Huomautus
- Alkuperäinen julkaisupäivä: 10. maaliskuuta 2026
- KB-tunnus: 5084464
Artikkelin sisältö
Suuren luotettavuuden tietokannan julkaiseminen
- GitHubissa olevien tietojen käyttäminen
- Ylläpitopäivityksiin sisältyvät korkean luotettavuuden tiedot
- Suuren luotettavuuden tietokantapäivitysten vastaanottaminen useammin
- Suuren luotettavuuden tietojen uudelleenkäyttö eri Windows-versioissa
- Suuren luotettavuuden tietokannan ottaminen käyttöön muissa Windows-versioissa
- Miten Windows valitsee luottamustiedot
Johdanto ja laajuus
Suuren luotettavuuden tietokanta tukee sitä, miten Windows toimittaa suojatun käynnistyksen varmennepäivitykset tunnistamalla laite- ja laiteohjelmistokokoonpanot, jotka ovat osoittaneet onnistuneen päivitystoiminnan havaittujen palvelu- ja luotettavuussignaalien perusteella.
Tässä artikkelissa kerrotaan, mitä suuren luotettavuuden tietokanta edustaa, miten luotettavuus määritetään ja miten Windows-ylläpito julkaisee tiedot ja käyttää niitä. Se on tarkoitettu IT-ammattilaisille, tietoturvatiimeille ja tukiinsinööreille, jotka haluavat ymmärtää, miten luottamustiedot vaikuttavat suojatun käynnistyksen varmenteiden päivityspäätöksiin, mukaan lukien miten nämä tiedot tuodaan esiin kumulatiivisten päivitysten kautta ja julkaistaan asiakkaiden näkyvyyttä varten.
Mitä suuren luotettavuuden tietokanta edustaa
Suuren luotettavuuden tietokanta vastaa Microsoftin arviota siitä, mitkä laite- ja laiteohjelmistokokoonpanot ovat valmiita vastaanottamaan suojatun käynnistyksen varmennepäivityksiä havaittujen palvelu- ja luotettavuussignaalien perusteella.
Windows-ekosysteemin laitteisto- ja laiteohjelmistoyhdistelmien laajuus ja monimuotoisuus huomioon ottaen tietokannan tarjoaa käytännöllisen tavan arvioida päivitysvalmiutta ryhmittelemällä laitteita, joilla on samankaltaiset ominaisuudet, ja mittaamalla todellisia päivitystuloksia. Nämä luotettavuustiedot sisältyvät kumulatiivisiin päivityksiin, jotta Windows voi toimittaa suojatun käynnistyksen varmennepäivitykset hallitusti ja priorisoi onnistuneet tulokset.
Rajoitukset ja kattavuuteen liittyvät näkökohdat
Suuren luotettavuuden tietokanta osoittaa, missä Microsoftilla on riittävästi havaittuja ylläpitotietoja suojatun käynnistyksen varmenteen päivityksen valmiuden arvioimiseksi. Suurin osa tiedoista tulee Windows-asiakaslaitteista, joissa ylläpitosignaalit ovat laajoja ja yhdenmukaisia. Tämän seurauksena asiakasympäristöt ovat vahvemmin edustettuina.
Muilla laitetyypeillä, kuten Windows Server ja Windows IoT, on heikompi edustus käyttöönottomallien, telemetriatietojen käytettävyyden ja päivitystyönkulkujen erojen vuoksi. Tämä ei tarkoita näiden käyttöympäristöjen tuen vähentymistä. Se heijastaa sitä, että havaittuja signaaleja on saatavilla vähemmän luottamusarvioiden tueksi. Asiakkaiden, jotka ottavat Secure Boot -varmennepäivityksiä käyttöön näissä ympäristöissä, tulisi suunnitella käyttöönotot siten, että niihin keskitytään ja validointi on linjassa käyttöönottomallin ja toiminnallisten vaatimusten mukaisesti.
Tietojen rakenne ja luokittelu
Suuren luotettavuuden tietokanta on järjestetty laitesäilöihin, joihin on ryhmitelty laitteita, joilla on yhteiset laitteisto-, laiteohjelmisto- ja käyttöympäristömääritteet. Tämän tavan avulla Windows-ylläpito voi arvioida suojatun käynnistyksen päivitystoimintaa laiteluokkatasolla yksittäisen järjestelmän sijaan.
Kullekin säilölle määritetään luottamusluokitus, joka kuvastaa suojatun käynnistyksen varmenteen päivitysvalmiuden nykyistä arviointia. Nämä luokitukset tulevat esiin Windowsin tapahtumissa, mukaan lukien tapahtumat 1801, 1802, 1803 ja 1808. Lisätietoja on artikkelissa Secure Boot DB:n ja DBX-muuttujan päivitystapahtumat. Luottamustasoluokitus on käytettävissä myös ConfidenceLevel-rekisteriavaimen kautta. Katso lisätietoja ohjeaiheesta Rekisteriavainten päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä .
Luottamustason luokitukset
Suuren luotettavuuden tietokanta ryhmittelee laitteet luotettavuusluokituksiin, jotka kuvastavat Microsoftin tämänhetkistä arviota suojatun käynnistyksen varmenteiden päivitysvalmiudesta ja joita käytetään ohjaamaan käyttöönottopäätöksiä.
- Korkea luotettavuus: Tämän ryhmän laitteet ovat osoittaneet havaittujen tietojen avulla, että ne pystyvät päivittämään laiteohjelmiston onnistuneesti käyttämällä uusia suojatun käynnistyksen varmenteita.
- Keskeytetty tilapäisesti: Tämä ryhmään kuuluvia laitteita koskee tunnettu ongelma. Riskien vähentämiseksi suojatun käynnistyksen varmennepäivitykset keskeytetään tilapäisesti, kun Microsoft ja kumppanit työskentelevät tuetun ratkaisun löytämiseksi. Tämä saattaa edellyttää laiteohjelmistopäivitystä. Lisätietoja on 1802-tapahtumassa.
- Ei tuettu – tunnettu rajoitus: Tämän ryhmän laitteet eivät tue automaattista suojatun käynnistyksen varmenteen päivityspolkua laitteisto- tai laiteohjelmistorajoitusten vuoksi. Tälle kokoonpanolle ei ole tällä hetkellä tuettua automaattista ratkaisua.
- Tarkkailussa – lisää tietoja tarvitaan: Tämän ryhmän laitteita ei ole tällä hetkellä estetty, mutta tietojen määrä ei ole vielä riittävä, jotta ne luokiteltaisiin suuren luotettavuuden mukaisiksi. Suojatun käynnistyksen varmenteen päivityksiä voidaan lykätä, kunnes käytettävissä on riittävästi tietoja.
- Ei havaittuja tietoja – toimenpiteitä tarvitaan: Microsoft ei ole havainnut tätä laitetta suojatun käynnistyksen päivitystiedoissa. Tämän seurauksena automaattisia varmennepäivityksiä ei voida arvioida tälle laitteelle, ja todennäköisesti vaaditaan järjestelmänvalvojan toimia. Tämä luokitus ei sisälly suuren luotettavuuden tietokantaan, ja Windows lähettää sen, kun laitetta ei löydy tietokannasta.
Suuren luotettavuuden tietokannan julkaiseminen
High Confidence -tietokanta julkaistaan kahden toisiaan täydentävän mekanismin kautta. Toinen tukee automaattista Windows-ylläpitoa. Toinen tarjoaa näkyvyyttä asiakkaiden ja kumppaneiden luottamusvarmuustietoihin.
GitHubissa olevien tietojen käyttäminen
Microsoft julkaisee suuren luotettavuuden tietokannasta ihmisten luettavissa olevan version GitHubissa tarjotakseen läpinäkyvyyttä tietoihin, joita käytetään suojatun käynnistyksen varmenteen päivitysvalmiuden arviointiin. Tämä versio sisältää laitemääritteet, joita käytetään luottamuskauhojen muodostamiseen, ja se on tarkoitettu ihmisten tehtäviin tarkastuksiin ja analyyseihin. Windows-ylläpito ei käytä sitä suoraan.
Tiedot ovat käytettävissä Microsoftin suojattujen käynnistysobjektien GitHub-säilössä ja niistä voi olla hyötyä seuraaville käyttäjäryhmille:
- IT-järjestelmänvalvojat ja tietoturvatiimit: Arvioi suojatun käynnistyksen käyttöönottovalmiutta ja selvitä, mitkä laiteluokat voivat olla oikeutettuja kumulatiivisten päivitysten kautta toimitettuihin varmennepäivityksiin.
- Laitevalmistajat: Katso, miten laite- ja laiteohjelmistomääritykset esitetään Windows-ekosysteemissä.
- Muut käyttöjärjestelmätoimittajat, mukaan lukien Linux-versiot: Ymmärrä, miten laite- ja laiteohjelmistokokoonpanot luokitellaan, ja soveltuvin osin yhdenmukaisia Microsoftin vaiheittaisen käyttöönoton mallin kanssa.
Tiedot päivitetään kahdesti kuukaudessa kuukauden toisen tiistain kuukausittaisten suojauspäivitysten ja kuukauden neljäntenä tiistaina tehtävien valinnaisten muiden kuin suojauksen esikatselupäivitysten mukaisesti.
