si oglejte članek KB5016061: Odpravljanje ranljivih in preklicanih upraviteljev zagona.

    Opomba

    To je preverjanje samo enega CA in ne vseh CA.

  4. Če želite preveriti, ali so vsa potrdila posodobljena, glejte Posodobitve potrdila za varen zagon: Navodila za strokovnjake za IT in organizacije ter sledite navodilom v razdelku »Spremljanje dnevnikov dogodkov«. V tem razdelku sta navedena ID dogodka: 1801 in ID dogodka: 1808, kar je popolnejši način za nadzor, ali so potrdila posodobljena.