Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Вихідна дата публікації: 14 жовтня 2025 р.

Ідентифікатор KB: 5068197

У цій статті наведено рекомендації щодо: 

  • Організації, які мають власний ІТ-відділ, який керує пристроями та оновленнями Windows.

Примітка. Якщо ви – особа, яка володіє особистим пристроєм Windows, перейдіть до статті Пристрої Windows для домашніх користувачів, підприємств і навчальних закладів з оновленнями, які керуються корпорацією Майкрософт

Доступність цієї підтримки:  

  • Включено до оновлень Windows, випущених 28 жовтня 2025 р., для Windows 11 версії 24H2 та Windows 11 версії 23H2.

  • Включено до оновлень, випущених 11 листопада 2025 р., для Windows 10 версії 21H2, Windows 10, версії 22H2 та Windows Server 2022.

  • Включено в оновлення, випущені в першому кварталі 2026 року для інших версій Windows.

Змінити дату

Змінити опис

16 грудня 2025 р.

  • Виправлено командний рядок у розділі "Як застосувати конфігурацію безпечного завантаження", оскільки він містить неправильні символи.Кому: WinCsFlags.exe /apply – клавіша "F33E0C8E002"

  • Виправлено командний рядок у розділі "Перевірка конфігурації безпечного завантаження", оскільки він включав пробіл у кінці рядка.Кому: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  • У розділі "Доступність цієї підтримки" додано, що Windows 10 версії 21H2 та 22H2 та Windows Server 2022 року додаються до випусків, випущених 11 листопада 2025 р. та після них. Крім того, підтримка інших версій Windows буде включена в оновлення, випущені протягом першого кварталу 2026 року.

11 грудня 2025 р.

  • Змінено крок 3 розділу "Перевірка конфігурації безпечного завантаження":З. Щоб перевірити успішність оновлення бази даних безпечного завантаження, відкрийте запит PowerShell із правами адміністратора, а потім виконайте таку команду: Кому: Щоб швидко перевірити, чи успішно виконано оновлення бази даних безпечного завантаження, відкрийте запит PowerShell як адміністратор і виконайте таку команду:

  • До розділу "Перевірка конфігурації безпечного завантаження" додано крок 4: Щоб переконатися, що всі сертифікати оновлено, див. статтю Оновлення сертифіката безпечного завантаження: Рекомендації для ІТ-фахівців і організацій і дотримуйтеся вказівок у розділі "Моніторинг журналів подій". У цьому розділі наведено ідентифікатор події 1801 та ідентифікатор події: 1808 , який є повним способом перевірки оновлення сертифікатів.

CLI безпечного завантаження за допомогою системи конфігурації Windows (WinCS)

Мета. Адміністратори домену можуть також використовувати систему конфігурації Windows (WinCS), випущену з оновленнями ОС Windows, щоб розгортати оновлення безпечного завантаження для клієнтів і серверів Windows, підключених до домену. Вона складається з утиліти інтерфейсу командного рядка (CLI) для запиту та застосування локальних конфігурацій безпечного завантаження до комп'ютера.  

WinCS працює від ключа конфігурації, який можна використовувати з утилітою командного рядка, щоб змінити стан конфігурації безпечного завантаження на комп'ютері. Після застосування наступне заплановане безпечне завантаження виконуватиме дії відповідно до ключа. 

Платформи, що підтримуються WinCS

Утиліта командного рядка WinCS підтримується в Windows 10 версії 21H2, Windows 10 версії 22H2, Windows Server 2022, Windows 11 версії 23H2, Windows 11 версії 24H2, Windows 11 версії 25H2.

Ця утиліта доступна в оновленнях Windows, випущених 28 жовтня 2025 р., для Windows 11 версії 24H2 та Windows 11 версії 23H2.

Ця утиліта також доступна в оновленнях Windows, випущених 11 листопада 2025 р., для Windows 10 версії 21H2, Windows 10, версії 22H2 та Windows Server 2022.

Примітка. Ми працюємо над наданням цієї підтримки WinCS Windows 10 платформам. Ми оновимо цю статтю, щойно підтримку буде ввімкнуто. 

Ось ключ функції конфігурації безпечного завантаження, який адміністратори домену запитуватимуть і застосовуватимуть до пристроїв через WinCS. 

