套用到
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

原始發布日期: 2025 年 10 月 14 日

KB 編號:5068197

本文提供以下方面的指引: 

  • 擁有自己的 IT 部門來管理 Windows 裝置和更新的組織。

附註: 如果您是擁有個人 Windows 裝置的個人,請移至具有 Microsoft 管理更新的家庭使用者、企業和學校的 Windows 裝置一文。 

此支援的可用性:  

  • 包含在 2025 年 10 月 28 日及之後發行的 Windows 更新中,適用於 Windows 11 版本 24H2 和 Windows 11 版本 23H2。

  • 包含在 2025 年 11 月 11 日及之後針對其他版本的 Windows 發行的更新中。

使用 Windows 設定系統 (WinCS) 的安全開機 CLI

目標:網域系統管理員也可以使用 Windows 設定系統 (WinCS) 隨 Windows OS 更新發行,在已加入網域的 Windows 用戶端和伺服器之間部署安全開機更新。 它包含命令列介面 (CLI) 公用程式,可查詢安全開機組態並將其套用至本機電腦。  

WinCS 使用可與命令列公用程式搭配使用的組態金鑰,以修改電腦上的安全開機組態狀態。 套用之後,下一個排程的安全開機會根據金鑰執行動作。 

WinCS 支援的平台

Windows 11 版本 23H2、Windows 11 版本 24H2、Windows 11 版本 25H2 支援 WinCS 命令列公用程式。 此公用程式可在 2025 年 10 月 28 日及之後發行的 Windows 更新中使用,適用於 Windows 11 版本 24H2 和 Windows 11 版本 23H2。

注意:我們正在努力將此 WinCS 支援引入 Windows 10 平台。 一旦啟用支持,我們將立即更新本文。 

以下是網域系統管理員將透過 WinCS 查詢並套用至裝置的安全開機設定功能金鑰。 

功能名稱

WinCS 金鑰

描述

Feature_AllKeysAndBootMgrByWinCS

F33E0C8E002

啟用此金鑰可讓您在裝置上安裝下列 Microsoft 提供的安全開機新憑證。 

  • Microsoft Corporation KEK 2K CA 2023

  • Windows UEFI CA 2023

  • Microsoft UEFI CA 2023

  • Microsoft 選項 UEFI ROM CA 2023

WinCS 索引鍵值: 

  • F33E0C8E002 – 安全開機設定狀態 = 已啟用

如何查詢安全開機設定 

可以使用以下命令列查詢安全啟動配置:

WinCsFlags.exe /query --key F33E0C8E002

這將傳回在乾淨的機器) 上 (的以下資訊: 

旗幟:F33E0C8E 

  目前配置:F33E0C8E001

  狀態:已停用

  擱置組態:無 

  待處理動作:無  

  Fw鏈接:https://aka.ms/getsecureboot 

  可用配置: 

    F33E0C8E002 

    F33E0C8E001 

請注意,裝置上的目前設定為 F33E0C8E001,這表示安全開機金鑰處於 停用 狀態。  

如何套用安全開機設定  

啟用安全開機憑證的特定設定可以透過下列方式設定: 

WinCsFlags.exe /apply –-key “F33E0C8E002”

成功套用金鑰應該會傳回下列資訊: 

旗幟:F33E0C8E 

  目前配置:F33E0C8E002

  狀態:已啟用

  擱置組態:無 

  待處理動作:無

  Fw鏈接:https://aka.ms/getsecureboot 

 可用配置: 

    F33E0C8E002 

    F33E0C8E001  

如何稽核安全開機設定  

若要稍後判斷安全開機設定的狀態,您可以重複使用初始查詢命令: 

WinCsFlags.exe /query --key F33E0C8E002 

傳回的資訊將類似下列內容,視旗標的狀態而定: 

旗幟:F33E0C8E 

  目前配置:F33E0C8E002

  狀態:已啟用

  擱置組態:無 

  待處理動作:無

  Fw鏈接:https://aka.ms/getsecureboot 

  可用配置: 

    F33E0C8E002 

    F33E0C8E001  

請注意,金鑰的狀態現在為 Enabled ,且目前的配置為 F33E0C8E002。 

注意: 透過 WinCS 套用安全開機金鑰並不表示安全開機憑證安裝程式已啟動或已完成。  它只會指出當安全開機服務工作 (TPMTasks) 在下一個可用機會在該計算機上執行時,計算機將繼續進行安全開機更新。 當 TPMTasks 在該計算機上運行時,它將檢測0x5944並執行更新。 根據設計,安全開機更新排程工作會每 12 小時執行一次,以處理這類安全開機更新旗標。 如果需要,管理員還可以通過手動運行任務或重新啟動來加快速度。  

您也可以遵循下列步驟,手動觸發安全開機服務工作: 

  1. 以系統管理員身分開啟 PowerShell 提示,然後執行下列命令:

    Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”

  2. 執行命令後重新啟動裝置 兩次 ,以確認裝置正在啟動資料庫) (信任簽章的更新資料庫。

  3. 若要確認安全開機資料庫更新成功,請以系統管理員身分開啟 PowerShell 提示字元,然後執行下列命令: 

    [System.Text.Encoding]::ASCII 的 ASCII 中。GetString ( (Get-SecureBootUEFI db) .bytes) -match 'Windows UEFI CA 2023'

    安全開機

    如果命令傳回 True,則更新成功。如果套用資料庫更新時發生錯誤,請參閱文章 KB5016061:解決易受攻擊和撤銷的開機管理員。 

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心