Gilt für
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 10. März 2026

KB-ID: 5084464

Inhalt

Einführung und Umfang

Die Datenbank mit hoher Zuverlässigkeit unterstützt die Bereitstellung von Zertifikatupdates für den sicheren Start von Windows, indem Geräte- und Firmwarekonfigurationen identifiziert werden, die ein erfolgreiches Updateverhalten basierend auf beobachteten Wartungs- und Zuverlässigkeitssignalen gezeigt haben.

In diesem Artikel wird erläutert, was die Datenbank mit hoher Zuverlässigkeit darstellt, wie die Zuverlässigkeit bestimmt wird und wie die Daten veröffentlicht und von der Windows-Wartung verwendet werden. Es richtet sich an IT-Experten, Sicherheitsteams und Supporttechniker, die verstehen möchten, wie Vertrauensdaten entscheidungen bei der Aktualisierung von Zertifikaten für den sicheren Start beeinflussen, einschließlich, wie diese Daten durch kumulative Updates angezeigt und für die Kundensichtbarkeit veröffentlicht werden.

Zurück zum Anfang

Was die Datenbank mit hoher Zuverlässigkeit darstellt

Die Datenbank mit hoher Zuverlässigkeit spiegelt die Bewertung von Microsoft wider, welche Geräte- und Firmwarekonfigurationen basierend auf den beobachteten Wartungs- und Zuverlässigkeitssignalen für den Empfang von Zertifikatupdates für den sicheren Start bereit sind.

Angesichts der Größe und Vielfalt der Hardware- und Firmwarekombinationen im Windows-Ökosystem bietet die Datenbank eine praktische Möglichkeit, die Updatebereitschaft zu bewerten, indem Geräte mit ähnlichen Merkmalen gruppiert und die tatsächlichen Updateergebnisse gemessen werden. Diese Vertrauensdaten sind in kumulativen Updates enthalten, um Windows dabei zu unterstützen, Zertifikatupdates für den sicheren Start auf kontrollierte Weise bereitzustellen, die erfolgreiche Ergebnisse priorisiert.

Zurück zum Anfang

Überlegungen zu Einschränkungen und Abdeckung

Die Datenbank mit hoher Zuverlässigkeit gibt an, wo Microsoft über genügend beobachtete Wartungsdaten verfügt, um die Updatebereitschaft des Zertifikats für den sicheren Start zu bewerten. Die meisten dieser Daten stammen von Windows-Clientgeräten, bei denen Wartungssignale breit und konsistent sind. Daher sind Clientplattformen stärker vertreten.

Andere Gerätetypen, z. B. Windows Server und Windows IoT, weisen aufgrund unterschiedlicher Bereitstellungsmuster, Telemetrieverfügbarkeit und Updateworkflows eine geringere Darstellung auf. Dies deutet nicht auf eine eingeschränkte Unterstützung für diese Plattformen hin. Es spiegelt wider, dass weniger beobachtete Signale zur Verfügung stehen, um Zuverlässigkeitsbewertungen zu informieren. Kunden, die Zertifikatupdates für den sicheren Start in diesen Umgebungen bereitstellen, sollten Bereitstellungen mit zusätzlichem Fokus und Validierung planen, die auf ihr Bereitstellungsmodell und ihre betrieblichen Anforderungen ausgerichtet sind.

Zurück zum Anfang

Datenstruktur und -klassifizierung

Die Datenbank mit hoher Zuverlässigkeit ist in Gerätebuckets organisiert, die Geräte mit gemeinsamen Hardware-, Firmware- und Plattformattributen gruppieren. Dieser Ansatz ermöglicht es der Windows-Wartung, das Verhalten von Updates für den sicheren Start auf Geräteklassenebene und nicht pro einzelnem System auszuwerten.

Jedem Bucket wird eine Konfidenzklassifizierung zugewiesen, die die aktuelle Bewertung der Updatebereitschaft des Zertifikats für den sicheren Start widerspiegelt. Diese Klassifizierungen werden über Windows-Ereignisse angezeigt, einschließlich der Ereignisse 1801, 1802, 1803 und 1808. Weitere Informationen finden Sie unter Updateereignisse für sichere Startdatenbank und DBX-Variablen. Die Konfidenzklassifizierung ist auch über den Registrierungsschlüssel ConfidenceLevel verfügbar. Weitere Informationen finden Sie unter Registrierungsschlüsselupdates für den sicheren Start: Windows-Geräte mit von der IT verwalteten Updates .

 Zurück zum Anfang

Konfidenzklassifizierungen

Die Datenbank mit hoher Zuverlässigkeit gruppiert Geräte in Konfidenzklassifizierungen, die die aktuelle Bewertung der Updatebereitschaft des Zertifikats für den sicheren Start durch Microsoft widerspiegeln und als Grundlage für Bereitstellungsentscheidungen verwendet werden.

  • Hohe Zuverlässigkeit: Geräte in dieser Gruppe haben anhand von beobachteten Daten gezeigt, dass sie die Firmware mithilfe der neuen Zertifikate für den sicheren Start erfolgreich aktualisieren können.

  • Vorübergehend angehalten: Geräte in dieser Gruppe sind von einem bekannten Problem betroffen. Um das Risiko zu verringern, werden Zertifikatupdates für den sicheren Start vorübergehend angehalten, während Microsoft und Partner auf eine unterstützte Lösung hinarbeiten. Dies erfordert möglicherweise ein Firmwareupdate. Suchen Sie nach einem 1802-Ereignis, um weitere Details zu erhalten.

  • Nicht unterstützt : Bekannte Einschränkung: Geräte in dieser Gruppe unterstützen den Updatepfad des automatischen Zertifikats für den sicheren Start aufgrund von Hardware- oder Firmwarebeschränkungen nicht. Für diese Konfiguration ist derzeit keine unterstützte automatische Auflösung verfügbar.

  • Unter Beobachtung – Weitere Daten erforderlich: Geräte in dieser Gruppe sind derzeit nicht blockiert, aber es gibt noch nicht genügend Daten, um sie als hohe Zuverlässigkeit zu klassifizieren. Zertifikatupdates für den sicheren Start werden möglicherweise zurückgestellt, bis genügend Daten verfügbar sind.

  • Keine Daten wurden beobachtet– Aktion erforderlich: Microsoft hat dieses Gerät in den Updatedaten für den sicheren Start nicht beobachtet. Daher können automatische Zertifikatupdates für dieses Gerät nicht ausgewertet werden, und es ist wahrscheinlich eine Administratoraktion erforderlich. Diese Klassifizierung ist nicht in der Datenbank mit hoher Zuverlässigkeit enthalten und wird von Windows ausgegeben, wenn das Gerät nicht in der Datenbank gefunden wird.

Zurück zum Anfang 

Veröffentlichen der Datenbank mit hoher Zuverlässigkeit

Die Datenbank mit hoher Zuverlässigkeit wird über zwei sich ergänzende Mechanismen veröffentlicht. Eine unterstützt die automatisierte Windows-Wartung. Die andere bietet Einblick in Vertrauensdaten für Kunden und Partner.

Zurück zum Anfang 

Zugreifen auf die Daten auf GitHub

Microsoft veröffentlicht eine lesbare Version der High Confidence Database auf GitHub, um Transparenz in den Daten zu schaffen, die zum Bewerten der Bereitschaft zum Aktualisieren des Zertifikats für den sicheren Start verwendet werden. Diese Version enthält die Geräteattribute, die zum Bilden von Zuverlässigkeitsbuckets verwendet werden, und ist für die Überprüfung und Analyse durch Menschen vorgesehen. Es wird nicht direkt von der Windows-Wartung verwendet.

Die Daten sind im GitHub-Repository für Microsoft Secure Boot Objects verfügbar und können für die folgenden Benutzergruppen nützlich sein:

  • IT-Administratoren und Sicherheitsteams: Bewerten Sie die Bereitstellungsbereitschaft für den sicheren Start, und ermitteln Sie, welche Geräteklassen für Zertifikatupdates geeignet sein können, die über kumulative Updates bereitgestellt werden.

  • Gerätehersteller: Überprüfen Sie, wie Geräte- und Firmwarekonfigurationen im gesamten Windows-Ökosystem dargestellt werden.

  • Andere Betriebssystemanbieter, einschließlich Linux-Distributionen: Erfahren Sie, wie Geräte- und Firmwarekonfigurationen klassifiziert werden, und stimmen Sie ggf. mit dem schrittweisen Rolloutansatz von Microsoft überein.

Die Daten werden zweimal monatlich aktualisiert, entsprechend den monatlichen Sicherheitsupdates am zweiten Dienstag des Monats und optionalen nicht sicherheitsrelevanten Vorschauupdates am vierten Dienstag des Monats. ​​​​​

Zurück zum Anfang

Hohe Zuverlässigkeitsdaten, die in Wartungsupdates enthalten sind

Eine signierte Version der Datenbank mit hoher Zuverlässigkeit ist in kumulativen Windows-Updates enthalten und wird direkt von der Windows-Wartung verwendet, um die Bereitschaft des Zertifikatupdates für den sicheren Start zu bewerten. Diese Daten sind integritätssicher und lokal ausgewertet, sodass Wartungsentscheidungen auch dann getroffen werden können, wenn ein Gerät für Microsoft-Telemetriedaten nicht sichtbar ist.

Auf dem Gerät werden die Daten als BucketConfidenceData.cab gespeichert unter:

%SystemRoot%\System32\SecureBootUpdates\

Diese wartungsintegrierte Version enthält eine kompakte, strukturierte Darstellung von Konfidenzbuckets. Sie enthält nur die Attribute, die zum Bestimmen der Bucketmitgliedschaft und der zugeordneten Konfidenzklassifizierung erforderlich sind. Versions- und Zeitstempelmetadaten stellen sicher, dass die neuesten anwendbaren Daten verwendet werden. Diese Version ist für Zuverlässigkeit, Größe und Sicherheit optimiert und nicht für direkte Inspektionen oder Änderungen vorgesehen.

Zurück zum Anfang

Häufigerer Empfang von Datenbankupdates mit hoher Zuverlässigkeit

Geräte, auf denen Windows 11, Version 24H2 oder 25H2 ausgeführt wird, können datenbankinterne Updates mit hoher Zuverlässigkeit häufiger erhalten als die monatliche Sicherheitsupdatefrequenz. Zusätzlich zu monatlichen Sicherheitsupdates erhalten diese Versionen auch optionale nicht sicherheitsrelevante Vorschauupdates, die neuere Konfidenzdaten enthalten können. Die Installation dieser Updates ermöglicht es Kunden, näher an den neuesten Zuverlässigkeitsdaten zu bleiben, während sie innerhalb der standardmäßigen Windows-Wartung bleiben.

Zurück zum Anfang

Wiederverwendung von Daten mit hoher Zuverlässigkeit über Windows-Versionen hinweg

In einigen Umgebungen können Administratoren die Datenbank mit hoher Zuverlässigkeit für unterstützte Windows-Versionen bereitstellen, die älter als Windows 11, Version 24H2 oder 25H2 sind.

In diesem Szenario stammt die Datenbank aus Windows 11 Version 24H2 oder 25H2, die durch optionale nicht sicherheitsrelevante Vorschauupdates neuere Zuverlässigkeitsdaten erhalten. Durch die Bereitstellung dieser Datenbank können neuere Zuverlässigkeitsbewertungen für ältere unterstützte Windows-Versionen früher ausgewertet werden als nur durch monatliche Sicherheitsupdates. Dies ändert weder die Berechnung der Zuverlässigkeit noch die Anwendung von Zertifikatupdates für den sicheren Start.

Zurück zum Anfang

Bereitstellen der Datenbank mit hoher Zuverlässigkeit in anderen Windows-Versionen

Um BucketConfidenceData.cabbereitzustellen, verwenden Sie einen Prozess, der auf die Bereitstellungstools und -methoden Ihres organization abgestimmt ist.

  1. Rufen Sie BucketConfidenceData.cab von einem Windows 11 System der Version 24H2 oder 25H2 ab, auf dem die neuesten nicht sicherheitsrelevanten Updates ausgeführt werden. Die Datei befindet sich unter:

    %SystemRoot%\System32\SecureBootUpdates\

  2. Erstellen Sie auf Zielgeräten als Administrator das folgende Verzeichnis, sofern es noch nicht vorhanden ist: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Stellen Sie BucketConfidenceData.cab in diesem Verzeichnis bereit.

Bei der nächsten Ausführung des geplanten Tasks (in der Regel innerhalb von 12 Stunden) verwendet Windows diese Datei, wenn sie neuer ist als die version, die in Wartungsupdates enthalten ist.

Zurück zum Anfang

Wie Windows Konfidenzdaten auswählt

Ein Gerät kann mehr als eine Kopie der Datenbank mit hoher Zuverlässigkeit enthalten. Um ein konsistentes Verhalten sicherzustellen, wendet Windows beim Auswerten von Konfidenzdaten ein definiertes Rangfolgenmodell an.

Wenn eine signierte Konfidenzdatendatei in einem kumulativen Update enthalten ist, wird diese Wartungskopie standardmäßig verwendet. Wenn mehrere Kopien vorhanden sind, wählt Windows die neueste anwendbare Version basierend auf Versions- und Zeitstempelmetadaten aus.

Zurück zum Anfang

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter