Obs
- Ursprungligt publiceringsdatum: Den 14 oktober 2025
- KB-ID: 5068197
Ändringslogg
| Ändra datum | Beskrivning av ändring |
|---|---|
| Den 16 april. 2026 |
|
| Den 10 april 2026 |
|
| Den 20 februari 2026 |
|
| Den 16 december 2025 |
|
| Den 11 december 2025 |
|
CLI för säker start med Windows Configuration System (WinCS)
Mål: Domänadministratörer kan också använda Windows Configuration System (WinCS) som släpptes med Windows OS-uppdateringar för att distribuera uppdateringar för säker start över domänanslutna Windows-klienter och -servrar. Den består av ett kommandoradsgränssnittsverktyg (CLI) för att fråga och tillämpa konfigurationer för säker start lokalt på en dator.
WinCS arbetar med en konfigurationsnyckel som kan användas med kommandoradsverktyget för att ändra konfigurationstillståndet för säker start på datorn. När den har tillämpats utför nästa schemalagda säkra start åtgärder enligt nyckeln.
Kontrollera först om Secure Boot-certifikaten uppdateras på din plattform
Du kan kontrollera statusen för Säker start med hjälp av Powershell-kommandot:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status
Om statusen är "Uppdaterad" behöver du inte köra WinCS och kan hoppa över stegen nedan.
Om certifikaten inte uppdateras till 2023 års versioner gäller de ytterligare stegen nedan.
Plattformar som stöds av WinCS
Kommandoradsverktyget WinCS stöds i Windows 10, version 21H2, Windows 10, version 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, version 23H2, Windows 11, version 24H2, Windows 11, version 25H2.
Det här verktyget är tillgängligt i Windows-uppdateringarna som släpptes den 28 oktober 2025 och senare för Windows 11 version 24H2 och Windows 11 version 23H2.
Det här verktyget är också tillgängligt i Windows-uppdateringarna som släpptes den 11 november 2025 och senare för Windows 10 version 21H2, Windows 10 version 22H2 och Windows Server 2022.
För Windows Server 2019 levereras det här verktyget i Windows-uppdateringarna som släpptes 13 januari 2026 och senare.
För Windows Server 2016, Windows 10 1607, levereras det här verktyget i Windows-uppdateringarna som släpptes den 14 april 2026 och senare.
Och för Windows Server 2012 och Windows Server 2012 R2 (ESU) levereras det här verktyget i Windows-uppdateringarna som släpptes den 14 april 2026 och senare.
Här är konfigurationsnyckeln för säker start som domänadministratörer kommer att fråga och tillämpa på enheter via WinCS.
| Funktionsnamn | WinCS-nyckel | Beskrivning |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Om du aktiverar den här nyckeln kan du installera följande nya certifikat för säker start som tillhandahålls av Microsoft på enheten.
|
WinCS-nyckelvärde:
- F33E0C8E002 – Konfigurationstillstånd för säker start = Aktiverat
Så här frågar du konfigurationen för säker start
Konfiguration av säker start kan efterfrågas genom att öppna en kommandotolk som administratör och köra det här kommandot:
Obs
WinCsFlags.exe /query --key F33E0C8E002
Detta returnerar följande information (på en ren dator):
Obs
- Flagga: F33E0C8E
- Aktuell konfiguration: F33E0C8E001
- Status: Inaktiverad
- Väntande konfiguration: Ingen
- Väntande åtgärd: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tillgängliga konfigurationer:
- F33E0C8E002
- F33E0C8E001
Observera att den aktuella konfigurationen på en enhet är F33E0C8E001, vilket innebär att nyckeln för Säker start är i inaktiverat tillstånd.
Så här tillämpar du konfiguration av säker start
Konfiguration av säker start kan tillämpas genom att öppna en kommandotolk som administratör och köra det här kommandot:
Obs
WinCsFlags.exe /apply --key "F33E0C8E002"
En lyckad tillämpning av nyckeln bör returnera följande information:
Obs
- Flagga: F33E0C8E
- Aktuell konfiguration: F33E0C8E002
- Status: Aktiverad
- Väntande konfiguration: Ingen
- Väntande åtgärd: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tillgängliga konfigurationer:
- F33E0C8E002
- F33E0C8E001
Så här granskar du konfigurationen av säker start
Om du vill fastställa tillståndet för konfigurationen av säker start senare kan du köra det första frågekommandot igen genom att öppna en kommandotolk som administratör:
Obs
WinCsFlags.exe /query --key F33E0C8E002
Informationen som returneras liknar följande, beroende på flaggans tillstånd:
Obs
- Flagga: F33E0C8E
- Aktuell konfiguration: F33E0C8E002
- Status: Aktiverad
- Väntande konfiguration: Ingen
- Väntande åtgärd: Ingen
- FwLink: https://aka.ms/getsecureboot
- Tillgängliga konfigurationer:
- F33E0C8E002
- F33E0C8E001
Observera att nyckelns tillstånd nu är aktiverat och att den aktuella konfigurationen är F33E0C8E002.
Obs
Notera: Att använda nyckeln för säker start via WinCS innebär inte att installationsprocessen för certifikatet för säker start har startat eller har slutförts. Det anger bara att datorn fortsätter med uppdateringar av säker start när tjänstaktiviteten för säker start (TPMTasks) körs på datorn vid nästa tillgängliga tillfälle. När TPMTasks körs på den datorn identifierar den 0x5944 och utför uppdateringen. Som standard körs den schemalagda aktiviteten Secure-Boot-Update var 12:e timme för att bearbeta sådana uppdateringsflaggor för säker start. Administratörer kan också påskynda genom att manuellt köra uppgiften eller starta om om om de vill.
Du kan också utlösa underhållsuppgiften för säker start manuellt genom att följa stegen nedan:
Öppna en PowerShell-kommandotolk som administratör och kör sedan följande kommando:
Obs
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Starta om enheten två gånger efter att du har kört kommandot för att bekräfta att enheten startar med den uppdaterade databasen med betrodda signaturer (DB).
Som en snabbkontroll om uppdateringen av databasen för säker start lyckades öppnar du en PowerShell-kommandotolk som administratör och kör sedan följande kommando:
Obs
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Om kommandot returnerar True har uppdateringen lyckats.Om det uppstår fel när du tillämpar databasuppdateringen kan du läsa artikeln KB5016061: Hantera sårbara och återkallade starthanterare.
Obs
Det här är att bara kontrollera en certifikatutfärdare och inte alla certifikatutfärdare.
Information om hur du kontrollerar att alla certifikat uppdateras finns i Uppdateringar av certifikat för säker start: Vägledning för IT-tekniker och organisationer och följer anvisningarna i avsnittet "Övervaka händelseloggar". I det här avsnittet visas Händelse-ID: 1801 och Händelse-ID: 1808 som är ett mer fullständigt sätt att granska att certifikaten har uppdaterats.