S’applique à
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Date de publication d’origine : 10 mars 2026

ID de la base de connaissances : 5084464

Dans cet article

Introduction et étendue

La base de données à haute confiance prend en charge la façon dont Windows fournit des mises à jour de certificat de démarrage sécurisé en identifiant les configurations d’appareil et de microprogramme qui ont démontré un comportement de mise à jour réussi en fonction des signaux de maintenance et de fiabilité observés.

Cet article explique ce que représente la base de données à haute confiance, comment la confiance est déterminée et comment les données sont publiées et utilisées par la maintenance Windows. Il est destiné aux professionnels de l’informatique, aux équipes de sécurité et aux ingénieurs du support technique qui souhaitent comprendre comment les données de confiance informent les décisions de mise à jour des certificats de démarrage sécurisé, y compris la façon dont ces données sont exposées par le biais de mises à jour cumulatives et publiées pour la visibilité des clients.

Retour au début

Ce que représente la base de données à haut niveau de confiance

La base de données haute confiance reflète l’évaluation par Microsoft des configurations d’appareils et de microprogrammes prêtes à recevoir des mises à jour de certificat de démarrage sécurisé en fonction des signaux de maintenance et de fiabilité observés.

Compte tenu de l’échelle et de la diversité des combinaisons de matériel et de microprogramme dans l’écosystème Windows, la base de données fournit un moyen pratique d’évaluer la préparation des mises à jour en regroupant des appareils ayant des caractéristiques similaires et en mesurant les résultats réels des mises à jour. Ces données de confiance sont incluses dans les mises à jour cumulatives pour aider Windows à fournir des mises à jour de certificat de démarrage sécurisé de manière contrôlée qui hiérarchise les résultats réussis.

Retour au début

Limitations et considérations relatives à la couverture

La base de données à haute confiance reflète l’emplacement où Microsoft dispose de suffisamment de données de maintenance observées pour évaluer la préparation de la mise à jour du certificat de démarrage sécurisé. La plupart de ces données proviennent d’appareils clients Windows, où les signaux de maintenance sont larges et cohérents. Par conséquent, les plateformes clientes sont plus largement représentées.

D’autres types d’appareils, tels que Windows Server et Windows IoT, ont une représentation inférieure en raison de différences dans les modèles de déploiement, la disponibilité des données de télémétrie et les flux de travail de mise à jour. Cela n’indique pas une prise en charge réduite de ces plateformes. Il indique que moins de signaux observés sont disponibles pour éclairer les évaluations de confiance. Les clients qui déploient des mises à jour de certificat de démarrage sécurisé dans ces environnements doivent planifier les déploiements avec un focus et une validation supplémentaires alignés sur leur modèle de déploiement et leurs exigences opérationnelles.

Retour au début

Structure et classification des données

La base de données à haute confiance est organisée en compartiments d’appareils qui regroupent les appareils partageant des attributs matériels, microprogrammes et de plateforme communs. Cette approche permet à la maintenance De Windows d’évaluer le comportement de mise à jour du démarrage sécurisé au niveau d’une classe d’appareil plutôt qu’au niveau du système individuel.

Une classification de confiance qui reflète l’évaluation actuelle de la préparation des mises à jour de certificat de démarrage sécurisé est affectée à chaque compartiment. Ces classifications sont exposées via les événements Windows, notamment les événements 1801, 1802, 1803 et 1808. Pour plus d’informations, consultez Événements de mise à jour de la base de données de démarrage sécurisé et de la variable DBX. La classification de confiance est également disponible via la clé de Registre ConfidenceLevel . Pour plus d’informations, consultez Mises à jour des clés de Registre pour le démarrage sécurisé : appareils Windows avec mises à jour gérées par le service informatique .

 Retour au début

Classifications de confiance

La base de données à haute confiance regroupe les appareils dans des classifications de confiance qui reflètent l’évaluation actuelle par Microsoft de la préparation des mises à jour de certificat de démarrage sécurisé et sont utilisées pour guider les décisions de déploiement.

  • Confiance élevée : Les appareils de ce groupe ont démontré, par des données observées, qu’ils peuvent mettre à jour le microprogramme à l’aide des nouveaux certificats de démarrage sécurisé.

  • Temporairement suspendu : Les appareils de ce groupe sont affectés par un problème connu. Pour réduire les risques, les mises à jour des certificats de démarrage sécurisé sont temporairement suspendues pendant que Microsoft et ses partenaires travaillent à une résolution prise en charge. Cela peut nécessiter une mise à jour du microprogramme. Pour plus d’informations, recherchez un événement 1802.

  • Non pris en charge - Limitation connue : Les appareils de ce groupe ne prennent pas en charge le chemin de mise à jour du certificat de démarrage sécurisé automatisé en raison des limitations matérielles ou du microprogramme. Aucune résolution automatique prise en charge n’est actuellement disponible pour cette configuration.

  • Sous observation - Données supplémentaires nécessaires : Les appareils de ce groupe ne sont pas actuellement bloqués, mais il n’y a pas encore suffisamment de données pour les classer comme étant à haut niveau de confiance. Les mises à jour du certificat de démarrage sécurisé peuvent être différées jusqu’à ce que des données suffisantes soient disponibles.

  • Aucune donnée observée - Action requise : Microsoft n’a pas observé cet appareil dans les données de mise à jour du démarrage sécurisé. Par conséquent, les mises à jour automatiques des certificats ne peuvent pas être évaluées pour cet appareil, et une action de l’administrateur est probablement nécessaire. Cette classification n’est pas incluse dans la base de données à haut niveau de confiance et est émise par Windows lorsque l’appareil est introuvable dans la base de données.

Retour au début 

Publication de la base de données à haut niveau de confiance

La base de données à haute confiance est publiée par le biais de deux mécanismes complémentaires. L’un prend en charge la maintenance automatisée de Windows. L’autre offre une visibilité sur les données de confiance pour les clients et les partenaires.

Retour au début 

Accès aux données sur GitHub

Microsoft publie une version lisible par l’utilisateur de la base de données haute confiance sur GitHub pour fournir une transparence dans les données utilisées pour évaluer la préparation de la mise à jour du certificat de démarrage sécurisé. Cette version inclut les attributs d’appareil utilisés pour former des compartiments de confiance et est destinée à l’inspection et à l’analyse par les humains. Il n’est pas utilisé directement par la maintenance Windows.

Les données sont disponibles dans le référentiel GitHub Microsoft Secure Boot Objects et peuvent être utiles aux audiences suivantes :

  • Administrateurs informatiques et équipes de sécurité : Évaluez la préparation au déploiement du démarrage sécurisé et identifiez les classes d’appareils qui peuvent être éligibles pour les mises à jour de certificat fournies par le biais de mises à jour cumulatives.

  • Fabricants d’appareils : Passez en revue la façon dont les configurations d’appareil et de microprogramme sont représentées dans l’écosystème Windows.

  • Autres fournisseurs de systèmes d’exploitation, y compris les distributions Linux : Découvrez comment les configurations des appareils et des microprogrammes sont classifiées et, le cas échéant, s’alignent sur l’approche de déploiement progressif de Microsoft.

Les données sont mises à jour deux fois par mois, alignées sur les mises à jour de sécurité mensuelles le deuxième mardi du mois et les mises à jour facultatives de préversion non liées à la sécurité le quatrième mardi du mois. ​​​​​

Retour au début

Données à haut niveau de confiance incluses dans les mises à jour de maintenance

Une version signée de la base de données à haut niveau de confiance est incluse avec les mises à jour cumulatives Windows et est utilisée directement par la maintenance Windows pour évaluer la préparation des mises à jour de certificat de démarrage sécurisé. Ces données sont protégées par l’intégrité et évaluées localement, ce qui permet de prendre des décisions de maintenance même lorsqu’un appareil n’est pas visible par les données de télémétrie Microsoft.

Sur l’appareil, les données sont stockées sous BucketConfidenceData.cab sous :

%SystemRoot %\System32\SecureBootUpdates\

Cette version intégrée à la maintenance contient une représentation compacte et structurée des compartiments de confiance. Il inclut uniquement les attributs requis pour déterminer l’appartenance au compartiment et la classification de confiance associée. Les métadonnées de version et d’horodatage garantissent que les données applicables les plus récentes sont utilisées. Cette version est optimisée pour la fiabilité, la taille et la sécurité et n’est pas destinée à l’inspection ou à la modification directe.

Retour au début

Réception de mises à jour de base de données à haut niveau de confiance plus fréquemment

Les appareils exécutant Windows 11, version 24H2 ou 25H2 peuvent recevoir des mises à jour de base de données à haute confiance plus fréquemment que la cadence des mises à jour de sécurité mensuelles. En plus des mises à jour de sécurité mensuelles, ces versions reçoivent également des mises à jour de préversion non liées à la sécurité facultatives, qui peuvent inclure des données de confiance plus récentes. L’installation de ces mises à jour permet aux clients de rester au plus près des données de confiance les plus récentes tout en restant dans le cadre d’une maintenance Windows standard.

Retour au début

Réutilisation des données à haut niveau de confiance entre les versions de Windows

Dans certains environnements, les administrateurs peuvent choisir de déployer la base de données à haute confiance sur les versions windows prises en charge antérieures à Windows 11, version 24H2 ou 25H2.

Dans ce scénario, la base de données provient de Windows 11, version 24H2 ou 25H2, qui reçoivent des données de confiance plus récentes via des mises à jour facultatives de préversion non liées à la sécurité. Le déploiement de cette base de données permet d’évaluer des évaluations de confiance plus récentes sur les anciennes versions de Windows prises en charge plus tôt que les mises à jour de sécurité mensuelles uniquement. Cela ne change pas la façon dont la confiance est calculée ou la façon dont les mises à jour de certificat de démarrage sécurisé sont appliquées.

Retour au début

Déploiement de la base de données à haute confiance sur d’autres versions de Windows

Pour déployer BucketConfidenceData.cab, utilisez un processus aligné sur les outils et pratiques de déploiement de votre organization.

  1. Obtenez BucketConfidenceData.cab à partir d’un système Windows 11, version 24H2 ou 25H2 exécutant les dernières mises à jour non liées à la sécurité. Le fichier se trouve à l’emplacement suivant :

    %SystemRoot %\System32\SecureBootUpdates\

  2. Sur les appareils cibles, en tant qu’administrateur, créez le répertoire suivant s’il n’existe pas déjà : ​​​​​​​

    %ProgramData %\Microsoft\Windows\SecureBootUpdates

  3. Déployez BucketConfidenceData.cab dans ce répertoire.

La prochaine fois que la tâche planifiée s’exécute, généralement dans les 12 heures, Windows utilise ce fichier s’il est plus récent que la version incluse dans les mises à jour de maintenance.

Retour au début

Comment Windows sélectionne les données de confiance

Un appareil peut contenir plusieurs copies de la base de données à haute confiance. Pour garantir un comportement cohérent, Windows applique un modèle de priorité défini lors de l’évaluation des données de confiance.

Lorsqu’un fichier de données de confiance signé est inclus avec une mise à jour cumulative, cette copie de maintenance est utilisée par défaut. Si plusieurs copies sont présentes, Windows sélectionne la version applicable la plus récente en fonction des métadonnées de version et d’horodatage.

Retour au début

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité