Původní datum publikování: úterý 10. března 2026
ID znalostní báze: 5084464
V tomto článku
Úvod a rozsah
Databáze s vysokou spolehlivostí podporuje způsob, jakým Systém Windows poskytuje aktualizace certifikátů zabezpečeného spouštění tím, že identifikuje konfigurace zařízení a firmwaru, které prokázaly úspěšné chování aktualizace na základě pozorovaných signálů údržby a spolehlivosti.
Tento článek vysvětluje, co představuje databáze s vysokou spolehlivostí, jak se určuje spolehlivost a jak se data publikují a používají při údržbě Windows. Je určená pro IT profesionály, týmy zabezpečení a pracovníky podpory, kteří chtějí pochopit, jak data spolehlivosti informují rozhodnutí o aktualizaci certifikátů zabezpečeného spouštění, včetně toho, jak se tato data zveřejňují prostřednictvím kumulativních aktualizací a publikují pro zajištění viditelnosti zákazníků.
Co představuje databáze s vysokou spolehlivostí
Databáze s vysokou spolehlivostí odráží hodnocení microsoftu, které konfigurace zařízení a firmwaru jsou připravené k přijímání aktualizací certifikátů zabezpečeného spouštění na základě pozorovaných servisních a spolehlivých signálů.
Vzhledem k rozsahu a rozmanitosti kombinací hardwaru a firmwaru v ekosystému Windows poskytuje databáze praktický způsob, jak vyhodnotit připravenost na aktualizace seskupením zařízení s podobnými vlastnostmi a měřením výsledků aktualizací z reálného světa. Tato data spolehlivosti jsou součástí kumulativních aktualizací, aby pomohla systému Windows doručovat aktualizace certifikátů zabezpečeného spouštění řízeným způsobem, který upřednostňuje úspěšné výsledky.
Důležité informace o omezeních a pokrytí
Databáze s vysokou spolehlivostí odráží, kde má Microsoft dostatek dat o údržbě k posouzení připravenosti na aktualizace certifikátů zabezpečeného spouštění. Většina těchto dat pochází z klientských zařízení s Windows, kde jsou servisní signály široké a konzistentní. V důsledku toho jsou klientské platformy více zastoupené.
Jiné typy zařízení, například Windows Server a Windows IoT, mají nižší zastoupení kvůli rozdílům ve vzorech nasazení, dostupnosti telemetrie a pracovních postupech aktualizací. To neznamená nižší podporu pro tyto platformy. Odráží to, že pro posouzení spolehlivosti je k dispozici méně pozorovaných signálů. Zákazníci nasazující aktualizace certifikátů zabezpečeného spouštění v těchto prostředích by měli plánovat nasazení s dalším zaměřením a ověřováním v souladu s jejich modelem nasazení a provozními požadavky.
Struktura a klasifikace dat
Databáze s vysokou spolehlivostí je uspořádaná do kontejnerů zařízení, které seskupují zařízení sdílející společné atributy hardwaru, firmwaru a platformy. Díky tomuto přístupu může obsluha Windows vyhodnocovat chování aktualizací zabezpečeného spouštění na úrovni třídy zařízení, nikoli podle jednotlivých systémů.
Každému kontejneru je přiřazena klasifikace spolehlivosti, která odráží aktuální posouzení připravenosti na aktualizace certifikátu zabezpečeného spouštění. Tyto klasifikace se zobrazují prostřednictvím událostí Windows, včetně událostí 1801, 1802, 1803 a 1808. Další informace najdete v tématu Události aktualizace databáze zabezpečeného spouštění a proměnné DBX. Klasifikace spolehlivosti je také k dispozici prostřednictvím klíče registru ConfidenceLevel . Podrobnosti najdete v tématu Aktualizace klíčů registru pro zabezpečené spouštění: zařízení s Windows s aktualizacemi spravovanými IT .
Klasifikace spolehlivosti
Databáze s vysokou spolehlivostí seskupuje zařízení do klasifikací spolehlivosti, které odrážejí aktuální hodnocení microsoftu ohledně připravenosti na aktualizace certifikátů zabezpečeného spouštění a používají se k rozhodování o nasazení.
-
Vysoká spolehlivost: Zařízení v této skupině na základě pozorovaných dat prokázala, že mohou úspěšně aktualizovat firmware pomocí nových certifikátů zabezpečeného spouštění.
-
Dočasně pozastaveno: Zařízení v této skupině jsou ovlivněna známým problémem. Kvůli omezení rizika se aktualizace certifikátů zabezpečeného spouštění dočasně pozastaví, zatímco Microsoft a partneři pracují na podporovaném řešení. To může vyžadovat aktualizaci firmwaru. Další podrobnosti najdete v události 1802.
-
Nepodporováno – známé omezení: Zařízení v této skupině nepodporují automatickou aktualizaci certifikátu zabezpečeného spouštění kvůli omezením hardwaru nebo firmwaru. Pro tuto konfiguraci není aktuálně k dispozici žádné podporované automatické řešení.
-
V rámci pozorování – potřeba dalších dat: Zařízení v této skupině nejsou momentálně blokovaná, ale zatím není k dispozici dostatek dat pro jejich klasifikaci s vysokou spolehlivostí. Aktualizace certifikátů zabezpečeného spouštění mohou být odloženy, dokud nebude k dispozici dostatek dat.
-
Nebyla zjištěna žádná data – vyžaduje se akce: Společnost Microsoft nepozorovala toto zařízení v datech aktualizace zabezpečeného spouštění. V důsledku toho se pro toto zařízení nedají vyhodnotit automatické aktualizace certifikátů a pravděpodobně se vyžaduje akce správce. Tato klasifikace není zahrnuta v databázi s vysokou spolehlivostí a systém Windows ji vygeneruje, pokud se zařízení v databázi nenajde.