Ylläpitopäivityksiin sisältyvät korkean luotettavuuden tiedot
Suuren luotettavuuden tietokannan allekirjoitettu versio sisältyy Windowsin kumulatiivisiin päivityksiin, ja Windows-ylläpito käyttää sitä suoraan arvioidessaan suojatun käynnistyksen varmenteen päivitysvalmiutta. Nämä tiedot on suojattu eheydeltään ja arvioitu paikallisesti, mikä mahdollistaa ylläpitopäätökset myös silloin, kun laite ei ole näkyvissä Microsoftin telemetriatiedoille.
Tiedot tallennetaan laitteessa BucketConfidenceData.cab kohtaan:
Huomautus
%SystemRoot%\System32\SecureBootUpdates\
Tämä ylläpitoon integroitu versio sisältää kompaktin, jäsennellyn esityksen luottamuskauhoista. Se sisältää vain määritteet, joita tarvitaan säilön jäsenyyden ja siihen liittyvän luottamustason määrittämiseen. Version ja aikaleiman metatiedot varmistavat, että käytetään uusimpia soveltuvia tietoja. Tämä versio on optimoitu luotettavuuden, koon ja turvallisuuden suhteen, eikä sitä ole tarkoitettu suoraan tarkastus- tai muokkaustarkoituksiin.
Suuren luotettavuuden tietokantapäivitysten vastaanottaminen useammin
Laitteet, joissa käytetään Windows 11:n versiota 24H2 tai 25H2, voivat vastaanottaa korkean luotettavuuden tietokantapäivityksiä useammin kuin kuukausittaiset suojauspäivitysten tahti. Kuukausittaisten suojauspäivitysten lisäksi nämä versiot saavat myös valinnaisia muita kuin suojauksen esikatselupäivityksiä, jotka voivat sisältää uudempia luottamuksellisuustietoja. Näiden päivitysten asentaminen antaa asiakkaille mahdollisuuden pysyä lähempänä uusimpia luottamustietoja ja pysyä samalla Windowsin vakiopalvelussa.
Suuren luotettavuuden tietojen uudelleenkäyttö eri Windows-versioissa
Joissakin ympäristöissä järjestelmänvalvojat voivat halutessaan ottaa suuren luotettavuuden tietokannan käyttöön tuetuissa Windows-versioissa, jotka ovat vanhempia kuin Windows 11:n versio 24H2 tai 25H2.
Tässä skenaariossa tietokanta on peräisin Windows 11:n versiosta 24H2 tai 25H2, jotka saavat uudempia luottamustietoja valinnaisten muiden kuin suojauksen esikatselupäivitysten kautta. Tämän tietokannan käyttöönotto mahdollistaa uudempien luottamustenarviointien arvioinnin vanhemmissa tuetuissa Windows-versioissa nopeammin kuin pelkkien kuukausittaisten suojauspäivitysten avulla. Tämä ei vaikuta luotettavuuden laskemiseen tai siihen, miten suojatun käynnistyksen varmennepäivityksiä käytetään.
Suuren luotettavuuden tietokannan ottaminen käyttöön muissa Windows-versioissa
Kun haluat ottaa BucketConfidenceData.cabkäyttöön, käytä organisaation käyttöönottotyökaluja ja -käytäntöjä vastaavaa prosessia.
Hanki BucketConfidenceData.cab Windows 11-, 24H2- tai 25H2-järjestelmästä, jossa on uusimmat muut kuin suojauspäivitykset. Tiedoston sijainti:
Huomautus
%SystemRoot%\System32\SecureBootUpdates\
Luo järjestelmänvalvojana kohdelaitteissa seuraava hakemisto, jos sitä ei vielä ole:
Huomautus
%ProgramData%\Microsoft\Windows\SecureBootUpdates
Ota BucketConfidenceData.cab käyttöön kyseisessä hakemistossa.
Kun ajoitettu tehtävä suoritetaan seuraavan kerran, yleensä 12 tunnin kuluessa, Windows käyttää tätä tiedostoa, jos se on uudempi kuin ylläpitopäivityksiin sisältyvä versio.
Miten Windows valitsee luottamustiedot
Laitteessa voi olla useampi kuin yksi suuren luotettavuuden tietokannan kopio. Yhdenmukaisen toiminnan varmistamiseksi Windows käyttää määritettyä käsittelyjärjestysmallia luottamustietojen arvioimiseen.
Kun allekirjoitettu luottamustietotiedosto sisältyy kumulatiiviseen päivitykseen, kyseistä ylläpitokopiota käytetään oletusarvoisesti. Jos tiedostossa on useita kopioita, Windows valitsee uusimman soveltuvan version version ja aikaleiman metatietojen perusteella.