Забележка
- Първоначална дата на публикуване: 10 март 2026 г.
- ИД на БЗ: 5084464
В тази статия
Публикуване на базата данни с висока достоверност
- Достъп до данните в GitHub
- Данни с висока достоверност, включени в актуализациите на обслужването
- По-често получаване на актуализации на база данни с висока достоверност
- Повторно използване на данни с висока достоверност във версии на Windows
- Разполагане на базата данни с висока достоверност за други версии на Windows
- Как Windows избира данните за достоверност
Въведение и обхват
Базата данни с висока достоверност поддържа начина, по който Windows предоставя актуализации на сертификатите за защитено стартиране, като идентифицира конфигурациите на устройствата и фърмуера, които са показали успешно поведение на актуализацията въз основа на наблюдаваните сигнали за обслужване и надеждност.
Тази статия обяснява какво представлява базата данни с висока достоверност, как се определя вероятността и как данните се публикуват и използват от обслужването на Windows. Предназначен е за ИТ специалисти, екипи по защитата и инженери по поддръжката, които искат да разберат как данните за надеждност информират за решенията за актуализиране на сертификата за защитено стартиране, включително как тези данни се показват чрез кумулативни актуализации и се публикуват за видимост от клиента.
Какво представлява базата данни с висока достоверност
Базата данни с висока достоверност отразява оценката на Microsoft кои конфигурации на устройството и фърмуера са готови да получават актуализации на сертификата за защитено стартиране въз основа на наблюдаваните сигнали за обслужване и надеждност.
Предвид мащаба и разнообразието от комбинации от хардуер и фърмуер в екосистемата на Windows, базата данни предоставя практичен начин за оценка на готовността за актуализация чрез групиране на устройства със сходни характеристики и измерване на реалните резултати от актуализацията. Тези данни за достоверност се включват в кумулативните актуализации, за да се помогне на Windows да предоставя актуализации на сертификата за защитено стартиране по контролиран начин, който дава приоритет на успешните резултати.
Ограничения и съображения за покритие
Базата данни с висока достоверност отразява мястото, където Microsoft има достатъчно наблюдавани данни за обслужване, за да се оцени готовността за актуализиране на сертификата за защитено стартиране. Повечето от тези данни се получават от клиентски устройства с Windows, където сигналите за обслужване са широки и постоянни. В резултат на това клиентските платформи са по-силно представени.
Други типове устройства, като например Windows Server и Windows IoT, имат по-слабо представяне поради разлики в моделите на разполагане, наличието на телеметрия и работните потоци на актуализиране. Това не означава намалена поддръжка за тези платформи. Това отразява, че са налични по-малко наблюдавани сигнали, които да се информират за оценките на доверието. Клиентите, разполагащи актуализации на сертификати за защитено стартиране в тези среди, трябва да планират разполагания с допълнителен фокус и проверка, съобразени с техния модел на разполагане и оперативните изисквания.
Структура и класификация на данните
Базата данни с висока достоверност е организирана в набори устройства, които групират устройствата, които споделят общи атрибути на хардуера, фърмуера и платформата. Този подход позволява на услугата на Windows да оценява поведението на актуализацията на защитеното стартиране на ниво клас устройство, а не за отделна система.
На всеки набор се присвоява класификация за достоверност, която отразява текущата оценка на готовността за актуализиране на сертификата за защитено стартиране. Тези класификации се показват чрез събития на Windows, включително събития 1801, 1802, 1803 и 1808. За повече информация вижте Събития за актуализиране на база данни за защитено стартиране и променливи DBX. Класификацията на вероятност също е достъпна чрез ключа на системния регистър ConfidenceLevel . За подробности вижте актуализациите на ключовете от системния регистър за защитено стартиране: устройства с Windows с актуализации, управлявани от информационни технологии.
Класификации за достоверност
Базата данни с висока достоверност групира устройствата в класификации, които отразяват текущата оценка на Microsoft за готовността на сертификата за защитено стартиране за актуализиране и се използват за ръководене на решенията за внедряване.
- Висока достоверност: Устройствата от тази група са показали чрез наблюдаваните данни, че могат успешно да актуализират фърмуера с помощта на новите сертификати за защитено стартиране.
- Временно поставени на пауза: Устройствата от тази група са засегнати от известен проблем. За да се намали рискът, актуализациите на сертификати за защитено стартиране са временно поставени на пауза, докато Microsoft и партньорите работят за поддържано решение. Това може да изисква актуализация на фърмуера. Потърсете събитие от 1802 за повече подробности.
- Не се поддържа – известно ограничение: Устройствата в тази група не поддържат пътя за актуализиране на сертификата за автоматизирано защитено стартиране поради ограничения на хардуера или фърмуера. В момента не се поддържа автоматично разрешаване за тази конфигурация.
- Под наблюдение - необходими са още данни: Устройствата в тази група в момента не са блокирани, но все още няма достатъчно данни, за да бъдат класифицирани като такива с висока достоверност. Актуализациите на сертификата за защитено стартиране могат да се отлагат, докато не бъдат налични достатъчно данни.
- Няма наблюдавани данни – изисква се действие: Microsoft не е наблюдавал това устройство в данните за актуализации на защитеното стартиране. В резултат на това автоматичните актуализации на сертификати не могат да бъдат оценени за това устройство и вероятно е необходимо действие от администратора. Тази класификация не е включена в базата данни с висока достоверност и се излъчва от Windows, когато устройството не е открито в базата данни.