Publikování databáze s vysokou spolehlivostí
Databáze s vysokou spolehlivostí se publikuje prostřednictvím dvou doplňkových mechanismů. Jeden podporuje automatizované služby Windows. Druhá poskytuje přehled o datech spolehlivosti pro zákazníky a partnery.
Přístup k datům na GitHubu
Microsoft publikuje lidsky čitelnou verzi databáze High Confidence na GitHubu, aby zprůhledněla data použitá k posouzení připravenosti na aktualizace certifikátů zabezpečeného spouštění. Tato verze obsahuje atributy zařízení používané k vytvoření kontejnerů spolehlivosti a je určená ke kontrole a analýze lidmi. Nepoužívá se přímo servisem Windows.
Data jsou k dispozici v úložišti Microsoft Secure Boot Objects na GitHubu a můžou být užitečná pro následující cílové skupiny:
-
Správci IT a bezpečnostní týmy: Vyhodnoťte připravenost nasazení zabezpečeného spouštění a zjistěte, které třídy zařízení můžou mít nárok na aktualizace certifikátů doručované prostřednictvím kumulativních aktualizací.
-
Výrobci zařízení: Podívejte se, jak jsou konfigurace zařízení a firmwaru reprezentovány v celém ekosystému Windows.
-
Další dodavatelé operačních systémů, včetně distribucí Linuxu: Seznamte se s klasifikací konfigurací zařízení a firmwaru a tam, kde je to možné, v souladu s přístupem Microsoftu k postupnému zavádění.
Data se aktualizují dvakrát měsíčně, v souladu s měsíčními aktualizacemi zabezpečení druhé úterý v měsíci a volitelnými aktualizacemi verze Preview nesouvisejí se zabezpečením čtvrté úterý v měsíci.
Data s vysokou spolehlivostí zahrnutá v servisních aktualizacích
Podepsaná verze databáze s vysokou spolehlivostí je součástí kumulativních aktualizací systému Windows a používá ji přímo obsluha Systému Windows k vyhodnocení připravenosti na aktualizace certifikátu zabezpečeného spouštění. Tato data jsou chráněná a vyhodnocována místně, což umožňuje rozhodování o údržbě, i když zařízení není viditelné pro telemetrii Microsoftu.
Na zařízení se data ukládají jako BucketConfidenceData.cab v části:
%SystemRoot%\System32\SecureBootUpdates\
Tato verze integrovaná pro údržbu obsahuje kompaktní a strukturovanou reprezentaci kontejnerů spolehlivosti. Zahrnuje pouze atributy potřebné k určení členství v kbelíku a přidružené klasifikace spolehlivosti. Metadata verze a časového razítka zajišťují použití nejnovějších použitelných dat. Tato verze je optimalizovaná pro spolehlivost, velikost a zabezpečení a není určená pro přímou kontrolu ani úpravy.
Příjem aktualizací databáze s vysokou spolehlivostí častěji
Zařízení se systémem Windows 11 verze 24H2 nebo 25H2 můžou přijímat vysoce důvěryhodné aktualizace databáze častěji než měsíční četnost aktualizací zabezpečení. Kromě měsíčních aktualizací zabezpečení tyto verze také dostávají volitelné aktualizace Preview nesouvisejí se zabezpečením, které můžou obsahovat novější data o spolehlivosti. Instalace těchto aktualizací umožňuje zákazníkům zůstat blíže k nejnovějším datům spolehlivosti a zůstat v rámci standardní údržby Windows.
Opakované použití dat s vysokou spolehlivostí napříč verzemi Windows
V některých prostředích se správci můžou rozhodnout nasadit databázi s vysokou spolehlivostí do podporovaných verzí systému Windows starších než Windows 11, verze 24H2 nebo 25H2.
V tomto scénáři pochází databáze z Windows 11 verze 24H2 nebo 25H2, které prostřednictvím volitelných aktualizací verze Preview netýknou se zabezpečením získávají novější data o spolehlivosti. Nasazení této databáze umožňuje vyhodnotit novější posouzení spolehlivosti ve starších podporovaných verzích Systému Windows dříve než prostřednictvím samotných měsíčních aktualizací zabezpečení. To nemění způsob výpočtu spolehlivosti ani způsob použití aktualizací certifikátů zabezpečeného spouštění.
Nasazení databáze s vysokou spolehlivostí do jiných verzí Windows
Pokud chcete nasadit BucketConfidenceData.cab, použijte proces, který je v souladu s nástroji a postupy nasazení vaší organizace.
-
Získejte BucketConfidenceData.cab ze systému Windows 11 verze 24H2 nebo 25H2 s nejnovějšími aktualizacemi netýkými se zabezpečením. Soubor se nachází v:
%SystemRoot%\System32\SecureBootUpdates\
-
Na cílových zařízeních vytvořte jako správce následující adresář, pokud ještě neexistuje:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Nasaďte BucketConfidenceData.cab do daného adresáře.
Při příštím spuštění naplánované úlohy, obvykle do 12 hodin, systém Windows tento soubor použije, pokud je novější než verze, která je součástí servisních aktualizací.
Jak Systém Windows vybírá data spolehlivosti
Zařízení může obsahovat více než jednu kopii databáze s vysokou spolehlivostí. Aby bylo zajištěno konzistentní chování, použije systém Windows při vyhodnocování dat spolehlivosti definovaný model priority.
Pokud je součástí kumulativní aktualizace podepsaný datový soubor spolehlivosti, použije se tato servisní kopie ve výchozím nastavení. Pokud existuje více kopií, systém Windows vybere nejnovější použitelnou verzi na základě metadat verze a časového razítka.
