应用对象
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始发布日期: 2025 年 10 月 14 日

KB ID:5068197

本文提供以下指南: 

  • 有自己的 IT 部门管理 Windows 设备和更新的组织。

注意:如果你是拥有个人 Windows 设备的个人,请转到适用于家庭用户、企业和学校的 Windows 设备一文,其中包含Microsoft管理的更新。 

此支持的可用性:  

  • 包含在 2025 年 10 月 28 日及之后发布的 Windows 更新中,适用于 Windows 11 版本 24H2 和 Windows 11 版本 23H2。

  • 包含在 2025 年 11 月 11 日和之后发布的更新中,适用于其他 Windows 版本。

使用 Windows 配置系统 (WinCS) 的安全启动 CLI

目标:域管理员也可以使用随 Windows OS 更新一起发布的 Windows 配置系统 (WinCS) 跨已加入域的 Windows 客户端和服务器部署安全启动更新。 它包含命令行接口 (CLI) 实用工具,用于在本地查询安全启动配置并将其应用于计算机。  

WinCS 使用可与命令行实用工具一起使用的配置密钥来修改计算机上的安全启动配置状态。 应用后,下一个计划的安全启动将根据密钥执行作。 

WinCS 支持的平台

Windows 11 版本 23H2、Windows 11 版本 24H2、Windows 11 版本 25H2 中支持 WinCS 命令行实用工具。 此实用工具在 2025 年 10 月 28 日及之后发布的 Windows 更新中提供,适用于 Windows 11 版本 24H2 和 Windows 11 版本 23H2。

注意:我们正在努力将此 WinCS 支持引入Windows 10平台。 启用支持后,我们将立即更新本文。 

下面是域管理员将通过 WinCS 查询并应用到设备的安全启动配置功能密钥。 

功能名称

WinCS 密钥

描述

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

启用此密钥可在设备上安装以下Microsoft提供的安全启动新证书。 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft 选项 UEFI ROM CA 2023

WinCS 键值: 

  • F33E0C8E002 – 安全启动配置状态 = 已启用

如何查询安全启动配置 

可以使用以下命令行查询安全启动配置:

WinCsFlags.exe /query --key F33E0C8E002

这将 (干净计算机) 返回以下信息: 

标志:F33E0C8E 

  当前配置:F33E0C8E001

  状态:已禁用

  挂起的配置:无 

  挂起的作:无  

  FwLink:https://aka.ms/getsecureboot 

  可用配置: 

    F33E0C8E002 

    F33E0C8E001 

请注意,设备上的当前配置 F33E0C8E001,这意味着安全启动密钥处于 “禁用” 状态。  

如何应用安全启动配置  

可以按以下方式配置用于启用安全启动证书的特定配置: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

成功应用密钥应返回以下信息: 

标志:F33E0C8E 

  当前配置:F33E0C8E002

  状态:已启用

  挂起的配置:无 

  挂起的作:无

  FwLink:https://aka.ms/getsecureboot 

 可用配置: 

    F33E0C8E002 

    F33E0C8E001  

如何审核安全启动配置  

若要在以后确定安全启动配置的状态,可以重复使用初始查询命令: 

WinCsFlags.exe /query --key F33E0C8E002 

返回的信息将类似于以下内容,具体取决于标志的状态: 

标志:F33E0C8E 

  当前配置:F33E0C8E002

  状态:已启用

  挂起的配置:无 

  挂起的作:无

  FwLink:https://aka.ms/getsecureboot 

  可用配置: 

    F33E0C8E002 

    F33E0C8E001  

请注意,密钥的状态现在为 “已启用”,当前配置已F33E0C8E002。 

注意: 通过 WinCS 应用安全启动密钥并不意味着安全启动证书安装过程已开始或已完成。  它仅指示当安全启动服务任务 (TPMTasks) 下一个可用机会在该计算机上运行时,计算机将继续执行安全启动更新。 当 TPMTasks 在该计算机上运行时,它将检测0x5944并执行更新。 根据设计,Secure-Boot-Update 计划任务每 12 小时运行一次,以处理此类安全启动更新标志。 管理员还可以通过手动运行任务或根据需要重启来加快速度。  

还可以按照以下步骤手动触发安全启动服务任务: 

  1. 以管理员身份打开 PowerShell 提示符,然后运行以下命令:

    Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

  2. 运行 命令后 重启设备两次 ,以确认设备是否以更新的受信任签名数据库 (DB) 启动。

  3. 若要验证安全启动数据库更新是否成功,请以管理员身份打开 PowerShell 提示符,然后运行以下命令: 

    [System.Text.Encoding]::ASCII。GetString ( (Get-SecureBootUEFI db) .bytes) -match “Windows UEFI CA 2023”

    启动安全

    如果命令返回 True,则表示更新成功。如果应用数据库更新时出错,请参阅文章KB5016061:解决易受攻击和撤销的启动管理器问题。 

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心