Windows PowerShell: використання параметра -Decoded у Get-SecureBootUEFI

Застосовується до
Win 10 Ent LTSB 2016 Win 10 Ent LTSC 2019 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Примітка.

Дата початкової публікації: 28 квітня 2026 р.
Ідентифікатор бази знань: 5093574

Примітка.

Параметр -Decoded додано до командлетів Get-SecureBootUEFI PowerShell у щомісячних сукупних оновленнях від 14 квітня 2026 року та оновленнях, випущених після цієї дати.

Вступ

Командлет Get-SecureBootUEFI PowerShell отримує змінні безпечного завантаження UEFI, як-от PK (ключ платформи), KEK (ключ обміну ключами), DB (дозволена база даних підписів) і DBX (база даних відкликаних підписів). Ці змінні зазвичай повертають необроблені двійкові дані, які може бути важко інтерпретувати безпосередньо.

Новий параметр -Decoded забезпечує доступніше подання цієї інформації.

Що робить параметр -Decoded?

Коли використовується параметр -Decoded , командлет відображає вміст баз даних безпечного завантаження в зручному для сприйняття форматі. Замість необроблених байтів він декодує та представляє базові дані, включаючи сертифікати, хеші та пов'язані метадані, що зберігаються в автентифікованих змінних UEFI.

За допомогою параметра -Decoded виведені дані містять придатну для читання інформацію про сертифікат, зокрема таку:

  • Тема (наприклад, Microsoft Windows Production PCA 2011)
  • Алгоритм і виконання
  • серійний номер;
  • Термін дії

Це спрощує такі дії:

  • Перевірка елементів безпечного завантаження, як-от сертифікатів, гешів і відкритих ключів.
  • Перегляд властивостей сертифіката, таких як тема, видавець і дата чинності
  • Простіше зрозуміти, чому довіряють PK, KEK і DB, а що відкликається в DBX без додаткового аналізу

Приклад

Використання команд у PowerShell:

Примітка.

Get-SecureBootUEFI -Name db -Decoded

Команда повертає:

Примітка.

  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 61077656000000000008
  • ValidFrom      : 2011-10-19 11:41:42Z
  • ValidTo        : 2026-10-19 11:51:42Z
  • SignatureOwner : 77fa9abd-0359-4d32-bd60-28f4e78f784b
  • Subject        : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
  • Version        : 3
  • Algorithm      : sha256RSA
  • SerialNumber   : 330000001A888B9800562284C100000000001A
  • ValidFrom      : 2023-06-13 11:58:29Z
  • ValidTo        : 2035-06-13 12:08:29Z

Використання

Параметр -Decoded використовується для аналізу або перевірки конфігурації безпечного завантаження, а не для отримання необроблених значень.

Дізнатися більше

Докладні відомості про командлет, параметри та приклади див. в документації Get-SecureBootUEFI .

Примітка.

Документація, на яку посилається посилання, ще не містить параметра -Decoded . Документація буде оновлено в майбутній редакції.

Журнал змін

Змінення дати Змінити опис
30 квітня 2026 р.
  • Додано описовий текст для змінних UEFI безпечного завантаження PK, KEK, DB і DBX у розділі "Вступ"
  • Додано "Нотатку", яка вказує, що параметр -Decoded додано в щомісячному оновленні системи безпеки за квітень 2026 р.