Avaldamise algne kuupäev: 10. märts 2026
KB ID: 5084464
Selle artikli teemad
Sissejuhatus ja ulatus
Suure usaldusväärsusega andmebaas toetab seda, kuidas Windows pakub turvalise algkäivituse serdi värskendusi, tuvastades seadme ja püsivara konfiguratsioonid, mis on näidanud õnnestunud värskenduskäitumist täheldatud teeninduse ja töökindluse signaalide põhjal.
Selles artiklis selgitatakse, mida kõrgusaldusandmebaal endast kujutab, kuidas usaldust määratletakse ning kuidas Windowsi hooldus andmeid avaldab ja kasutab. See on mõeldud IT-spetsialistidele, turbemeeskondadele ja tugiinseneridele, kes soovivad mõista, kuidas usaldusandmed teavitavad Secure Booti serdi värskendamise otsuseid, sh seda, kuidas neid andmeid koondvärskenduste kaudu kogutakse ja avaldatakse klientide nähtavuse huvides.
Väga usaldusväärse andmebaasi tähistab
Suure usaldusväärsusega andmebaas kajastab Microsofti hinnangut selle kohta, millised seadme ja püsivara konfiguratsioonid on jälgitud teenindus- ja töökindlussignaalide põhjal turvalise algkäivituse serdi värskenduste saamiseks valmis.
Arvestades riistvara ja püsivara kombinatsioonide ulatust ja mitmekesisust Windowsi ökosüsteemis, pakub andmebaas praktilist viisi värskendusvalmiduse hindamiseks, rühmitades sarnaste omadustega seadmeid ja mõõtes reaalajas värskendustulemusi. Need usaldusandmed on kaasatud koondvärskendustesse, mis aitavad Windowsil pakkuda turvalise algkäivituse serdi värskendusi kontrollitud viisil, mis seab edukad tulemused tähtsuse järjekorda.
Piirangud ja katvusega seotud kaalutlused
Suure usaldusväärsusega andmebaas kajastab seda, kus Microsoft on piisavalt jälginud teenindusandmeid, et hinnata secure Booti serdi värskendusvalmiduse valmidust. Enamik neist andmetest pärineb Windowsi klientseadmetest, kus teenindussignaalid on laiad ja järjepidevad. Seetõttu on kliendiplatvormid palju esindatumad.
Muud tüüpi seadmetel (nt Windows Server ja Windows IoT) on juurutusmustrite, telemeetria kättesaadavuse ja värskendustöövoogude erinevuste tõttu väiksema esituse tõttu. See ei tähenda nende platvormide vähendatud tuge. See näitab, et usaldushinnangute andmiseks on saadaval vähem jälgitavaid signaale. Kliendid, kes juurutavad nendes keskkondades turvalise algkäivituse serdi värskendusi, peaksid plaanima juurutusi täiendava fookuse ja valideerimisega vastavalt nende juurutusmudelile ja töönõuetele.
Andmestruktuur ja liigitus
Suure usaldusväärsusega andmebaas on korraldatud seadmesalvedesse, mis rühmitavad seadmed, millel on ühised riistvara-, püsivara- ja platvormiatribuudid. See lähenemine võimaldab Windowsi teenindusel hinnata turvalise algkäivituse värskenduse käitumist seadmeklassi tasemel, mitte üksiku süsteemi kohta.
Igale salvele määratakse usaldusklassifikatsioon, mis kajastab Secure Booti serdi värskendusvalmiduse praegust hinnangut. Need liigitused on läbi Windowsi sündmuste, sh sündmuste 1801, 1802, 1803 ja 1808. Lisateavet leiate teemast Secure Boot DB ja DBX muutuja värskendussündmused. Usaldusklassifikatsioon on saadaval ka registrivõtme ConfidenceLevel kaudu. Lisateavet leiate teemast Secure Booti registrivõtme värskendused: Windowsi seadmed, kus on IT-hallatavaid värskendusi .
