Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprungligt publiceringsdatum: 14 oktober 2025

KB-ID: 5068197

Ändra datum

Ändra beskrivning

Den 16 april. 2026

  • Avsnittet "Tillgänglighet för den här supporten" har tagits bort eftersom informationen finns i avsnittet Plattformar som stöds av WinCS.

den 10 april 2026

  • Uppdaterade datumet för Windows 10 1607 / Windows Server 2016 under avsnittet "Plattformar som stöds av WinCS".

  • Lade till ett nytt plattformsstöd för Windows Server 2012 och Windows Server 2012 R2 (ESU) under avsnittet "Plattformar som stöds av WinCS".

den 20 februari 2026

  • Lade till ett nytt avsnitt "Kontrollera först om certifikat för säker start uppdateras på din plattform"

den 16 december 2025

  • Korrigerade kommandoraden i avsnittet "Så här använder du säker start-konfiguration" eftersom den innehåller felaktiga tecken.Till: WinCsFlags.exe /apply –-key "F33E0C8E002"

  • Korrigerade kommandoraden i avsnittet "Granska konfiguration för säker start" eftersom det innehöll ett blanksteg i slutet av raden.Till: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • I avsnittet "Tillgänglighet för den här supporten" lade du till att Windows 10, versionerna 21H2 och 22H2 och Windows Server 2022 läggs till i versionerna daterade den 11 november 2025 och senare. Dessutom inkluderas support för andra versioner av Windows i uppdateringar som släpptes under första kvartalet 2026.

den 11 december 2025

  • Steg 3 ändrades i avsnittet Så här granskar du konfigurationen av säker start:Från: För att verifiera att DB-uppdateringen för säker start lyckades öppnar du en PowerShell-uppmaning som administratör och kör sedan följande kommando: Till: Som en snabbkoll om DB-uppdateringen för säker start lyckades öppnar du en PowerShell-fråga som administratör och kör sedan följande kommando:

  • Lade till steg 4 i avsnittet Så här granskar du konfigurationen av säker start: Information om hur du verifierar att alla certifikat uppdateras finns i Uppdateringar av certifikat för säker start: Vägledning för IT-personal och organisationer och följ anvisningarna i avsnittet Övervaka händelseloggar. I det här avsnittet visas händelse-ID: 1801 och händelse-ID: 1808 , vilket är ett fullständigt sätt att granska att certifikaten har uppdaterats.

Secure Boot CLI med Windows Configuration System (WinCS)

Mål: Domänadministratörer kan också använda Windows Configuration System (WinCS) som släppts med Windows OS-uppdateringar för att distribuera uppdateringar för säker start mellan domänanslutna Windows-klienter och -servrar. Den består av ett CLI-verktyg (Command Line Interface) för frågor och tillämpar konfigurationer för säker start lokalt på en dator.  

WinCS arbetar med en konfigurationsnyckel som kan användas med kommandoradsverktyget för att ändra läget för säker start på datorn. När den har tillämpats utför nästa schemalagda Säker start åtgärder enligt nyckeln. 

Kontrollera först om certifikat för säker start uppdateras på din plattform 

Du kan kontrollera statusen för Säker start med powershell-kommandot:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Om statusen visar "Uppdaterad" behöver du inte köra WinCS och kan hoppa över stegen nedan.

Om certifikaten inte uppdateras till 2023-versioner gäller de ytterligare stegen nedan.

Plattformar som stöds av WinCS

Kommandoradsverktyget WinCS stöds i Windows 10 version 21H2, Windows 10 version 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016 Windows 11 version 23H2, Windows 11 version 24H2, Windows 11 version 25H2.

Det här verktyget är tillgängligt i Windows-uppdateringarna som släpptes den 28 oktober 2025 för Windows 11 version 24H2 och Windows 11 version 23H2.

Det här verktyget är också tillgängligt i Windows-uppdateringarna som släpptes den 11 november 2025 för Windows 10 version 21H2, Windows 10 version 22H2 och Windows Server 2022.

För Windows Server 2019 levereras det här verktyget i Windows-uppdateringarna som släpptes den 13 januari 2026. 

I Windows Server 2016, Windows 10 1607, levereras det här verktyget i Windows-uppdateringarna som släpptes den 14 april 2026.

Och för Windows Server 2012 och Windows Server 2012 R2 (ESU) levereras det här verktyget i Windows-uppdateringarna som släpptes den 14 april 2026.

Här är funktionsnyckeln för säker start som domänadministratörer kommer att fråga och tillämpa på enheter via WinCS. 

Funktions namn

WinCS-nyckel

Beskrivning

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Aktivering av den här nyckeln gör det möjligt att installera följande nya certifikat för Säker start från Microsoft på din enhet. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-nyckelvärde: 

  • F33E0C8E002 – konfigurationstillstånd för säker start = Aktiverad

Så här gör du en fråga för konfiguration av säker start 

Konfiguration av säker start kan du fråga genom att öppna en kommandotolk som administratör och köra det här kommandot:

WinCsFlags.exe /query --key F33E0C8E002

Följande information returneras (på en ren dator): 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E001

  Tillstånd: Inaktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen  

  FwLink: https://aka.ms/getsecureboot 

  Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001 

Observera att den aktuella konfigurationen på en enhet är F33E0C8E001, vilket innebär att nyckeln Säker start är inaktiverad .  

Så här tillämpar du säker start-konfiguration  

Säker start-konfiguration kan användas genom att öppna en kommandotolk som administratör och köra det här kommandot:

WinCsFlags.exe /apply --key "F33E0C8E002"

En lyckad tillämpning av nyckeln bör returnera följande information: 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E002

  Tillstånd: Aktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen

  FwLink: https://aka.ms/getsecureboot 

 Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001  

Granska konfiguration för säker start  

Om du vill ta reda på statusen för konfigurationen för säker start senare kan du köra det första frågekommandot igen genom att öppna en kommandotolk som administratör:

WinCsFlags.exe /query --key F33E0C8E002

Informationen som returneras liknar följande, beroende på flaggans status: 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E002

  Tillstånd: Aktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen

  FwLink: https://aka.ms/getsecureboot 

  Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001  

Observera att nyckelns status nu är Aktiverad och att den aktuella konfigurationen är F33E0C8E002. 

Obs! Om du använder nyckeln För säker start via WinCS betyder det inte att installationen av certifikatet för säker start har startat eller är klar.  Det betyder bara att datorn fortsätter med uppdateringar för säker start när underhållsuppgiften Säker start (TPMTasks) körs på den datorn vid nästa tillgängliga tillfälle. När TPMTasks körs på den datorn identifieras 0x5944 och uppdateringen utförs. Som standard körs den schemalagda uppgiften Secure-Boot-Update var 12:e timme för att bearbeta sådana flaggor för säker start. Administratörer kan också underlätta genom att köra aktiviteten manuellt eller starta om, om du vill.  

Du kan också manuellt utlösa underhållsuppgiften Säker start genom att följa stegen nedan: 

  1. Öppna en PowerShell-fråga som administratör och kör sedan följande kommando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Starta om enheten två gånger efter att kommandot har körts för att bekräfta att enheten börjar med den uppdaterade databasen med betrodda signaturer (DB).

  3. Som en snabbkolla om DB-uppdateringen för säker start lyckades öppnar du en PowerShell-uppmaning som administratör och kör sedan följande kommando: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Starta säkert

    Om kommandot returnerar True lyckades uppdateringen.Om det uppstår fel när du installerar DB-uppdateringen kan du läsa artikeln KB5016061: Hantera sårbara och återkallade starthanterare.

    Obs!: Detta kontrollerar bara en certifikatorm och inte alla certifikator.

  4. Information om hur du verifierar att alla certifikat uppdateras finns i Uppdateringar av certifikat för säker start: Vägledning för IT-personal och organisationer och följ anvisningarna i avsnittet Övervaka händelseloggar. I det här avsnittet visas händelse-ID: 1801 och händelse-ID: 1808 , vilket är ett mer komplett sätt att granska att certifikaten har uppdaterats.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter