Gäller för
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprungligt publiceringsdatum: 14 oktober 2025

KB-ID: 5068197

Den här artikeln innehåller vägledning för: 

  • Organisationer som har en egen IT-avdelning som hanterar Windows-enheter och uppdateringar.

Obs! Om du är en person som äger en personlig Windows-enhet går du till artikeln Windows-enheter för hemanvändare, företag och skolor med Microsoft-hanterade uppdateringar

Tillgänglighet för den här supporten:  

  • Ingår i Windows-uppdateringar som släpptes den 28 oktober 2025 för Windows 11 version 24H2 och Windows 11 version 23H2.

  • Ingår i uppdateringar som släpptes 11 november 2025 och senare för andra versioner av Windows.

Secure Boot CLI med Windows Configuration System (WinCS)

Mål: Domänadministratörer kan också använda Windows Configuration System (WinCS) som släppts med Windows OS-uppdateringar för att distribuera uppdateringar för säker start mellan domänanslutna Windows-klienter och -servrar. Den består av ett CLI-verktyg (Command Line Interface) för frågor och tillämpar konfigurationer för säker start lokalt på en dator.  

WinCS arbetar med en konfigurationsnyckel som kan användas med kommandoradsverktyget för att ändra läget för säker start på datorn. När den har tillämpats utför nästa schemalagda Säker start åtgärder enligt nyckeln. 

Plattformar som stöds av WinCS

Kommandoradsverktyget WinCS stöds i Windows 11 version 23H2, Windows 11 version 24H2, Windows 11 version 25H2. Det här verktyget är tillgängligt i Windows-uppdateringarna som släpptes den 28 oktober 2025 för Windows 11 version 24H2 och Windows 11 version 23H2.

Obs! Vi arbetar med att ta detta WinCS-stöd till Windows 10 plattformar. Vi uppdaterar den här artikeln så snart supporten är aktiverad. 

Här är funktionsnyckeln för säker start som domänadministratörer kommer att fråga och tillämpa på enheter via WinCS. 

Funktions namn

WinCS-nyckel

Beskrivning

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Aktivering av den här nyckeln gör det möjligt att installera följande nya certifikat för Säker start från Microsoft på din enhet. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

WinCS-nyckelvärde: 

  • F33E0C8E002 – konfigurationstillstånd för säker start = Aktiverad

Så här gör du en fråga för konfiguration av säker start 

Konfiguration av säker start kan ställas till frågor med följande kommandorad:

WinCsFlags.exe /query --key F33E0C8E002

Följande information returneras (på en ren dator): 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E001

  Tillstånd: Inaktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen  

  FwLink: https://aka.ms/getsecureboot 

  Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001 

Observera att den aktuella konfigurationen på en enhet är F33E0C8E001, vilket innebär att nyckeln Säker start är inaktiverad .  

Så här tillämpar du säker start-konfiguration  

Den specifika konfigurationen för att aktivera certifikat för säker start kan konfigureras på följande sätt: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

En lyckad tillämpning av nyckeln bör returnera följande information: 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E002

  Tillstånd: Aktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen

  FwLink: https://aka.ms/getsecureboot 

 Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001  

Granska konfiguration för säker start  

Om du vill ta reda på statusen för konfigurationen av säker start senare kan du återanvända det första frågekommandot: 

WinCsFlags.exe /query --key F33E0C8E002 

Informationen som returneras liknar följande, beroende på flaggans status: 

Flagga: F33E0C8E 

  Aktuell konfiguration: F33E0C8E002

  Tillstånd: Aktiverad

  Väntande konfiguration: Ingen 

  Väntande åtgärd: Ingen

  FwLink: https://aka.ms/getsecureboot 

  Tillgängliga konfigurationer: 

    F33E0C8E002 

    F33E0C8E001  

Observera att nyckelns status nu är Aktiverad och att den aktuella konfigurationen är F33E0C8E002. 

Obs! Om du använder nyckeln För säker start via WinCS betyder det inte att installationen av certifikatet för säker start har startat eller är klar.  Det betyder bara att datorn fortsätter med uppdateringar för säker start när underhållsuppgiften Säker start (TPMTasks) körs på den datorn vid nästa tillgängliga tillfälle. När TPMTasks körs på den datorn identifieras 0x5944 och uppdateringen utförs. Som standard körs den schemalagda uppgiften Secure-Boot-Update var 12:e timme för att bearbeta sådana flaggor för säker start. Administratörer kan också underlätta genom att köra aktiviteten manuellt eller starta om, om du vill.  

Du kan också manuellt utlösa underhållsuppgiften Säker start genom att följa stegen nedan: 

  1. Öppna en PowerShell-fråga som administratör och kör sedan följande kommando:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Starta om enheten två gånger efter att kommandot har körts för att bekräfta att enheten börjar med den uppdaterade databasen med betrodda signaturer (DB).

  3. Om du vill kontrollera att DB-uppdateringen för säker start lyckades öppnar du en PowerShell-uppmaning som administratör och kör sedan följande kommando: 

    [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Starta säkert

    Om kommandot returnerar True lyckades uppdateringen.Om det uppstår fel när du installerar DB-uppdateringen kan du läsa artikeln KB5016061: Hantera sårbara och återkallade starthanterare

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter