API Hệ thống Cấu hình Windows (WinCS) để Khởi động An toàn

Khởi động AN TOÀN CLI bằng Hệ thống Cấu hình Windows (WinCS)

Mục tiêu: Người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) được phát hành cùng với các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một tiện ích giao diện dòng lệnh (CLI) để truy vấn và áp dụng cấu hình Khởi động An toàn cục bộ cho một máy tính.  

WinCS hoạt động tắt một khóa cấu hình có thể được sử dụng với tiện ích dòng lệnh để sửa đổi trạng thái cấu hình Khởi động an toàn trên máy tính. Sau khi được áp dụng, Khởi động An toàn theo lịch tiếp theo sẽ thực hiện các hành động theo khóa. 

Trước tiên kiểm tra xem chứng chỉ Khởi động An toàn có được cập nhật trên nền tảng của bạn không 

Bạn có thể kiểm tra trạng thái Khởi động An toàn bằng cách sử dụng lệnh Powershell:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status

Nếu Trạng thái hiển thị "Đã cập nhật", thì bạn không cần chạy WinCS và có thể bỏ qua các bước dưới đây.

Nếu Chứng chỉ không được cập nhật lên phiên bản 2023 thì các bước bổ sung dưới đây sẽ áp dụng.

Các nền tảng được WinCS hỗ trợ

Tiện ích dòng lệnh WinCS được hỗ trợ trong Windows 10, phiên bản 21H2, Windows 10, phiên bản 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, phiên bản 23H2, Windows 11, phiên bản 24H2, Windows 11, phiên bản 25H2.

Tiện ích này có sẵn trong các bản cập nhật Windows được phát hành vào và sau ngày 28 tháng 10 năm 2025, cho Windows 11, phiên bản 24H2 và Windows 11, phiên bản 23H2.

Tiện ích này cũng có sẵn trong các bản cập nhật Windows được phát hành vào và sau ngày 11 tháng 11 năm 2025, cho Windows 10, phiên bản 21H2, Windows 10, phiên bản 22H2 và Windows Server 2022.

Ví Windows Server 2019, tiện ích này được cung cấp trong các bản cập nhật Windows được phát hành vào và sau ngày 13 tháng 1 năm 2026. 

Ví Windows Server 2016, Windows 10 1607, tiện ích này được cung cấp trong các bản cập nhật Windows được phát hành vào và sau ngày 14 tháng 4 năm 2026.

Và đối với Windows Server 2012 và Windows Server 2012 R2 (ESU), tiện ích này được cung cấp trong các bản cập nhật Windows được phát hành vào và sau ngày 14 tháng 4 năm 2026.

Đây là khóa tính năng cấu hình Khởi động An toàn mà người quản trị miền sẽ truy vấn và áp dụng cho các thiết bị thông qua WinCS. 

Giá trị khóa WinCS: 

• F33E0C8E002 – Trạng thái cấu hình Khởi động An toàn = Đã bật

Cách truy vấn cấu hình Khởi động An toàn 

Cấu hình Khởi động An toàn có thể được truy vấn bằng cách mở dấu nhắc lệnh với tư cách người quản trị và chạy lệnh này:

Thao tác này sẽ trả về các thông tin sau (trên máy sạch): 

Lưu ý rằng cấu hình hiện tại trên thiết bị F33E0C8E001, điều này có nghĩa là phím Khởi động An toàn đang ở trạng thái Tắt .  

Cách áp dụng cấu hình Khởi động An toàn  

Cấu hình Khởi động An toàn có thể được áp dụng bằng cách mở dấu nhắc lệnh với tư cách người quản trị và chạy lệnh này:

Việc áp dụng khóa thành công sẽ trả về các thông tin sau: 

Cách kiểm tra cấu hình Khởi động An toàn  

Để xác định trạng thái của cấu hình Khởi động An toàn sau này, bạn có thể chạy lại lệnh truy vấn ban đầu bằng cách mở dấu nhắc lệnh với tư cách người quản trị:

Thông tin được trả về sẽ tương tự như sau, tùy thuộc vào trạng thái cờ: 

Lưu ý rằng trạng thái của khóa hiện đã Được bật và cấu hình hiện tại sẽ được F33E0C8E002. 

Bạn cũng có thể kích hoạt tác vụ dịch vụ Khởi động An toàn theo cách thủ công bằng cách làm theo các bước sau: 

1. Mở lời nhắc PowerShell với tư cách người quản trị, rồi chạy lệnh sau:

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. Khởi động lại thiết bị hai lần sau khi chạy lệnh để xác nhận rằng thiết bị đang bắt đầu với cơ sở dữ liệu cập nhật của chữ ký tin cậy (DB).

3. Để kiểm tra nhanh xem cập nhật Khởi động An toàn DB có thành công hay không, hãy mở lời nhắc PowerShell với tư cách người quản trị, rồi chạy lệnh sau: 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   Nếu lệnh trả về True thì quá trình cập nhật đã thành công.
   
   Trong trường hợp có lỗi trong khi áp dụng bản cập nhật DB, hãy xem bài viết KB5016061: Khắc phục người quản lý Khởi động dễ bị tấn công và bị thu hồi.

   Lưu ý: Điều này là kiểm tra chỉ có một CA và không phải tất cả các CAs.

4. Để xác minh rằng tất cả các chứng chỉ đều được cập nhật, vui lòng tham khảo cập nhật Chứng chỉ Khởi động An toàn : Hướng dẫn dành cho các chuyên gia CNTT và tổ chức và làm theo hướng dẫn trong phần "Theo dõi Nhật ký Sự kiện". Phần này liệt kê ID Sự kiện: 1801 và ID Sự kiện : 1808 là cách hoàn chỉnh hơn để kiểm tra chứng chỉ đã được cập nhật.