Назвою функції

Клавіша WinCS

Опис

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

Увімкнення цього ключа дає змогу інсталювати на пристрої нові сертифікати безпечного завантаження, надані корпорацією Майкрософт. 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft Option UEFI ROM CA 2023

Значення ключа WinCS: 

  • F33E0C8E002 – стан конфігурації безпечного завантаження = Увімкнуто

Запит конфігурації безпечного завантаження 

Конфігурацію безпечного завантаження можна запитувати за допомогою такого командного рядка:

WinCsFlags.exe /query --key F33E0C8E002

Це поверне такі відомості (на чистому комп'ютері): 

Позначка: F33E0C8E 

  Поточна конфігурація: F33E0C8E001

  Стан: вимкнуто

  Триває настроювання: немає 

  Відкладена дія: немає  

  FwLink: https://aka.ms/getsecureboot 

  Доступні конфігурації: 

    F33E0C8E002 

    F33E0C8E001 

Зверніть увагу, що поточна конфігурація на пристрої F33E0C8E001, що означає, що ключ безпечного завантаження перебуває в неактивному стані.  

Застосування конфігурації безпечного завантаження  

Конкретну конфігурацію для ввімкнення сертифікатів безпечного завантаження можна настроїти таким чином: 

WinCsFlags.exe /apply --key "F33E0C8E002"

Успішне застосування ключа має повернути такі відомості: 

Позначка: F33E0C8E 

  Поточна конфігурація: F33E0C8E002

  Стан: увімкнуто

  Триває настроювання: немає 

  Відкладена дія: немає

  FwLink: https://aka.ms/getsecureboot 

 Доступні конфігурації: 

    F33E0C8E002 

    F33E0C8E001  

Перевірка конфігурації безпечного завантаження  

Щоб визначити стан конфігурації безпечного завантаження пізніше, можна повторно використати команду початкового запиту:

WinCsFlags.exe /query --key F33E0C8E002

Повернуті відомості будуть схожі на такі, залежно від стану позначки: 

Позначка: F33E0C8E 

  Поточна конфігурація: F33E0C8E002

  Стан: увімкнуто

  Триває настроювання: немає 

  Відкладена дія: немає

  FwLink: https://aka.ms/getsecureboot 

  Доступні конфігурації: 

    F33E0C8E002 

    F33E0C8E001  

Зверніть увагу, що стан ключа тепер увімкнуто, а поточна конфігурація F33E0C8E002. 

Примітка. Застосування ключа безпечного завантаження через WinCS не означає, що процес інсталяції сертифіката безпечного завантаження розпочато або завершено.  Це просто означає, що комп'ютер буде продовжувати оновлення безпечного завантаження, коли завдання обслуговування безпечного завантаження (TPMTasks) запускається на цьому комп'ютері в наступній доступній потенційній угоді. Коли TPMTasks запускається на цьому комп'ютері, він виявляє 0x5944 та виконує оновлення. За дизайном заплановане завдання Secure-Boot-Update виконується кожні 12 годин для обробки таких позначок оновлення безпечного завантаження. Адміністратори також можуть прискорити виконання завдання вручну або за потреби перезавантажити його.  

Ви також можете вручну запустити завдання обслуговування безпечного завантаження, виконавши наведені нижче дії. 

  1. Відкрийте запит PowerShell із правами адміністратора, а потім виконайте таку команду:

    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. Перезавантажте пристрій два рази після виконання команди, щоб переконатися, що пристрій запускається з оновленої бази даних надійних сигнатур (БД).

  3. Щоб швидко перевірити, чи успішно виконано оновлення бази даних безпечного завантаження, відкрийте запит PowerShell із правами адміністратора та виконайте таку команду: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Безпечне завантаження

    Якщо команда повертає значення True, оновлення успішно виконано.У разі помилок під час застосування оновлення бази даних див. статтю KB5016061: Вирішення вразливих і відкликаних диспетчерів завантаження.

    Примітка.: Перевіряється лише один ЦС, а не всі CAs.

  4. Щоб переконатися, що всі сертифікати оновлено, див. статтю Оновлення сертифіката безпечного завантаження: Рекомендації для ІТ-фахівців і організацій і дотримуйтеся вказівок у розділі "Моніторинг журналів подій". У цьому розділі наведено ідентифікатор події 1801 та ідентифікатор події: 1808 , який є повнішим способом перевірки оновлення сертифікатів.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей