Windows 組態系統 (WinCS) API 用於安全開機

使用 Windows 組態系統 (WinCS) 的安全開機 CLI

目標：網域管理員可選擇使用 Windows 作業系統更新 (Windows 配置系統) WinCS ，將安全開機更新部署於已加入網域的 Windows 用戶端與伺服器。 它包含命令列介面 (CLI) 工具，用於查詢並套用安全開機設定至本地機器。  

WinCS 是根據一個設定鍵運作，該金鑰可搭配命令列工具來修改機器上的安全開機設定狀態。 套用後，下一次排程的安全啟動會依照金鑰執行動作。 

支援 WinCS 的平台

WinCS 命令列工具支援於 Windows 10、21H2、Windows 10、22H2、Windows Server 2022、Windows 11、23H2、Windows 11、24H2、Windows 11、25H2 版本。

此工具可在 2025 年 10 月 28 日及之後發布的 Windows 更新中取得，適用於 Windows 11（版本 24H2）及 Windows 11（版本 23H2）。

此工具也包含於 2025 年 11 月 11 日及之後發布的 Windows 更新中，適用於 Windows 10、21H2、Windows 10、22H2 版本及 Windows Server 2022。

注意：我們正在努力將此 WinCS 支援帶到 Windows 10 平台。 支援啟用後，我們會立即更新這篇文章。 

這是安全開機設定的金鑰，網域管理員會透過 WinCS 查詢並套用到裝置上。 

WinCS 關鍵價值： 

• F33E0C8E002 – 安全開機設定狀態 = 啟用

如何查詢安全啟動設定 

安全開機設定可用以下命令列查詢：

這會回傳以下資訊， (乾淨的機器) ： 

請注意，裝置目前的設定是 F33E0C8E001，表示安全開機金鑰處於 停用 狀態。  

如何套用安全開機設定  

啟用安全開機憑證的特定設定可透過以下方式配置： 

成功應用金鑰應回傳以下資訊： 

如何稽核安全開機設定  

若要稍後判斷安全開機設定的狀態，您可以重複使用初始的查詢指令：

回傳的資訊將依旗幟狀態而定，類似以下內容： 

請注意，金鑰的狀態現在是 啟用，目前的配置則是F33E0C8E002。 

您也可以透過以下步驟手動觸發安全開機服務任務： 

1. 以管理員身份開啟 PowerShell 提示字元，然後執行以下指令：

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

2. 執行指令後重新啟動 裝置 兩次，以確認裝置已啟動更新的信任簽章資料庫 (資料庫) 。

3. 作為快速檢查安全啟動資料庫更新是否成功，請以管理員身份開啟 PowerShell 提示，然後執行以下指令： 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

   若指令回傳 True，則表示更新成功。
   
   若在套用資料庫更新時發生錯誤，請參閱文章 KB5016061：解決易受攻擊及撤銷的開機管理器。

   附註: 這只檢查一個 CA，不是所有 CA。

4. 為確認所有憑證皆已更新，請參閱 安全啟動憑證更新：IT 專業人員與組織指引，並依照「監控事件日誌」章節的指引操作。 本區列出 事件 ID：1801 與 事件 ID：1808 ，這是更完整的審核憑證是否已更新的方式。