Usaldusliigitused
Suure usaldusväärsusega andmebaas rühmitab seadmed usaldusklassifikatsioonidesse, mis kajastavad Microsofti praegust hinnangut Secure Booti serdi värskendusvalmiduse valmidusele ja neid kasutatakse juurutusotsuste juhtimiseks.
-
Suur kindlustunne: Selle rühma seadmed on jälgitud andmete abil näidanud, et nad saavad püsivara uute Secure Booti sertide abil edukalt värskendada.
-
Ajutiselt peatatud: Selle rühma seadmeid mõjutab teadaolev probleem. Riski vähendamiseks peatatakse turvalise algkäivituse serdi värskendused ajutiselt, kui Microsoft ja partnerid töötavad toetatud lahenduse nimel. See võib nõuda püsivara värskendamist. Lisateavet leiate 1802 sündmusest.
-
Pole toetatud – teadaolev piirang: Selle rühma seadmed ei toeta riistvara- või püsivarapiirangute tõttu automaatset turvalise algkäivituse serdi värskendusteed. Selle konfiguratsiooni jaoks pole praegu toetatud automaatset eraldusvõimet saadaval.
-
Jaotises Jälgimine – vaja on rohkem andmeid. Selle rühma seadmed pole praegu blokeeritud, kuid veel pole piisavalt andmeid nende liigitamiseks suure kindlustundega. Secure Booti serdi värskendusi võidakse edasi lükata, kuni saadaval on piisavad andmed.
-
Andmeid ei vaadeldud – toiming on nõutav: Microsoft ei ole seda seadet secure Booti värskendusandmetes täheldanud. Seetõttu ei saa selle seadme puhul automaatseid serdivärskendusi hinnata ja tõenäoliselt on nõutav administraatoritoiming. Seda liigitust ei kaasata suure usaldusväärsusega andmebaasi ja selle väljastab Windows, kui seadet andmebaasist ei leita.
Väga usaldusväärse andmebaasi avaldamine
Suure usaldusväärsusega andmebaas avaldatakse kahe täiendava mehhanismi kaudu. One toetab Windowsi automaatset teenindust. Teine tagab klientidele ja partneritele usaldusandmete nähtavuse.
Juurdepääs andmetele GitHubis
Microsoft avaldab GitHubis suure usaldusväärsusega andmebaasi inimle loetava versiooni, et muuta turvalise algkäivituse serdi värskendusvalmiduse hindamiseks kasutatavad andmed läbipaistvamaks. See versioon sisaldab seadme atribuute, mida kasutatakse usaldussalvede moodustamiseks ja on mõeldud inimeste kontrolliks ja analüüsimiseks. Windowsi teenindus ei kasuta seda otse.
Andmed on saadaval Microsoft Secure Boot Objects GitHubi hoidlas ja võivad olla kasulikud järgmistele sihtrühmadele.
-
IT-administraatorid ja turbemeeskonnad: Hinnake Secure Booti juurutusvalmiduse valmidust ja mõistke, millised seadmeklassid võivad sobida koondvärskenduste kaudu edastatud serdivärskenduste saamiseks.
-
Seadme tootjad: Vaadake üle, kuidas on seadme ja püsivara konfiguratsioonid Windowsi ökosüsteemis esindatud.
-
Muud operatsioonisüsteemi tarnijad, sealhulgas Linuxi jaotused: Saate teada, kuidas seadme ja püsivara konfiguratsioonid on liigitatud ja vajaduse korral kooskõlas Microsofti etapiviisilise kasutuselevõtu lähenemisviisiga.
Andmeid värskendatakse kaks korda kuus, vastavalt igakuiste turbevärskendustega kuu teisel teisipäeval ja valikuliste turbega mitteseotud eelvaatevärskendustega kuu neljandal teisipäeval.
Hooldusvärskendustesse kaasatud väga usaldusväärsed andmed
Väga usaldusväärse andmebaasi allkirjastatud versioon on kaasatud Windowsi koondvärskendustesse ja seda kasutab otse Windowsi teenindus, et hinnata turvalise algkäivituse serdi värskenduse valmidust. Need andmed on tervikluskaitsega ja neid hinnatakse kohalikult, võimaldades teenindusotsuseid isegi siis, kui seade pole Microsofti telemeetriale nähtav.
Seadmes talletatakse andmed BucketConfidenceData.cab jaotises:
%SystemRoot%\System32\SecureBootUpdates\
See teenindusega integreeritud versioon sisaldab kompaktset struktureeritud usaldussalvede esitust. See sisaldab ainult salve liikmesuse määramiseks nõutavaid atribuute ja seotud usaldusklassifikatsiooni. Versiooni ja ajatempli metaandmed tagavad, et kasutatakse kõige uuemaid kohaldatavaid andmeid. See versioon on optimeeritud töökindluse, suuruse ja turvalisuse huvides ning ei ole mõeldud otseseks kontrolliks ega muutmiseks.
Väga usaldusväärse andmebaasi värskenduste vastuvõtmine sagedamini
Seadmed, kus töötab Windows 11 versioon 24H2 või 25H2, saavad suure usaldusväärsusega andmebaasi värskendusi sagedamini kui igakuised turbevärskendused. Lisaks igakuistele turbevärskendustele saavad need versioonid ka valikulisi turbega mitteseotud eelvaatevärskendusi, mis võivad sisaldada uuemaid usaldusandmeid. Nende värskenduste installimine võimaldab klientidel püsida uusimatele usaldusandmetele lähemal, säilitades samas Windowsi standardse teeninduse.
Väga usaldusväärsete andmete korduvkasutamine kõigis Windowsi versioonides
Mõnes keskkonnas võivad administraatorid otsustada juurutada suure usaldusväärsusega andmebaasi toetatud Windowsi versioonides, mis on vanemad kui Windows 11 versioon 24H2 või 25H2.
Selle stsenaariumi puhul on andmebaas pärit Windows 11 versioonist 24H2 või 25H2, mis saavad uuemaid usaldusandmeid valikuliste turbega mitteseotud eelvaatevärskenduste kaudu. Selle andmebaasi juurutamine võimaldab uuemaid usaldushinnanguid hinnata vanemates toetatud Windowsi versioonides varem kui ainult igakuiste turbevärskenduste abil. See ei muuda usalduse arvutamist ega turbekäivituse serdi värskenduste rakendamist.
Väga usaldusväärse andmebaasi juurutamine muudes Windowsi versioonides
BucketConfidenceData.cabjuurutamiseks kasutage oma ettevõtte juurutustööriistade ja -tavadega ühtivat protsessi.
-
Hankige BucketConfidenceData.cab uusimaid turbega mitteseotud värskendusi käitavast Windows 11 versiooni 24H2 või 25H2 süsteemist. Fail asub asukohas:
%SystemRoot%\System32\SecureBootUpdates\
-
Kui seda pole veel olemas, looge sihtseadmetes administraatorina järgmine kaust:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
JuurutageBucketConfidenceData.cab sellesse kausta.
Järgmine kord, kui ajastatud toiming käivitub (tavaliselt 12 tunni jooksul), kasutab Windows seda faili, kui see on uuem kui hooldusvärskendustes sisalduv versioon.
Usaldusandmete valimine Windowsis
Seade võib sisaldada mitut väga usaldusväärse andmebaasi eksemplari. Ühtse käitumise tagamiseks rakendab Windows usaldusandmete hindamisel määratletud järjestusmudeli.
Kui allkirjastatud usaldusandmete fail on kaasatud koondvärskendusse, kasutatakse seda hoolduskoopiat vaikimisi. Kui olemas on mitu eksemplari, valib Windows versiooni ja ajatempli metaandmete põhjal kõige uuema rakendatava versiooni.
