Gælder for
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oprindelig publiceringsdato: 10. marts 2026

KB-id: 5084464

I denne artikel

Introduktion og omfang

High Confidence Database understøtter, hvordan Windows leverer opdateringer af certifikater til sikker bootstart ved at identificere enheds- og firmwarekonfigurationer, der har demonstreret vellykket opdateringsfunktionsmåde baseret på observerede vedligeholdelses- og pålidelighedssignaler.

I denne artikel forklares det, hvad databasen med høj tillid repræsenterer, hvordan tilliden bestemmes, og hvordan dataene publiceres og bruges af Windows-vedligeholdelse. Det er beregnet til it-fagfolk, sikkerhedsteams og supportteknikere, der ønsker at forstå, hvordan tillidsdata giver oplysninger om beslutninger om sikker bootstartcertifikatopdatering, herunder hvordan disse data vises via kumulative opdateringer og udgives for at sikre kundernes synlighed.

tilbage til toppen

Hvad høj konfidensdatabasen repræsenterer

High Confidence Database afspejler Microsofts vurdering af, hvilke enheds- og firmwarekonfigurationer der er klar til at modtage opdateringer af certifikat til sikker bootstart baseret på observerede servicerings- og pålidelighedssignaler.

I betragtning af omfanget og mangfoldigheden af hardware- og firmwarekombinationer i Windows-økosystemet giver databasen en praktisk metode til at evaluere opdateringsparathed ved at gruppere enheder med lignende egenskaber og måle resultater af opdateringer i den virkelige verden. Disse tillidsdata er inkluderet i kumulative opdateringer for at hjælpe Windows med at levere opdateringer af certifikat til sikker bootstart på en kontrolleret måde, der prioriterer vellykkede resultater.

tilbage til toppen

Begrænsninger og overvejelser i forbindelse med dækning

High Confidence Database afspejler, hvor Microsoft har tilstrækkelige observerede serviceringsdata til at vurdere sikker bootstart af certifikatopdateringsparathed. De fleste af disse data kommer fra Windows-klientenheder, hvor serviceringssignaler er brede og ensartede. Som et resultat er klientplatforme mere stærkt repræsenteret.

Andre enhedstyper, f.eks. Windows Server og Windows IoT, har en lavere repræsentation på grund af forskelle i installationsmønstre, telemetritilgængelighed og opdateringsarbejdsprocesser. Dette angiver ikke reduceret understøttelse af disse platforme. Det afspejler, at der er færre observerede signaler til rådighed til at informere tillidsvurderinger. Kunder, der installerer certifikatopdateringer til sikker bootstart i disse miljøer, bør planlægge installationer med yderligere fokus og validering, der er tilpasset deres installationsmodel og driftskrav.

tilbage til toppen

Datastruktur og klassificering

Databasen Høj tillid er organiseret i enhedsspand, der grupperer enheder, der deler fælles hardware-, firmware- og platformattributter. Denne fremgangsmåde giver Windows-vedligeholdelse mulighed for at evaluere funktionsmåden for sikker bootstart på et enhedsklasseniveau i stedet for pr. individuelt system.

Hver bucket tildeles en konfidensklassifikation, der afspejler den aktuelle vurdering af paratheden til sikker bootstartcertifikatopdatering. Disse klassificeringer vises via Windows-hændelser, herunder begivenheder 1801, 1802, 1803 og 1808. Du kan finde flere oplysninger under Sikker bootstart DB- og DBX-variable opdateringshændelser. Konfidensklassifikationen er også tilgængelig via Registreringsdatabasenøglen ConfidenceLevel . Se Opdateringer af registreringsdatabasenøgler til sikker bootstart: Windows-enheder med it-administrerede opdateringer for at få flere oplysninger.

 tilbage til toppen

Konfidensklassifikationer

High Confidence Database grupperer enheder i tillidsklassificeringer, der afspejler Microsofts aktuelle vurdering af sikker bootstart certifikatopdateringsparathed og bruges til at vejlede installationsbeslutninger.

  • Høj konfidens: Enheder i denne gruppe har via observerede data vist, at de kan opdatere firmwaren ved hjælp af de nye certifikater til sikker bootstart.

  • Midlertidigt afbrudt: Enheder i denne gruppe påvirkes af et kendt problem. For at reducere risikoen afbrydes opdateringer af certifikat til sikker bootstart midlertidigt, mens Microsoft og partnere arbejder hen imod en understøttet løsning. Dette kan kræve en firmwareopdatering. Se efter en 1802-begivenhed for at få flere oplysninger.

  • Understøttes ikke – kendt begrænsning: Enheder i denne gruppe understøtter ikke den automatiske sti til sikker bootstart af certifikatopdatering på grund af hardware- eller firmwarebegrænsninger. Ingen understøttet automatisk opløsning er i øjeblikket tilgængelig for denne konfiguration.

  • Under observation - Flere data er nødvendige: Enheder i denne gruppe er i øjeblikket ikke blokeret, men der er endnu ikke nok data til at klassificere dem som høj tillid. Opdateringer af certifikat til sikker bootstart kan udskydes, indtil der er tilstrækkelige data til rådighed.

