Opomba
- Izvirni datum objave: 14 oktobra, 2025
- ID zbirke znanja: 5068197
Dnevnik sprememb
| Spremenite datum | Opis spremembe |
|---|---|
| 16. aprila. 2026 |
|
| 10 aprila, 2026 |
|
| 20 februarja, 2026 |
|
| 16. decembra 2025 |
|
| 11. december 2025 |
|
CLI za varni zagon s sistemom za konfiguracijo Windows (WinCS)
Cilj: Skrbniki domen lahko uporabijo konfiguracijski sistem Windows (WinCS), izdan s posodobitvami operacijskega sistema Windows, in uvedejo posodobitve varnega zagona v odjemalce in strežnike Windows, pridruženi domeni. Sestavljen je iz pripomočka vmesnika ukazne vrstice (CLI) za poizvedovanje in lokalno uporabo konfiguracij varnega zagona v računalniku.
WinCS deluje na podlagi konfiguracijskega ključa, ki ga je mogoče uporabiti s pripomočkom ukazne vrstice za spreminjanje stanja konfiguracije varnega zagona v računalniku. Ko jo uporabite, naslednji načrtovani varni zagon izvede dejanja glede na ključ.
Najprej preverite, ali so v vaši platformi posodobljeni certifikati za varni zagon
Stanje varnega zagona lahko preverite z ukazom Powershell:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status
Če je stanje »Posodobljeno«, vam ni treba zagnati WinCS in lahko preskočite spodnje korake.
Če potrdila niso posodobljena na različice 2023, veljajo dodatni koraki spodaj.
Platforme, ki jih podpira WinCS
Pripomoček ukazne vrstice WinCS je podprt v sistemu Windows 10, različica 21H2, Windows 10, različica 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, različica 23H2, Windows 11, različica 24H2, Windows 11, različica 25H2.
Ta pripomoček je na voljo v posodobitvah sistema Windows, izdanih 28. oktobra 2025 in pozneje, za Windows 11, različica 24H2, in Windows 11, različica 23H2.
Ta pripomoček je na voljo tudi v posodobitvah sistema Windows, izdanih 11. novembra 2025 in pozneje, za Windows 10, različica 21H2, Windows 10, različica 22H2 in Windows Server 2022.
Za Windows Server 2019 je ta pripomoček vključen v posodobitve sistema Windows, izdane 13. januarja 2026 in kasneje.
Za Windows Server 2016, Windows 10 1607 je ta pripomoček vključen v posodobitve sistema Windows, izdane 14. aprila 2026 in pozneje.
Za Windows Server 2012 in Windows Server 2012 R2 (ESU) je ta pripomoček priložen posodobitvam sistema Windows, izdanim 14. aprila 2026 in kasneje.
Tukaj je ključ funkcije za konfiguracijo varnega zagona, s katerim bodo skrbniki domene izvedli poizvedbo in jo uporabili za naprave s sistemom WinCS.
| Ime funkcije | Ključ WinCS | Opis |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Če omogočite ta ključ, lahko v svojo napravo namestite spodnja Microsoftova nova potrdila za varni zagon.
|
Vrednost ključa WinCS:
- F33E0C8E002 – stanje konfiguracije varnega zagona = omogočeno
Kako izvesti poizvedbo o konfiguraciji varnega zagona
Konfiguracijo varnega zagona lahko preverite tako, da odprete ukazni poziv kot skrbnik in zaženete ta ukaz:
Opomba
WinCsFlags.exe /query --key F33E0C8E002
S tem se prikažejo naslednje informacije (v čistem računalniku):
Opomba
- Zastavica: F33E0C8E
- Trenutna konfiguracija: F33E0C8E001
- Stanje: onemogočeno
- Čakajoča konfiguracija: Brez
- Čakajoče dejanje: Brez
- FwLink: https://aka.ms/getsecureboot
- Konfiguracije, ki so na voljo:
- F33E0C8E002
- F33E0C8E001
Upoštevajte, da je trenutna konfiguracija v napravi F33E0C8E001, kar pomeni, da je ključ za varni zagon v stanju »Onemogočeno «.
Uporaba konfiguracije varnega zagona
Konfiguracijo varnega zagona lahko uveljavite tako, da odprete ukazni poziv kot skrbnik in zaženete ta ukaz:
Opomba
WinCsFlags.exe /apply --key "F33E0C8E002"
Če bo ključ uspešno uporabljen, bi moral biti vrnjen naslednji podatek:
Opomba
- Zastavica: F33E0C8E
- Trenutna konfiguracija: F33E0C8E002
- Stanje: omogočeno
- Čakajoča konfiguracija: Brez
- Čakajoče dejanje: Brez
- FwLink: https://aka.ms/getsecureboot
- Konfiguracije, ki so na voljo:
- F33E0C8E002
- F33E0C8E001
Nadzor konfiguracije varnega zagona
Če želite pozneje ugotoviti stanje konfiguracije varnega zagona, lahko znova zaženete ukaz za začetno poizvedbo tako, da odprete ukazni poziv kot skrbnik:
Opomba
WinCsFlags.exe /query --key F33E0C8E002
Vrnjene informacije bodo podobne tem, odvisno od stanja zastavice:
Opomba
- Zastavica: F33E0C8E
- Trenutna konfiguracija: F33E0C8E002
- Stanje: omogočeno
- Čakajoča konfiguracija: Brez
- Čakajoče dejanje: Brez
- FwLink: https://aka.ms/getsecureboot
- Razpoložljive konfiguracije:
- F33E0C8E002
- F33E0C8E001
Upoštevajte, da je stanje ključa zdaj Omogočeno, trenutna konfiguracija pa je F33E0C8E002.
Opomba
Opomba: Uporaba ključa za varen zagon prek WinCS ne pomeni, da se je postopek namestitve potrdila varnega zagona začel ali končal. Označuje le, da bo računalnik nadaljeval s posodobitvami varnega zagona, ko se bo v tem računalniku ob naslednji priložnosti zagnalo opravilo servisiranja varnega zagona (TPMTasks). Ko se TPMTask zažene v tem računalniku, bo zaznal 0x5944 in izvedel posodobitev. Po zasnovi se načrtovano opravilo Secure-Boot-Update zažene vsakih 12 ur za obdelavo takšnih zastavic za posodobitev varnega zagona. Skrbniki lahko po želji pospešijo tudi z ročnim zagonom opravila ali ponovnim zagonom.
Opravilo servisiranja varnega zagona lahko sprožite tudi ročno, tako da sledite spodnjim korakom:
Odprite poziv PowerShell kot skrbnik in nato zaženite ta ukaz:
Opomba
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Po zagonu ukaza dvakrat znova zaženite napravo, da potrdite, da se naprava zažene s posodobljeno zbirko zaupanja vrednih podpisov (DB).
Če želite hitro preveriti, ali je bila posodobitev Secure Boot DB uspešna, odprite poziv PowerShell kot skrbnik in nato zaženite ta ukaz:
Opomba
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Če ukaz vrne »True«, je bila posodobitev uspešna.V primeru napak pri uporabi posodobitve zbirke podatkov si oglejte članek KB5016061: Odpravljanje ranljivih in preklicanih upraviteljev zagona.
Opomba
To je preverjanje samo enega CA in ne vseh CA.
Če želite preveriti, ali so vsa potrdila posodobljena, glejte Posodobitve potrdila za varen zagon: Navodila za strokovnjake za IT in organizacije ter sledite navodilom v razdelku »Spremljanje dnevnikov dogodkov«. V tem razdelku sta navedena ID dogodka: 1801 in ID dogodka: 1808, kar je popolnejši način za nadzor, ali so potrdila posodobljena.