Velja za
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Datum izvirne objave: 14. oktober 2025

ID zbirke znanja: 5068197

V tem članku so navodila za: 

  • Organizacije, ki imajo lasten oddelek za IT, ki upravlja naprave in posodobitve sistema Windows.

Opomba: Če ste posameznik, ki je lastnik osebne naprave s sistemom Windows, preberite članek Naprave s sistemom Windows za domače uporabnike, podjetja in šole s posodobitvami, ki jih upravlja Microsoft. 

Razpoložljivost te podpore:  

  • Vključeno v posodobitve sistema Windows, izdane 28. oktobra 2025 in po tem, za Windows 11, različica 24H2 in Windows 11, različica 23H2.

  • Vključen v posodobitve, izdane 11. novembra 2025 in po tem, za druge različice sistema Windows.

Secure Boot CLI using Windows Configuration System (WinCS)

Cilj: Skrbniki domen lahko namesto tega uporabijo sistem Windows Configuration System (WinCS), ki je bil izdan s posodobitvami operacijskega sistema Windows, za uvajanje posodobitev varnega zagona v odjemalcih in strežnikih sistema Windows, ki so pridruženi domeni. Sestavljen je iz vmesnika ukazne vrstice (CLI) za poizvedbo in uporabo konfiguracij varnega zagona lokalno v računalniku.  

WinCS deluje off konfiguracijski ključ, ki ga lahko uporabite s pripomočkom ukazne vrstice za spreminjanje stanja konfiguracije varnega zagona v računalniku. Ko ga uporabite, naslednji načrtovani varni zagon izvede dejanja v skladu s ključem. 

Podprte platforme za WinCS

Pripomoček ukazne vrstice WinCS je podprt v Windows 11, različica 23H2, Windows 11, različica 24H2, Windows 11, različica 25H2. Ta pripomoček je na voljo v posodobitvah sistema Windows, izdanih 28. oktobra 2025 in po tem, za Windows 11, različico 24H2 in Windows 11, različico 23H2.

Opomba: Prizadevamo si, da bi to podporo za WinCS dodali Windows 10 platformah. Ta članek bomo posodobili takoj, ko bo podpora omogočena. 

Tukaj je ključ funkcije konfiguracije varnega zagona, ki ga bodo skrbniki domene uporabili v napravah prek winCS-a. 

Ime funkcije

Ključ WinCS

Opis

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Omogočanje tega ključa omogoča namestitev teh novih potrdil za varni zagon, ki jih je zagotovil Microsoft, v vašo napravo. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Vrednost ključa WinCS: 

  • F33E0C8E002 – stanje konfiguracije varnega zagona = Omogočeno

Zagon s poizvedbo po konfiguraciji varnega zagona 

Za konfiguracijo varnega zagona lahko uporabite to ukazno vrstico:

WinCsFlags.exe /query --key F33E0C8E002

S tem boste vrnili naslednje informacije (v čistem računalniku): 

Zastavica: F33E0C8E 

  Trenutna konfiguracija: F33E0C8E001

  Zvezna država: Onemogočeno

  Čakajoča konfiguracija: Brez 

  Čakajoče dejanje: Brez  

  FwLink: https://aka.ms/getsecureboot 

  Konfiguracije, ki so na voljo: 

    F33E0C8E002 

    F33E0C8E001 

Opazite lahko, da je trenutna konfiguracija v F33E0C8E001, kar pomeni, da je ključ za varni zagon v stanju »Onemogočeno «.  

Uporaba konfiguracije varnega zagona  

Določeno konfiguracijo za omogočanje potrdil za varni zagon lahko konfigurirate na ta način: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

Uspešna uporaba ključa mora vrniti te informacije: 

Zastavica: F33E0C8E 

  Trenutna konfiguracija: F33E0C8E002

  Stanje: Omogočeno

  Čakajoča konfiguracija: Brez 

  Čakajoče dejanje: Brez

  FwLink: https://aka.ms/getsecureboot 

 Konfiguracije, ki so na voljo: 

    F33E0C8E002 

    F33E0C8E001  

Nadzor konfiguracije varnega zagona  

Če želite pozneje določiti stanje konfiguracije varnega zagona, lahko znova uporabite ukaz začetne poizvedbe: 

WinCsFlags.exe /query --key F33E0C8E002 

Vrnjeni podatki bodo podobni spodaj, odvisno od stanja zastavice: 

Zastavica: F33E0C8E 

  Trenutna konfiguracija: F33E0C8E002

  Stanje: Omogočeno

  Čakajoča konfiguracija: Brez 

  Čakajoče dejanje: Brez

  FwLink: https://aka.ms/getsecureboot 

  Konfiguracije, ki so na voljo: 

    F33E0C8E002 

    F33E0C8E001  

Stanje ključa je zdaj omogočeno, trenutna konfiguracija pa je F33E0C8E002. 

Opomba: Uporaba ključa za varni zagon prek winCS-a ne pomeni, da se je postopek namestitve potrdila za varni zagon začel ali se je končal.  To zgolj pomeni, da bo računalnik nadaljeval s posodobitvami varnega zagona, ko se v tem računalniku ob naslednji razpoložljivi priložnosti izvaja opravilo servisiranja varnega zagona (TPMTasks). Ko se modul zaupanja TPM zažene v tem računalniku, zazna 0x5944 in izvede posodobitev. Načrtovano opravilo z načrtovano posodobitvijo varnega zagona se privzeto zažene vsakih 12 ur za obdelavo takšnih zastavic posodobitev varnega zagona. Skrbniki lahko po želji pospešijo tudi ročno izvajanje opravila ali vnovični zagon.  

Opravilo servisiranja varnega zagona lahko sprožite tudi ročno tako, da sledite spodnjim korakom: 

  1. Odprite poziv ogrodja PowerShell kot skrbnik in nato zaženite ta ukaz:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Po zagonu ukaza dvakrat znova zaženite napravo, da preverite, ali se naprava začenja s posodobljeno zbirko podatkov zaupanja vrednih podpisov (DB).

  3. Če želite preveriti, ali je bila posodobitev zbirke podatkov za varni zagon uspešna, odprite poziv ogrodja PowerShell kot skrbnik in nato zaženite ta ukaz: 

    [System.text.encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) - tekmo "Windows UEFI CA 2023"

    Varni zagon

    Če ukaz vrne True, je bila posodobitev uspešna.V primeru napak pri uporabi posodobitve zbirke podatkov glejte članek KB5016061: Obravnavanje ranljivih in ukinjenih upraviteljev zagona

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost