Not
- Orijinal yayınlama tarihi: 14 Ekim 2025
- KB Kimliği: 5068197
Değişiklik günlüğü
| Tarihi değiştir | Açıklamayı değiştir |
|---|---|
| 16 Nisan. 2026 |
|
| Nisan 10, 2026 |
|
| Şubat 20, 2026 |
|
| 16 Aralık 2025 |
|
| 11 Aralık 2025 |
|
Windows Yapılandırma Sistemi (WinCS) kullanarak Güvenli Önyükleme CLI
Hedef: Etki alanı yöneticileri alternatif olarak, etki alanına katılmış Windows istemcileri ve sunucuları arasında Güvenli Önyükleme güncelleştirmelerini dağıtmak için Windows İşletim Sistemi güncelleştirmeleriyle yayımlanan Windows Yapılandırma Sistemi'ni (WinCS) kullanabilir. Güvenli Önyükleme yapılandırmalarını bir makineye yerel olarak sorgulamak ve uygulamak için bir komut satırı arabirimi (CLI) yardımcı programından oluşur.
WinCS, makinedeki Güvenli Önyükleme yapılandırma durumunu değiştirmek için komut satırı yardımcı programıyla kullanılabilecek bir yapılandırma anahtarıyla çalışır. Uygulandıktan sonra, bir sonraki zamanlanmış Güvenli Önyükleme, anahtara göre eylemler gerçekleştirir.
İlk olarak, platformunuzda Güvenli Önyükleme sertifikalarının güncellenip güncellenmediğini kontrol edin
Powershell komutunu kullanarak Güvenli Önyükleme durumunu kontrol edebilirsiniz:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Durumu
Durum "Güncelleştirildi" olarak görünüyorsa, WinCS'yi çalıştırmanız gerekmez ve aşağıdaki adımları atlayabilirsiniz.
Sertifikalar 2023 sürümlerine güncelleştirilmezse aşağıdaki ek adımlar geçerlidir.
WinCS destekli platformlar
WinCS komut satırı yardımcı programı Windows 10Windows 10, version 21H2, Windows 10Windows 10, version 22H2, Windows 10Windows 10 1607, Windows ServerWindows Server 2022, Windows ServerWindows Server 2019, Windows Server 2016Windows Server 2016, Windows 11Windows 11, version 23H2, Windows 11Windows 11, version 24H2, Windows 11Windows 11, version 25H2.
Bu yardımcı program, Windows 11, sürüm 24H2 ve Windows 11, sürüm 23H2 için 28 Ekim 2025 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde kullanılabilir.
Bu yardımcı program, Windows 10, sürüm 21H2, Windows 10, sürüm 22H2 ve Windows Server 2022 için 11 Kasım 2025 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde de kullanılabilir.
Windows Server 2019 için, bu yardımcı program 13 Ocak 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde gönderilir.
Windows Server 2016 Windows 10 1607 için bu yardımcı program, 14 Nisan 2026 tarihinde ve sonrasında yayımlanan Windows güncelleştirmelerinde gönderilir.
Ve Windows Server 2012Windows Server 2012 ve Windows Server 2012Windows Server 2012 R2 (ESU) için bu yardımcı program, 14 Nisan 2026 tarihinde ve sonrasında yayınlanan Windows güncelleştirmelerinde gönderilir.
Etki alanı yöneticilerinin sorgulayacağı ve WinCS aracılığıyla cihazlara uygulayacağı Güvenli Önyükleme yapılandırma özellik anahtarı aşağıda verilmiştir.
| Özellik adı | WinCS Anahtarı | Açıklama |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Bu anahtarın etkinleştirilmesi, cihazınıza Microsoft tarafından sağlanan aşağıdaki Güvenli Önyükleme sertifikalarının yüklenmesini sağlar.
|
WinCS anahtar değeri:
- F33E0C8E002 – Güvenli Önyükleme yapılandırma durumu = Etkin
Güvenli Önyükleme yapılandırmasını sorgulama
Güvenli Önyükleme yapılandırması, yönetici olarak bir komut istemi açıp şu komutu çalıştırarak sorgulanabilir:
Not
WinCsFlags.exe /query --key F33E0C8E002
Bu, aşağıdaki bilgileri döndürür (temiz bir makinede):
Not
- Bayrak: F33E0C8E
- Geçerli yapılandırma: F33E0C8E001
- Durum: Devre dışı
- Bekleyen Yapılandırma: Yok
- Bekleyen Eylem: Yok
- FwLink: https://aka.ms/getsecureboot
- Mevcut Yapılandırmalar:
- F33E0C8E002
- F33E0C8E001
Cihazdaki geçerli yapılandırmanın F33E0C8E001 olduğuna dikkat edin, bu da Güvenli Önyükleme anahtarının Devre Dışı durumda olduğu anlamına gelir.
Güvenli Önyükleme yapılandırması nasıl uygulanır?
Güvenli Önyükleme yapılandırması, yönetici olarak bir komut istemi açıp şu komutu çalıştırarak uygulanabilir:
Not
WinCsFlags.exe /apply --key "F33E0C8E002"
Anahtarın başarılı bir şekilde uygulanması aşağıdaki bilgileri döndürmelidir:
Not
- Bayrak: F33E0C8E
- Geçerli yapılandırma: F33E0C8E002
- Durum: Etkin
- Bekleyen Yapılandırma: Yok
- Bekleyen Eylem: Yok
- FwLink: https://aka.ms/getsecureboot
- Mevcut Yapılandırmalar:
- F33E0C8E002
- F33E0C8E001
Güvenli Önyükleme yapılandırmasını denetleme
Güvenli Önyükleme yapılandırmasının durumunu daha sonra belirlemek için yönetici olarak bir komut istemi açarak ilk sorgu komutunu yeniden çalıştırabilirsiniz:
Not
WinCsFlags.exe /query --key F33E0C8E002
Döndürülen bilgiler, bayrağın durumuna bağlı olarak aşağıdakine benzer olacaktır:
Not
- Bayrak: F33E0C8E
- Geçerli yapılandırma: F33E0C8E002
- Durum: Etkin
- Bekleyen Yapılandırma: Yok
- Bekleyen Eylem: Yok
- FwLink: https://aka.ms/getsecureboot
- Mevcut Yapılandırmalar:
- F33E0C8E002
- F33E0C8E001
Anahtarın durumunun artık Etkin ve geçerli yapılandırmanın F33E0C8E002 olduğuna dikkat edin.
Not
Bilginize: WinCS aracılığıyla Güvenli Önyükleme anahtarını uygulamak, Güvenli Önyükleme sertifikası yükleme işleminin başladığı veya bittiği anlamına gelmez. Yalnızca makinenin bir sonraki uygun fırsatta Güvenli Önyükleme bakım görevi (TPMTasks) o makinede çalıştığında Güvenli Önyükleme güncelleştirmelerine devam edeceğini gösterir. TPMTask bu makinede çalıştığında, 0x5944 algılar ve güncelleştirmeyi gerçekleştirir. Tasarım gereği, Güvenli Önyükleme-Güncelleştirme zamanlanmış görevi, bu tür Güvenli Önyükleme güncelleştirme bayraklarını işlemek için her 12 saatte bir çalıştırılır. Yöneticiler ayrıca görevi el ile çalıştırarak veya isterlerse yeniden başlatarak da hızlandırabilir.
Aşağıdaki adımları izleyerek Güvenli Önyükleme hizmet görevini el ile de tetikleyebilirsiniz:
Yönetici olarak PowerShell komut istemini açın ve ardından aşağıdaki komutu çalıştırın:
Not
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Aygıtın güncelleştirilmiş güvenilir imza (DB) veritabanıyla başlatıldığını onaylamak için komutu çalıştırdıktan sonra aygıtı iki kez yeniden başlatın.
Güvenli Önyükleme DB güncelleştirmesinin başarılı olup olmadığını hızlı bir şekilde denetlemek için yönetici olarak PowerShell istemini açın ve ardından aşağıdaki komutu çalıştırın:
Not
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Komut True döndürürse, güncelleştirme başarılı olmuştur.DB güncellemesi uygulanırken hata oluşması durumunda, KB5016061: Güvenlik açığı bulunan ve iptal edilen Önyükleme Yöneticilerini ele alma başlıklı makaleye bakın.
Not
Bu, tüm CA'ları değil yalnızca bir CA'yı denetler.
Tüm sertifikaların güncelleştirildiğini doğrulamak için lütfen Güvenli Önyükleme Sertifikası güncelleştirmeleri: BT uzmanları ve kuruluşları için kılavuza bakın ve "Olay Günlüklerini İzleme" bölümündeki yönergeleri izleyin. Bu bölümde, sertifikaların güncelleştirildiğini denetlemenin daha eksiksiz bir yolu olan Olay Kimliği: 1801 ve Olay Kimliği: 1808 listelenir.