Отнася се за
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Първоначална дата на публикуване: 10 март 2026 г.

ИД на КБ: 5084464

В тази статия

Въведение и обхват

Базата данни с висока достоверност поддържа начина, по който Windows предоставя актуализации на сертификата за защитено стартиране, като идентифицира конфигурациите на устройството и фърмуера, които са демонстрирали успешно поведение на актуализация въз основа на наблюдавани сигнали за обслужване и надеждност.

Тази статия обяснява какво представлява базата данни с висока достоверност, как се определя увереността и как данните се публикуват и използват от обслужването на Windows. Той е предназначен за ИТ специалисти, екипи за защита и инженери по поддръжката, които искат да разберат как надеждните данни информират за решенията за актуализиране на сертификатите за защитено стартиране, включително как тези данни се извличат чрез кумулативни актуализации и публикувани за видимост на клиентите.

обратно към началото

Какво представлява базата данни с висока достоверност

Базата данни с висока достоверност отразява оценката на Microsoft кои конфигурации на устройства и фърмуер са готови да получават актуализации на сертификата за защитено стартиране въз основа на наблюдавани сигнали за обслужване и надеждност.

Предвид мащаба и разнообразието от хардуерни и фърмуерни комбинации в екосистемата на Windows, базата данни предоставя практичен начин за оценка на готовността за актуализиране чрез групиране на устройства с подобни характеристики и измерване на резултатите от актуализацията в реалния свят. Тези доверителни данни са включени в кумулативните актуализации, за да помогнат на Windows да предоставя актуализации на сертификата за защитено стартиране по контролиран начин, който дава приоритет на успешните резултати.

обратно към началото

Съображения за ограничения и покритие

Базата данни с висока достоверност отразява къде Microsoft има достатъчно наблюдавани данни за обслужване, за да оцени готовността за актуализация на сертификата за защитено стартиране. По-голямата част от тези данни идват от клиентски устройства с Windows, където сигналите за обслужване са широки и съгласувани. В резултат на това клиентските платформи са по-силно представени.

Други типове устройства, като например Windows Server и Windows IoT, имат по-малко представяне поради разлики в моделите на разполагане, наличността на телеметрията и работните потоци за актуализиране. Това не показва намалена поддръжка за тези платформи. Той отразява, че са налични по-малко наблюдавани сигнали, за да се информират за оценките на доверието. Клиентите, разполагащи актуализации на сертификат за защитено стартиране в тези среди, трябва да планират разполагания с допълнително фокусиране и проверка, приведени в съответствие с техния модел на разполагане и оперативните изисквания.

обратно към началото

Структура и класификация на данните

Базата данни с висока достоверност е организирана в набори устройства, които групират устройства, които споделят общи атрибути на хардуера, фърмуера и платформата. Този подход позволява обслужването на Windows за оценка на поведението на актуализацията на защитеното стартиране на ниво клас устройства, а не на отделна система.

На всеки набор се присвоява класификация на достоверността, която отразява текущата оценка на готовността за актуализация на сертификата за защитено стартиране. Тези класификации се показват чрез събития на Windows, включително събития 1801, 1802, 1803 и 1808. За повече информация вижте Събития за актуализиране на DB и DBX променливи на защитено стартиране. Класификацията на надеждността е налична и чрез ключа от системния регистър ConfidenceLevel . Вижте Актуализации на ключове от системния регистър за защитено стартиране: Устройства с Windows с актуализации, управлявани от ИТ , за подробности.

 обратно към началото

Класификации на достоверността

Базата данни с висока достоверност групира устройствата в поверителни класификации, които отразяват текущата оценка на Microsoft на готовността за актуализация на сертификата за защитено стартиране и се използват за насочване на решенията за разполагане.

  • Висока достоверност: Устройствата в тази група демонстрират чрез наблюдаваните данни, че могат успешно да актуализират фърмуера с помощта на новите сертификати за защитено стартиране.

  • Временно поставена на пауза: Устройствата в тази група са засегнати от известен проблем. За да се намали рискът, актуализациите на сертификата за защитено стартиране временно се поставят на пауза, докато Microsoft и партньорите работят за поддържано решение. Това може да изисква актуализация на фърмуера. Потърсете събитие 1802 за повече подробности.

  • Не се поддържа – известно ограничение: Устройствата в тази група не поддържат пътя за автоматично актуализиране на сертификата за защитено стартиране поради хардуерни или фърмуерни ограничения. В момента не е налично поддържано автоматично решение за тази конфигурация.

  • Под наблюдение – необходими са още данни: Устройствата в тази група в момента не са блокирани, но все още няма достатъчно данни, за да се класифицират като с висока достоверност. Актуализациите на сертификата за защитено стартиране могат да бъдат отложени, докато има достатъчно данни.

  • Не се наблюдават данни – изисква се действие: Microsoft не е наблюдавал това устройство в данните за актуализация на защитеното стартиране. В резултат на това автоматичните актуализации на сертификати не могат да бъдат оценени за това устройство и вероятно е необходимо действие на администратор. Тази класификация не е включена в базата данни с висока достоверност и се излъчва от Windows, когато устройството не е намерено в базата данни.

обратно към началото 

Публикуване на базата данни с висока достоверност

Базата данни с висока достоверност се публикува чрез два допълнителни механизма. Единият поддържа автоматизирано обслужване на Windows. Другият предоставя видимост на доверителните данни за клиентите и партньорите.

обратно към началото 

Достъп до данните в GitHub

Microsoft публикува четима от хора версия на базата данни с висока достоверност в GitHub, за да предостави прозрачност на данните, използвани за оценяване на готовността за актуализиране на сертификата за защитено стартиране. Тази версия включва атрибутите на устройството, използвани за формиране на доверителни набори, и е предназначена за инспектиране и анализ от хора. То не се използва директно от обслужването на Windows.

Данните са налични в GitHub хранилището на обекти за защитено стартиране на Microsoft и могат да бъдат полезни за следните аудитории:

  • ИТ администратори и екипи за защита: Оценяване на готовността за разполагане на защитено стартиране и разберете кои класове устройства може да отговарят на условията за актуализации на сертификата, доставени чрез кумулативни актуализации.

  • Производители на устройства: Прегледайте как конфигурациите на устройството и фърмуера са представени в екосистемата на Windows.

  • Други доставчици на операционни системи, включително дистрибуции на Linux: Разберете как конфигурациите на устройството и фърмуера са класифицирани и, когато е приложимо, да се съгласуват с подхода на Microsoft за поетапно внедряване.

Данните се актуализират два пъти месечно, подравнени с месечните актуализации на защитата през втория вторник от месеца и опционалните актуализации на предварителния преглед, които не са свързани със защитата, на четвъртия вторник от месеца. ​​​​​

обратно към началото

Данни с висока достоверност, включени в актуализациите на обслужването

Подписана версия на базата данни с висока достоверност е включена в кумулативните актуализации на Windows и се използва директно от обслужването на Windows за оценка на готовността за актуализация на сертификата за защитено стартиране. Тези данни са защитени и оценени локално, което позволява решения за обслужване дори когато дадено устройство не е видимо за телеметрията на Microsoft.

На устройството данните се съхраняват като BucketConfidenceData.cab под:

%SystemRoot%\System32\SecureBootUpdates\

Тази интегрирана версия на обслужването съдържа компактно, структурирано представяне на доверителни набори. Тя включва само атрибутите, необходими за определяне на членството в набора и свързаната класификация на достоверността. Метаданните за версия и времево клеймо гарантират, че се използват най-новите приложими данни. Тази версия е оптимизирана за надеждност, размер и защита и не е предназначена за директна проверка или промяна.

обратно към началото

Получаване на актуализации на базата данни с висока достоверност по-често

Устройства, работещи с Windows 11, версия 24H2 или 25H2, могат да получават актуализации на базата данни с висока достоверност по-често от месечния график за актуализации на защитата. В допълнение към месечните актуализации на защитата, тези версии получават и опционални актуализации, които не са за предварителен преглед на защитата, които може да включват по-нови доверителни данни. Инсталирането на тези актуализации позволява на клиентите да останат по-близо до най-новите доверителни данни, докато остават в стандартното обслужване на Windows.

обратно към началото

Повторно използване на данни с висока достоверност във версии на Windows

В някои среди администраторите могат да изберат да разположат базата данни с висока достоверност за поддържани версии на Windows, по-стари от Windows 11, версия 24H2 или 25H2.

В този случай базата данни се получава от Windows 11, версия 24H2 или 25H2, които получават по-нови доверителни данни чрез незадължителни актуализации за предварителен преглед, които не са свързани със защитата. Разполагането на тази база данни позволява по-нови оценки на надеждността да се оценяват по-стари поддържани версии на Windows по-рано, отколкото само чрез месечни актуализации на защитата. Това не променя начина, по който се изчислява достоверността или как се прилагат актуализациите на сертификата за защитено стартиране.

обратно към началото

Разполагане на базата данни с висока достоверност за други версии на Windows

За да разположите BucketConfidenceData.cab, използвайте процес, който съответства на инструментите и практиките за разполагане на вашата организация.

  1. Получете BucketConfidenceData.cab от система на Windows 11, версия 24H2 или 25H2, изпълняваща най-новите актуализации, които не са свързани със защитата. Файлът се намира на:

    %SystemRoot%\System32\SecureBootUpdates\

  2. На целевите устройства, като администратор, създайте следната директория, ако тя все още не съществува: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Разположете BucketConfidenceData.cab в тази директория.

Следващия път, когато планираната задача се изпълнява, обикновено в рамките на 12 часа, Windows ще използва този файл, ако е по-нов от версията, включена в актуализациите на обслужването.

обратно към началото

Как Windows избира поверителни данни

Дадено устройство може да съдържа повече от едно копие на базата данни с висока достоверност. За да осигури съгласувано поведение, Windows прилага модел на дефинирано предимство, когато оценява доверителните данни.

Когато подписан файл с данни с достоверност е включен в кумулативната актуализация, това копие на обслужването се използва по подразбиране. Ако има множество копия, Windows избира най-новата приложима версия въз основа на метаданните за версия и времево клеймо.

обратно към началото

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност