API Hệ thống Cấu hình Windows (WinCS) để Khởi động An toàn
Áp dụng cho
Ngày phát hành ban đầu: Ngày 14 tháng 10 năm 2025
ID KB: 5068197
|
Bài viết này có hướng dẫn về:
Lưu ý: Nếu bạn là cá nhân sở hữu thiết bị Windows cá nhân, vui lòng đi tới bài viết Thiết bị Windows dành cho người dùng gia đình, doanh nghiệp và trường học có bản cập nhật do Microsoft quản lý. |
|
Tính khả dụng của hỗ trợ này:
|
Khởi động AN TOÀN CLI bằng Hệ thống Cấu hình Windows (WinCS)
Mục tiêu: Người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) được phát hành cùng với các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một tiện ích giao diện dòng lệnh (CLI) để truy vấn và áp dụng cấu hình Khởi động An toàn cục bộ cho một máy tính.
WinCS hoạt động tắt một khóa cấu hình có thể được sử dụng với tiện ích dòng lệnh để sửa đổi trạng thái cấu hình Khởi động an toàn trên máy tính. Sau khi được áp dụng, Khởi động An toàn theo lịch tiếp theo sẽ thực hiện các hành động theo khóa.
Các nền tảng được WinCS hỗ trợ
Tiện ích dòng lệnh WinCS được hỗ trợ trong Windows 11, phiên bản 23H2, Windows 11, phiên bản 24H2, Windows 11, phiên bản 25H2. Tiện ích này có sẵn trong các bản cập nhật Windows được phát hành vào và sau ngày 28 tháng 10 năm 2025, cho Windows 11, phiên bản 24H2 và Windows 11, phiên bản 23H2.
Lưu ý: Chúng tôi đang nỗ lực đưa hỗ trợ WinCS này vào các nền Windows 10 khác. Chúng tôi sẽ cập nhật bài viết này ngay khi hỗ trợ được bật.
Đây là khóa tính năng cấu hình Khởi động An toàn mà người quản trị miền sẽ truy vấn và áp dụng cho các thiết bị thông qua WinCS.
|
Tên tính năng |
Khóa WinCS |
Mô tả |
|
Feature_AllKeysAndBootMgrByWinCS |
F33E0C8E002 |
Bật khóa này cho phép cài đặt các chứng chỉ mới Khởi động An toàn do Microsoft cung cấp sau đây trên thiết bị của bạn.
|
Giá trị khóa WinCS:
-
F33E0C8E002 – Trạng thái cấu hình Khởi động An toàn = Đã bật
Cách truy vấn cấu hình Khởi động An toàn
Cấu hình Khởi động An toàn có thể được truy vấn với dòng lệnh sau đây:
WinCsFlags.exe /query --key F33E0C8E002
Thao tác này sẽ trả về các thông tin sau (trên máy sạch):
Cờ: F33E0C8E
Cấu hình Hiện tại: F33E0C8E001
Trạng thái: Đã vô hiệu hóa
Cấu hình Đang chờ xử lý: Không có
Hành động Đang chờ xử lý: Không có
FwLink: Https://aka.ms/getsecureboot
Cấu hình Sẵn dùng:
F33E0C8E002
F33E0C8E001
Lưu ý rằng cấu hình hiện tại trên thiết bị F33E0C8E001, điều này có nghĩa là phím Khởi động An toàn đang ở trạng thái Tắt .
Cách áp dụng cấu hình Khởi động An toàn
Cấu hình cụ thể để kích hoạt chứng chỉ khởi động an toàn có thể được cấu hình theo cách sau:
WinCsFlags.exe /apply –-key “F33E0C8E002”
Việc áp dụng khóa thành công sẽ trả về các thông tin sau:
Cờ: F33E0C8E
Cấu hình Hiện tại: F33E0C8E002
Trạng thái: Đã bật
Cấu hình Đang chờ xử lý: Không có
Hành động Đang chờ xử lý: Không có
FwLink: Https://aka.ms/getsecureboot
Cấu hình Sẵn dùng:
F33E0C8E002
F33E0C8E001
Cách kiểm tra cấu hình Khởi động An toàn
Để xác định trạng thái của cấu hình Khởi động An toàn sau này, bạn có thể sử dụng lại lệnh truy vấn ban đầu:
WinCsFlags.exe /query --key F33E0C8E002
Thông tin được trả về sẽ tương tự như sau, tùy thuộc vào trạng thái cờ:
Cờ: F33E0C8E
Cấu hình Hiện tại: F33E0C8E002
Trạng thái: Đã bật
Cấu hình Đang chờ xử lý: Không có
Hành động Đang chờ xử lý: Không có
FwLink: Https://aka.ms/getsecureboot
Cấu hình Sẵn dùng:
F33E0C8E002
F33E0C8E001
Lưu ý rằng trạng thái của khóa hiện đã Được bật và cấu hình hiện tại sẽ được F33E0C8E002.
Lưu ý: Việc áp dụng khóa Khởi động An toàn thông qua WinCS không có nghĩa là quá trình cài đặt chứng chỉ Khởi động An toàn đã bắt đầu hoặc hoàn tất. Nó chỉ đơn thuần chỉ ra rằng máy sẽ tiến hành các bản cập nhật Khởi động An toàn khi tác vụ dịch vụ An toàn Khởi động (TPMTasks) chạy trên máy đó ở cơ hội khả dụng tiếp theo. Khi TPMTasks chạy trên máy đó, nó sẽ phát hiện 0x5944 và thực hiện cập nhật. Theo thiết kế, tác vụ đã lên lịch Khởi động An toàn sẽ chạy cứ 12 giờ một lần để xử lý các cờ cập nhật Khởi động An toàn như vậy. Người quản trị cũng có thể đẩy nhanh tiến độ bằng cách chạy tác vụ theo cách thủ công hoặc khởi động lại, nếu muốn.
Bạn cũng có thể kích hoạt tác vụ dịch vụ Khởi động An toàn theo cách thủ công bằng cách làm theo các bước sau:
-
Mở lời nhắc PowerShell với tư cách người quản trị, rồi chạy lệnh sau:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Khởi động lại thiết bị hai lần sau khi chạy lệnh để xác nhận rằng thiết bị đang bắt đầu với cơ sở dữ liệu cập nhật của chữ ký tin cậy (DB).
-
Để xác minh rằng cập nhật Secure Boot DB đã thành công, hãy mở lời nhắc PowerShell với tư cách người quản trị, rồi chạy lệnh sau:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).byte) -match 'Windows UEFI CA 2023'
Nếu lệnh trả về True thì quá trình cập nhật đã thành công.Trong trường hợp có lỗi trong khi áp dụng bản cập nhật DB, hãy xem bài viết KB5016061: Khắc phục người quản lý Khởi động dễ bị tấn công và bị thu hồi.
Bạn cần thêm trợ giúp?
Bạn muốn xem các tùy chọn khác?
Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.
Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.