  • Ingen data observeret - Handling påkrævet: Microsoft har ikke observeret denne enhed i opdateringsdata for sikker bootstart. Derfor kan automatiske certifikatopdateringer ikke evalueres for denne enhed, og der kræves sandsynligvis en administratorhandling. Denne klassificering er ikke inkluderet i databasen med høj konfidens og udsendes af Windows, når enheden ikke findes i databasen.

tilbage til toppen 

Publicering af databasen med høj konfidens

Databasen med høj tillid udgives via to komplementære mekanismer. One understøtter automatisk vedligeholdelse af Windows. Den anden giver indsigt i tillidsdata for kunder og partnere.

tilbage til toppen 

Adgang til dataene på GitHub

Microsoft udgiver en læsbar version af Databasen Høj tillid på GitHub for at give gennemsigtighed i de data, der bruges til at vurdere sikker bootstart af certifikatopdateringsparathed. Denne version indeholder de enhedsattributter, der bruges til at danne tillidsspand og er beregnet til inspektion og analyse af mennesker. Den bruges ikke direkte af Windows-vedligeholdelse.

Dataene er tilgængelige i GitHub-lageret for Microsoft Secure Boot Objects og kan være nyttige for følgende målgrupper:

  • It-administratorer og sikkerhedsteams: Evaluer paratheden til installation af sikker bootstart, og forstå, hvilke enhedsklasser der kan være berettiget til certifikatopdateringer, der leveres via kumulative opdateringer.

  • Enhedsproducenter: Gennemgå, hvordan enheds- og firmwarekonfigurationer repræsenteres på tværs af Windows-økosystemet.

  • Andre leverandører af operativsystemer, herunder Linux-distributioner: Forstå, hvordan konfigurationer af enheder og firmware klassificeres og, hvor det er relevant, justeres i forhold til Microsofts trinvise implementeringsmetode.

Dataene opdateres to gange om måneden, justeres med månedlige sikkerhedsopdateringer den anden tirsdag i måneden og valgfrie ikke-sikkerhedsrelaterede opdateringer den fjerde tirsdag i måneden. ​​​​​

tilbage til toppen

Data med høj tillid inkluderet i serviceopdateringer

En signeret version af high confidence-databasen er inkluderet i kumulative Windows-opdateringer og bruges direkte af Windows-vedligeholdelse til at evaluere sikker bootstartcertifikatopdateringsparathed. Disse data er integritetsbeskyttede og evalueres lokalt, hvilket giver mulighed for vedligeholdelsesbeslutninger, selv når en enhed ikke er synlig for Microsoft-telemetri.

På enheden gemmes dataene som BucketConfidenceData.cab under:

%SystemRoot%\System32\SecureBootUpdates\

Denne serviceringsintegrerede version indeholder en kompakt, struktureret repræsentation af tillidsbøtter. Den indeholder kun de attributter, der kræves for at bestemme bucketmedlemskab og den tilknyttede tillidsklassifikation. Versions- og tidsstempelmetadata sikrer, at de nyeste relevante data bruges. Denne version er optimeret til pålidelighed, størrelse og sikkerhed og er ikke beregnet til direkte inspektion eller ændring.

tilbage til toppen

Modtage opdateringer af databasen med høj konfidens oftere

Enheder, der kører Windows 11, version 24H2 eller 25H2, kan modtage opdateringer af databasen med høj konfidens oftere end den månedlige kadence for sikkerhedsopdateringer. Ud over de månedlige sikkerhedsopdateringer modtager disse versioner også valgfrie ikke-sikkerhedsrelaterede preview-opdateringer, som kan indeholde nyere tillidsdata. Installation af disse opdateringer giver kunderne mulighed for at holde sig tættere på de nyeste tillidsdata, mens de forbliver inden for standardvedligeholdelse af Windows.

tilbage til toppen

Genbrug af data med høj pålidelighed på tværs af Windows-versioner

I nogle miljøer kan administratorer vælge at installere High Confidence Database til understøttede Windows-versioner, der er ældre end Windows 11, version 24H2 eller 25H2.

I dette scenarie hentes databasen fra Windows 11 version 24H2 eller 25H2, som modtager nyere tillidsdata via valgfrie ikke-sikkerhedsrelaterede preview-opdateringer. Installation af denne database gør det muligt at evaluere nyere tillidsvurderinger på ældre understøttede Windows-versioner hurtigere end via månedlige sikkerhedsopdateringer alene. Dette ændrer ikke den måde, tillid beregnes på, eller hvordan opdateringer af certifikat til sikker bootstart anvendes.

tilbage til toppen

Installation af databasen med høj konfidens i andre Versioner af Windows

Hvis du vil installere BucketConfidenceData.cab, skal du bruge en proces, der er justeret i overensstemmelse med organisationens udrulningsværktøj og -fremgangsmåder.

  1. Hent BucketConfidenceData.cab fra et Windows 11, version 24H2- eller 25H2-system, der kører de seneste ikke-sikkerhedsrelaterede opdateringer. Filen er placeret på:

    %SystemRoot%\System32\SecureBootUpdates\

  2. På destinationsenheder skal du som administrator oprette følgende mappe, hvis den ikke allerede findes: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Installér BucketConfidenceData.cab til denne mappe.

Næste gang den planlagte opgave kører, typisk inden for 12 timer, bruger Windows denne fil, hvis den er nyere end den version, der følger med vedligeholdelsesopdateringer.

tilbage til toppen

Sådan vælger Windows tillidsdata

En enhed kan indeholde mere end én kopi af databasen med høj konfidens. For at sikre ensartet funktionsmåde anvender Windows en defineret rangordensmodel, når tillidsdata evalueres.

Når en signeret tillidsdatafil er inkluderet i en samlet opdatering, bruges denne serviceringskopi som standard. Hvis der findes flere kopier, vælger Windows den nyeste version baseret på versions- og tidsstempelmetadata.

tilbage til toppen

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed