Tarkempi katsaus suuren luotettavuuden tietokantaan

Käytetään kohteeseen
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: 10. maaliskuuta 2026
  • KB-tunnus: 5084464

Artikkelin sisältö

Johdanto ja laajuus

Suuren luotettavuuden tietokanta tukee sitä, miten Windows toimittaa suojatun käynnistyksen varmennepäivitykset tunnistamalla laite- ja laiteohjelmistokokoonpanot, jotka ovat osoittaneet onnistuneen päivitystoiminnan havaittujen palvelu- ja luotettavuussignaalien perusteella.

Tässä artikkelissa kerrotaan, mitä suuren luotettavuuden tietokanta edustaa, miten luotettavuus määritetään ja miten Windows-ylläpito julkaisee tiedot ja käyttää niitä. Se on tarkoitettu IT-ammattilaisille, tietoturvatiimeille ja tukiinsinööreille, jotka haluavat ymmärtää, miten luottamustiedot vaikuttavat suojatun käynnistyksen varmenteiden päivityspäätöksiin, mukaan lukien miten nämä tiedot tuodaan esiin kumulatiivisten päivitysten kautta ja julkaistaan asiakkaiden näkyvyyttä varten.

alkuun

Mitä suuren luotettavuuden tietokanta edustaa

Suuren luotettavuuden tietokanta vastaa Microsoftin arviota siitä, mitkä laite- ja laiteohjelmistokokoonpanot ovat valmiita vastaanottamaan suojatun käynnistyksen varmennepäivityksiä havaittujen palvelu- ja luotettavuussignaalien perusteella.

Windows-ekosysteemin laitteisto- ja laiteohjelmistoyhdistelmien laajuus ja monimuotoisuus huomioon ottaen tietokannan tarjoaa käytännöllisen tavan arvioida päivitysvalmiutta ryhmittelemällä laitteita, joilla on samankaltaiset ominaisuudet, ja mittaamalla todellisia päivitystuloksia. Nämä luotettavuustiedot sisältyvät kumulatiivisiin päivityksiin, jotta Windows voi toimittaa suojatun käynnistyksen varmennepäivitykset hallitusti ja priorisoi onnistuneet tulokset.

alkuun

Rajoitukset ja kattavuuteen liittyvät näkökohdat

Suuren luotettavuuden tietokanta osoittaa, missä Microsoftilla on riittävästi havaittuja ylläpitotietoja suojatun käynnistyksen varmenteen päivityksen valmiuden arvioimiseksi. Suurin osa tiedoista tulee Windows-asiakaslaitteista, joissa ylläpitosignaalit ovat laajoja ja yhdenmukaisia. Tämän seurauksena asiakasympäristöt ovat vahvemmin edustettuina.

Muilla laitetyypeillä, kuten Windows Server ja Windows IoT, on heikompi edustus käyttöönottomallien, telemetriatietojen käytettävyyden ja päivitystyönkulkujen erojen vuoksi. Tämä ei tarkoita näiden käyttöympäristöjen tuen vähentymistä. Se heijastaa sitä, että havaittuja signaaleja on saatavilla vähemmän luottamusarvioiden tueksi. Asiakkaiden, jotka ottavat Secure Boot -varmennepäivityksiä käyttöön näissä ympäristöissä, tulisi suunnitella käyttöönotot siten, että niihin keskitytään ja validointi on linjassa käyttöönottomallin ja toiminnallisten vaatimusten mukaisesti.

alkuun

Tietojen rakenne ja luokittelu

Suuren luotettavuuden tietokanta on järjestetty laitesäilöihin, joihin on ryhmitelty laitteita, joilla on yhteiset laitteisto-, laiteohjelmisto- ja käyttöympäristömääritteet. Tämän tavan avulla Windows-ylläpito voi arvioida suojatun käynnistyksen päivitystoimintaa laiteluokkatasolla yksittäisen järjestelmän sijaan.

Kullekin säilölle määritetään luottamusluokitus, joka kuvastaa suojatun käynnistyksen varmenteen päivitysvalmiuden nykyistä arviointia. Nämä luokitukset tulevat esiin Windowsin tapahtumissa, mukaan lukien tapahtumat 1801, 1802, 1803 ja 1808. Lisätietoja on artikkelissa Secure Boot DB:n ja DBX-muuttujan päivitystapahtumat. Luottamustasoluokitus on käytettävissä myös ConfidenceLevel-rekisteriavaimen kautta. Katso lisätietoja ohjeaiheesta Rekisteriavainten päivitykset Secure Bootia varten: Windows-laitteet, joissa on IT-hallinnoituja päivityksiä .

alkuun

Luottamustason luokitukset

Suuren luotettavuuden tietokanta ryhmittelee laitteet luotettavuusluokituksiin, jotka kuvastavat Microsoftin tämänhetkistä arviota suojatun käynnistyksen varmenteiden päivitysvalmiudesta ja joita käytetään ohjaamaan käyttöönottopäätöksiä.

  • Korkea luotettavuus: Tämän ryhmän laitteet ovat osoittaneet havaittujen tietojen avulla, että ne pystyvät päivittämään laiteohjelmiston onnistuneesti käyttämällä uusia suojatun käynnistyksen varmenteita.
  • Keskeytetty tilapäisesti: Tämä ryhmään kuuluvia laitteita koskee tunnettu ongelma. Riskien vähentämiseksi suojatun käynnistyksen varmennepäivitykset keskeytetään tilapäisesti, kun Microsoft ja kumppanit työskentelevät tuetun ratkaisun löytämiseksi. Tämä saattaa edellyttää laiteohjelmistopäivitystä. Lisätietoja on 1802-tapahtumassa.
  • Ei tuettu – tunnettu rajoitus: Tämän ryhmän laitteet eivät tue automaattista suojatun käynnistyksen varmenteen päivityspolkua laitteisto- tai laiteohjelmistorajoitusten vuoksi. Tälle kokoonpanolle ei ole tällä hetkellä tuettua automaattista ratkaisua.
  • Tarkkailussa – lisää tietoja tarvitaan: Tämän ryhmän laitteita ei ole tällä hetkellä estetty, mutta tietojen määrä ei ole vielä riittävä, jotta ne luokiteltaisiin suuren luotettavuuden mukaisiksi. Suojatun käynnistyksen varmenteen päivityksiä voidaan lykätä, kunnes käytettävissä on riittävästi tietoja.
  • Ei havaittuja tietoja – toimenpiteitä tarvitaan: Microsoft ei ole havainnut tätä laitetta suojatun käynnistyksen päivitystiedoissa. Tämän seurauksena automaattisia varmennepäivityksiä ei voida arvioida tälle laitteelle, ja todennäköisesti vaaditaan järjestelmänvalvojan toimia. Tämä luokitus ei sisälly suuren luotettavuuden tietokantaan, ja Windows lähettää sen, kun laitetta ei löydy tietokannasta.

alkuun

Suuren luotettavuuden tietokannan julkaiseminen

High Confidence -tietokanta julkaistaan kahden toisiaan täydentävän mekanismin kautta. Toinen tukee automaattista Windows-ylläpitoa. Toinen tarjoaa näkyvyyttä asiakkaiden ja kumppaneiden luottamusvarmuustietoihin.

alkuun

GitHubissa olevien tietojen käyttäminen

Microsoft julkaisee suuren luotettavuuden tietokannasta ihmisten luettavissa olevan version GitHubissa tarjotakseen läpinäkyvyyttä tietoihin, joita käytetään suojatun käynnistyksen varmenteen päivitysvalmiuden arviointiin. Tämä versio sisältää laitemääritteet, joita käytetään luottamuskauhojen muodostamiseen, ja se on tarkoitettu ihmisten tehtäviin tarkastuksiin ja analyyseihin. Windows-ylläpito ei käytä sitä suoraan.

Tiedot ovat käytettävissä Microsoftin suojattujen käynnistysobjektien GitHub-säilössä ja niistä voi olla hyötyä seuraaville käyttäjäryhmille:

  • IT-järjestelmänvalvojat ja tietoturvatiimit: Arvioi suojatun käynnistyksen käyttöönottovalmiutta ja selvitä, mitkä laiteluokat voivat olla oikeutettuja kumulatiivisten päivitysten kautta toimitettuihin varmennepäivityksiin.
  • Laitevalmistajat: Katso, miten laite- ja laiteohjelmistomääritykset esitetään Windows-ekosysteemissä.
  • Muut käyttöjärjestelmätoimittajat, mukaan lukien Linux-versiot: Ymmärrä, miten laite- ja laiteohjelmistokokoonpanot luokitellaan, ja soveltuvin osin yhdenmukaisia Microsoftin vaiheittaisen käyttöönoton mallin kanssa.

Tiedot päivitetään kahdesti kuukaudessa kuukauden toisen tiistain kuukausittaisten suojauspäivitysten ja kuukauden neljäntenä tiistaina tehtävien valinnaisten muiden kuin suojauksen esikatselupäivitysten mukaisesti.

alkuun

Ylläpitopäivityksiin sisältyvät korkean luotettavuuden tiedot

Suuren luotettavuuden tietokannan allekirjoitettu versio sisältyy Windowsin kumulatiivisiin päivityksiin, ja Windows-ylläpito käyttää sitä suoraan arvioidessaan suojatun käynnistyksen varmenteen päivitysvalmiutta. Nämä tiedot on suojattu eheydeltään ja arvioitu paikallisesti, mikä mahdollistaa ylläpitopäätökset myös silloin, kun laite ei ole näkyvissä Microsoftin telemetriatiedoille.

Tiedot tallennetaan laitteessa BucketConfidenceData.cab kohtaan:

Huomautus

%SystemRoot%\System32\SecureBootUpdates\

Tämä ylläpitoon integroitu versio sisältää kompaktin, jäsennellyn esityksen luottamuskauhoista. Se sisältää vain määritteet, joita tarvitaan säilön jäsenyyden ja siihen liittyvän luottamustason määrittämiseen. Version ja aikaleiman metatiedot varmistavat, että käytetään uusimpia soveltuvia tietoja. Tämä versio on optimoitu luotettavuuden, koon ja turvallisuuden suhteen, eikä sitä ole tarkoitettu suoraan tarkastus- tai muokkaustarkoituksiin.

alkuun

Suuren luotettavuuden tietokantapäivitysten vastaanottaminen useammin

Laitteet, joissa käytetään Windows 11:n versiota 24H2 tai 25H2, voivat vastaanottaa korkean luotettavuuden tietokantapäivityksiä useammin kuin kuukausittaiset suojauspäivitysten tahti. Kuukausittaisten suojauspäivitysten lisäksi nämä versiot saavat myös valinnaisia muita kuin suojauksen esikatselupäivityksiä, jotka voivat sisältää uudempia luottamuksellisuustietoja. Näiden päivitysten asentaminen antaa asiakkaille mahdollisuuden pysyä lähempänä uusimpia luottamustietoja ja pysyä samalla Windowsin vakiopalvelussa.

alkuun

Suuren luotettavuuden tietojen uudelleenkäyttö eri Windows-versioissa

Joissakin ympäristöissä järjestelmänvalvojat voivat halutessaan ottaa suuren luotettavuuden tietokannan käyttöön tuetuissa Windows-versioissa, jotka ovat vanhempia kuin Windows 11:n versio 24H2 tai 25H2.

Tässä skenaariossa tietokanta on peräisin Windows 11:n versiosta 24H2 tai 25H2, jotka saavat uudempia luottamustietoja valinnaisten muiden kuin suojauksen esikatselupäivitysten kautta. Tämän tietokannan käyttöönotto mahdollistaa uudempien luottamustenarviointien arvioinnin vanhemmissa tuetuissa Windows-versioissa nopeammin kuin pelkkien kuukausittaisten suojauspäivitysten avulla. Tämä ei vaikuta luotettavuuden laskemiseen tai siihen, miten suojatun käynnistyksen varmennepäivityksiä käytetään.

alkuun

Suuren luotettavuuden tietokannan ottaminen käyttöön muissa Windows-versioissa

Kun haluat ottaa BucketConfidenceData.cabkäyttöön, käytä organisaation käyttöönottotyökaluja ja -käytäntöjä vastaavaa prosessia.

  1. Hanki BucketConfidenceData.cab Windows 11-, 24H2- tai 25H2-järjestelmästä, jossa on uusimmat muut kuin suojauspäivitykset. Tiedoston sijainti:

    Huomautus

    %SystemRoot%\System32\SecureBootUpdates\

  2. Luo järjestelmänvalvojana kohdelaitteissa seuraava hakemisto, jos sitä ei vielä ole:

    Huomautus

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Ota BucketConfidenceData.cab käyttöön kyseisessä hakemistossa.

Kun ajoitettu tehtävä suoritetaan seuraavan kerran, yleensä 12 tunnin kuluessa, Windows käyttää tätä tiedostoa, jos se on uudempi kuin ylläpitopäivityksiin sisältyvä versio.

alkuun

Miten Windows valitsee luottamustiedot

Laitteessa voi olla useampi kuin yksi suuren luotettavuuden tietokannan kopio. Yhdenmukaisen toiminnan varmistamiseksi Windows käyttää määritettyä käsittelyjärjestysmallia luottamustietojen arvioimiseen.

Kun allekirjoitettu luottamustietotiedosto sisältyy kumulatiiviseen päivitykseen, kyseistä ylläpitokopiota käytetään oletusarvoisesti. Jos tiedostossa on useita kopioita, Windows valitsee uusimman soveltuvan version version ja aikaleiman metatietojen perusteella.

alkuun