Публикуване на базата данни с висока достоверност
Базата данни с висока достоверност се публикува чрез два допълващи се механизма. Единият поддържа автоматизирано обслужване на Windows. Другият предоставя видимост на данните за доверие за клиенти и партньори.
Достъп до данните в GitHub
Microsoft публикува версия на базата данни с висока достоверност на GitHub, която може да се чете от човек, за да се предостави прозрачност в данните, използвани за оценка на готовността за актуализиране на сертификата за защитено стартиране. Тази версия включва атрибутите на устройството, използвани за формиране на доверителни набори, и е предназначена за проверка и анализ от хора. Не се използва директно от обслужването на Windows.
Данните са налични в хранилището на GitHub за обекти на защитено стартиране на Microsoft и могат да бъдат полезни за следните аудитории:
- ИТ администратори и екипи по защитата: Оценете готовността за внедряване на защитеното стартиране и разберете кои класове устройства може да отговарят на условията за актуализации на сертификати, предоставяни чрез кумулативни актуализации.
- Производители на устройството: Прегледайте как са представени конфигурациите на устройствата и фърмуера в екосистемата на Windows.
- Други доставчици на операционни системи, включително дистрибуции на Linux: Разберете как са класифицирани конфигурациите на устройството и фърмуера и, където е приложимо, да ги приведете в съответствие с подхода на Microsoft за поетапно внедряване.
Данните се актуализират два пъти месечно, съобразени с месечните актуализации на защитата през втория вторник от месеца и незадължителните актуализации за предварителен преглед, които не са свързани със защитата, на четвъртия вторник от месеца.
Данни с висока достоверност, включени в актуализациите на обслужването
Подписана версия на базата данни с висока достоверност е включена в кумулативните актуализации на Windows и се използва директно от обслужването на Windows за оценка на готовността за актуализиране на сертификата за защитено стартиране. Тези данни са защитени целостта и се оценяват локално, което позволява взимане на решения за обслужване дори когато устройството не е видимо за телеметрията на Microsoft.
На устройството данните се съхраняват, както BucketConfidenceData.cab под:
Забележка
%SystemRoot%\System32\SecureBootUpdates\
Тази интегрирана с обслужване версия съдържа компактно, структурирано представяне на наборите доверие. Тя включва само атрибутите, необходими за определяне на членството в набор и свързаната надеждна класификация. Метаданните за версията и времевия печат гарантират, че се използват най-новите приложими данни. Тази версия е оптимизирана за надеждност, размер и защита и не е предназначена за директна проверка или промяна.
По-често получаване на актуализации на база данни с висока достоверност
Устройства, работещи с Windows 11, версия 24H2 или 25H2, могат да получават актуализации на база данни с висока достоверност по-често от месечния ритъм на актуализации на защитата. В допълнение към месечните актуализации на защитата, тези версии получават и несвързани със защитата актуализации за предварителен преглед, които може да включват по-нови данни за надеждност. Инсталирането на тези актуализации позволява на клиентите да бъдат по-близо до най-новите данни за достоверност, като същевременно остават в рамките на стандартното обслужване на Windows.
Повторно използване на данни с висока достоверност във версии на Windows
В някои среди администраторите може да изберат да разположат базата данни с висока достоверност за поддържани версии на Windows, по-стари от Windows 11, версия 24H2 или 25H2.
В този случай базата данни се доставя от Windows 11, версия 24H2 или 25H2, които получават по-нови данни за надеждност чрез незадължителни актуализации за предварителен преглед, които не са свързани със защитата. Разполагането на тази база данни позволява по-новите оценки на надеждността да бъдат оценени на по-стари поддържани версии на Windows по-рано, отколкото чрез месечни актуализации на защитата. Това не променя начина, по който се изчислява вероятността или как се прилагат актуализациите на сертификата за защитено стартиране.
Разполагане на базата данни с висока достоверност за други версии на Windows
За да разположитеBucketConfidenceData.cab, използвайте процес, който съответства на инструментите и практиките на вашата организация за разполагане.
Получете BucketConfidenceData.cab от система на Windows 11, версия 24H2 или 25H2, на която се изпълняват най-новите актуализации, които не са свързани със защитата. Файлът се намира в:
Забележка
%SystemRoot%\System32\SecureBootUpdates\
На целеви устройства като администратор създайте следната директория, ако все още не съществува:
Забележка
%ProgramData%\Microsoft\Windows\SecureBootUpdates
Разположете BucketConfidenceData.cab в тази директория.
Следващия път, когато планираната задача се изпълни, обикновено в рамките на 12 часа, Windows ще използва този файл, ако е по-нов от версията, включена в актуализациите за обслужване.
Как Windows избира данните за достоверност
Едно устройство може да съдържа повече от едно копие на базата данни с висока достоверност. За да осигури съгласувано поведение, Windows прилага дефиниран модел на приоритет при оценката на достоверните данни.
Когато към кумулативна актуализация е включен подписан файл с надеждни данни, това обслужващо копие се използва по подразбиране. Ако са налични множество копия, Windows избира най-новата приложима версия въз основа на версията и метаданните за времево клеймо.