Güvenli Önyükleme için Windows Yapılandırma Sistemi (WinCS) API'leri

Uygulandığı Öğe
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Not

  • Orijinal yayınlama tarihi: 14 Ekim 2025
  • KB Kimliği: 5068197
Değişiklik günlüğü
Tarihi değiştir Açıklamayı değiştir
16 Nisan. 2026
  • Bilgiler "WinCS tarafından desteklenen platformlar" bölümünde yer aldığından "Bu desteğin kullanılabilirliği" bölümü kaldırıldı.
Nisan 10, 2026
  • "WinCS Desteklenen platformlarWindows Server 2016 bölümü altındaki Windows 10 1607 / tarihi güncellendi.
  • "WinCS Desteklenen platformlar" bölümü altında Windows Server 2012 ve Windows Server 2012 R2 (ESU) için yeni bir platform desteği eklendi.
Şubat 20, 2026
  • Yeni bir bölüm eklendi "İlk olarak platformunuzda Güvenli Önyükleme sertifikalarının güncellenip güncellenmediğini kontrol edin"
16 Aralık 2025
  • "Güvenli Önyükleme yapılandırması nasıl uygulanır" bölümündeki komut satırı yanlış karakterler içerdiği için düzeltildi.

    Bunu yapmak için: WinCsFlags.exe /apply –-key "F33E0C8E002"
  • "Güvenli Önyükleme yapılandırması nasıl denetlenir" bölümündeki komut satırı, satırın sonunda bir boşluk içerdiğinden düzeltildi.

    Kime: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • "Bu desteğin kullanılabilirliği" bölümünde, 11 Kasım 2025 ve sonrasındaki sürümlere Windows 10, 21H2 ve 22H2 sürümleri ile Windows Server 2022'nin eklendiği eklendi. Ayrıca, 2026'nın ilk çeyreğinde yayımlanacak güncelleştirmelerde Windows'un diğer sürümleri için destek de dahil edilecektir.
11 Aralık 2025
  • "Güvenli Önyükleme yapılandırmasını denetleme" bölümündeki 3. Adım değiştirildi:

    Kimden: Güvenli Önyükleme DB güncelleştirmesinin başarılı olduğunu doğrulamak için yönetici olarak PowerShell komut istemini açın ve ardından aşağıdaki komutu çalıştırın:

    İle: Güvenli Önyükleme DB güncelleştirmesinin başarılı olup olmadığını hızlı bir şekilde denetlemek için yönetici olarak PowerShell istemini açın ve ardından aşağıdaki komutu çalıştırın:
  • "Güvenli Önyükleme yapılandırması nasıl denetlenir" bölümüne 4. Adım eklendi:

    Tüm sertifikaların güncelleştirildiğini doğrulamak için lütfen Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın ve "Olay Günlüklerini İzleme" bölümündeki yönergeleri izleyin. Bu bölümde Olay Kimliği: 1801 ve Olay Kimliği: 1808 listelenir ve bu, sertifikaların güncellendiğini denetlemenin eksiksiz bir yoludur.

Windows Yapılandırma Sistemi (WinCS) kullanarak Güvenli Önyükleme CLI

Hedef: Etki alanı yöneticileri alternatif olarak, etki alanına katılmış Windows istemcileri ve sunucuları arasında Güvenli Önyükleme güncelleştirmelerini dağıtmak için Windows İşletim Sistemi güncelleştirmeleriyle yayımlanan Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir komut satırı arabirimi (CLI) yardımcı programından oluşur.

WinCS, makinedeki Güvenli Önyükleme yapılandırma durumunu değiştirmek için komut satırı yardımcı programıyla kullanılabilecek bir yapılandırma anahtarıyla çalışır. Uygulandıktan sonra, bir sonraki zamanlanmış Güvenli Önyükleme, anahtara göre eylemler gerçekleştirir.

İlk olarak, platformunuzda Güvenli Önyükleme sertifikalarının güncellenip güncellenmediğini kontrol edin

Powershell komutunu kullanarak Güvenli Önyükleme durumunu kontrol edebilirsiniz:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Durumu

Durum "Güncelleştirildi" olarak görünüyorsa, WinCS'yi çalıştırmanız gerekmez ve aşağıdaki adımları atlayabilirsiniz.

Sertifikalar 2023 sürümlerine güncelleştirilmezse aşağıdaki ek adımlar geçerlidir.

WinCS destekli platformlar

WinCS komut satırı yardımcı programı Windows 10Windows 10, version 21H2, Windows 10Windows 10, version 22H2, Windows 10Windows 10 1607, Windows ServerWindows Server 2022, Windows ServerWindows Server 2019, Windows Server 2016Windows Server 2016, Windows 11Windows 11, version 23H2, Windows 11Windows 11, version 24H2, Windows 11Windows 11, version 25H2.

Bu yardımcı program, Windows 11, sürüm 24H2 ve Windows 11, sürüm 23H2 için 28 Ekim 2025 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde kullanılabilir.

Bu yardımcı program, Windows 10, sürüm 21H2, Windows 10, sürüm 22H2 ve Windows Server 2022 için 11 Kasım 2025 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde de kullanılabilir.

Windows Server 2019 için, bu yardımcı program 13 Ocak 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde gönderilir.

Windows Server 2016 Windows 10 1607 için bu yardımcı program, 14 Nisan 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde gönderilir.

Ve Windows Server 2012Windows Server 2012 ve Windows Server 2012Windows Server 2012 R2 (ESU) için bu yardımcı program, 14 Nisan 2026 tarihinde ve sonrasında yayınlanan Windows güncelleştirmelerinde gönderilir.

Etki alanı yöneticilerinin sorgulayacağı ve WinCS aracılığıyla cihazlara uygulayacağı Güvenli Önyükleme yapılandırma özellik anahtarı aşağıda verilmiştir.

Özellik adı WinCS Anahtarı Açıklama
Feature_AllKeysAndBootMgrByWinCS F33E0C8E002 Bu anahtarın etkinleştirilmesi, cihazınıza Microsoft tarafından sağlanan aşağıdaki Güvenli Önyükleme sertifikalarının yüklenmesini sağlar.
  • Microsoft Corporation KEK 2K CA 2023
  • Windows UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Microsoft Option UEFI ROM CA 2023

WinCS anahtar değeri:

  • F33E0C8E002 – Güvenli Önyükleme yapılandırma durumu = Etkin

Güvenli Önyükleme yapılandırmasını sorgulama

Güvenli Önyükleme yapılandırması, yönetici olarak bir komut istemi açıp şu komutu çalıştırarak sorgulanabilir:

Not

WinCsFlags.exe /query --key F33E0C8E002

Bu, aşağıdaki bilgileri döndürür (temiz bir makinede):

Not

  • Bayrak: F33E0C8E
  • Geçerli yapılandırma: F33E0C8E001
  • Durum: Devre dışı
  • Bekleyen Yapılandırma: Yok
  • Bekleyen Eylem: Yok
  • FwLink: https://aka.ms/getsecureboot
  • Mevcut Yapılandırmalar:
  • F33E0C8E002
  • F33E0C8E001

Cihazdaki geçerli yapılandırmanın F33E0C8E001 olduğuna dikkat edin, bu da Güvenli Önyükleme anahtarının Devre Dışı durumda olduğu anlamına gelir.

Güvenli Önyükleme yapılandırması nasıl uygulanır?

Güvenli Önyükleme yapılandırması, yönetici olarak bir komut istemi açıp şu komutu çalıştırarak uygulanabilir:

Not

WinCsFlags.exe /apply --key "F33E0C8E002"

Anahtarın başarılı bir şekilde uygulanması aşağıdaki bilgileri döndürmelidir:

Not

  • Bayrak: F33E0C8E
  • Geçerli yapılandırma: F33E0C8E002
  • Durum: Etkin
  • Bekleyen Yapılandırma: Yok
  • Bekleyen Eylem: Yok
  • FwLink: https://aka.ms/getsecureboot
  • Mevcut Yapılandırmalar:
  • F33E0C8E002
  • F33E0C8E001

Güvenli Önyükleme yapılandırmasını denetleme

Güvenli Önyükleme yapılandırmasının durumunu daha sonra belirlemek için yönetici olarak bir komut istemi açarak ilk sorgu komutunu yeniden çalıştırabilirsiniz:

Not

WinCsFlags.exe /query --key F33E0C8E002

Döndürülen bilgiler, bayrağın durumuna bağlı olarak aşağıdakine benzer olacaktır:

Not

  • Bayrak: F33E0C8E
  • Geçerli yapılandırma: F33E0C8E002
  • Durum: Etkin
  • Bekleyen Yapılandırma: Yok
  • Bekleyen Eylem: Yok
  • FwLink: https://aka.ms/getsecureboot
  • Mevcut Yapılandırmalar:
  • F33E0C8E002
  • F33E0C8E001

Anahtarın durumunun artık Etkin ve geçerli yapılandırmanın F33E0C8E002 olduğuna dikkat edin.

Not

Bilginize: WinCS aracılığıyla Güvenli Önyükleme anahtarını uygulamak, Güvenli Önyükleme sertifikası yükleme işleminin başladığı veya bittiği anlamına gelmez.  Yalnızca makinenin bir sonraki uygun fırsatta Güvenli Önyükleme bakım görevi (TPMTasks) o makinede çalıştığında Güvenli Önyükleme güncelleştirmelerine devam edeceğini gösterir. TPMTask bu makinede çalıştığında, 0x5944 algılar ve güncelleştirmeyi gerçekleştirir. Tasarım gereği, Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi, bu tür Güvenli Önyükleme güncelleştirme bayraklarını işlemek için her 12 saatte bir çalıştırılır. Yöneticiler ayrıca görevi el ile çalıştırarak veya isterlerse yeniden başlatarak da hızlandırabilir.

Aşağıdaki adımları izleyerek Güvenli Önyükleme hizmet görevini el ile de tetikleyebilirsiniz:

  1. Yönetici olarak PowerShell komut istemini açın ve ardından aşağıdaki komutu çalıştırın:

    Not

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Aygıtın güncelleştirilmiş güvenilir imza (DB) veritabanıyla başlatıldığını onaylamak için komutu çalıştırdıktan sonra aygıtı iki kez yeniden başlatın.

  3. Güvenli Önyükleme DB güncelleştirmesinin başarılı olup olmadığını hızlı bir şekilde denetlemek için yönetici olarak PowerShell istemini açın ve ardından aşağıdaki komutu çalıştırın:

    Not

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Güvenli Önyükleme
    Komut True döndürürse, güncelleştirme başarılı olmuştur.

    DB güncellemesi uygulanırken hata oluşması durumunda, KB5016061: Güvenlik açığı bulunan ve iptal edilen Önyükleme Yöneticilerini ele alma başlıklı makaleye bakın.

    Not

    Bu, tüm CA'ları değil yalnızca bir CA'yı denetler.

  4. Tüm sertifikaların güncelleştirildiğini doğrulamak için lütfen Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın ve "Olay Günlüklerini İzleme" bölümündeki yönergeleri izleyin. Bu bölümde, sertifikaların güncelleştirildiğini denetlemenin daha eksiksiz bir yolu olan Olay Kimliği: 1801 ve Olay Kimliği: 1808 listelenir.