Napomena
- Izvorni datum objave: Ožujak 10, 2026
- ID baze znanja: 5084464
Sadržaj članka
Publishing the High Confidence Database
- Pristup podacima na GitHub
- Podaci visoke pouzdanosti obuhvaćeni ažuriranjima servisa
- Češće primanje ažuriranja baze podataka visoke pouzdanosti
- Ponovna upotreba podataka visoke pouzdanosti u svim verzijama sustava Windows
- Implementacija baze podataka visoke pouzdanosti u druge verzije sustava Windows
- Kako Windows odabire podatke pouzdanosti
Uvod i opseg
Baza podataka visoke pouzdanosti podržava način na koji Windows isporučuje ažuriranja certifikata sigurnog pokretanja sustava identificiranjem konfiguracija uređaja i opreme koje su pokazale uspješno ponašanje pri ažuriranju na temelju opaženih signala servisiranja i pouzdanosti.
U ovom se članku objašnjava što predstavlja baza podataka visoke pouzdanosti, kako se utvrđuje pouzdanost te kako se podaci objavljuju i koriste u servisiranju sustava Windows. Namijenjen je IT stručnjacima, sigurnosnim timovima i inženjerima za podršku koji žele razumjeti na koji način podaci o pouzdanosti informiraju odluke o ažuriranju certifikata za sigurno pokretanje, uključujući način na koji se ti podaci prikazuju putem kumulativnih ažuriranja i objavljuju radi vidljivosti korisnika.
Što predstavlja baza podataka visoke pouzdanosti
Baza podataka visoke pouzdanosti odražava Microsoftovu procjenu o tome koji su uređaji i konfiguracije programske opreme spremne za primanje ažuriranja certifikata sigurnog pokretanja sustava na temelju opaženih servisnih signala i signala pouzdanosti.
S obzirom na veličinu i raznolikost kombinacija hardvera i opreme u ekosustavu sustava Windows, baza podataka pruža praktičan način za procjenu spremnosti ažuriranja grupiranjem uređaja sličnih karakteristika i mjerenjem rezultata ažuriranja u stvarnom svijetu. Ti su podaci o pouzdanosti uključeni u kumulativna ažuriranja kako bi Windows mogao isporučiti ažuriranja certifikata sigurnog pokretanja sustava na kontrolirani način koji daje prioritet uspješnim ishodima.
Ograničenja i napomene o pokrivenosti
Baza podataka visoke pouzdanosti odražava gdje Microsoft ima dovoljno zabilježenih servisnih podataka za procjenu spremnosti certifikata za sigurno pokretanje. Većina tih podataka dolazi s klijentskih uređaja sa sustavom Windows, gdje su servisni signali široki i dosljedni. Zbog toga su klijentske platforme zastupljenije.
Ostale vrste uređaja, kao što su Windows Server i Windows IoT, imaju manju zastupljenost zbog razlika u uzorcima implementacije, dostupnosti telemetrije i tijekovima rada ažuriranja. To ne ukazuje na smanjenu podršku za te platforme. Odražava da je na raspolaganju manje opaženih signala za procjenu pouzdanosti. Korisnici koji implementiraju ažuriranja certifikata za sigurno pokretanje sustava u tim okruženjima trebali bi planirati implementacije s dodatnim fokusom i provjerom valjanosti usklađenom s modelom implementacije i operativnim preduvjetima.
Struktura i klasifikacija podataka
Baza podataka visoke pouzdanosti organizirana je u grupe uređaja koje grupiraju uređaje koji zajednički koriste atribute hardvera, opreme i platforme. Taj pristup omogućuje servisu sustava Windows da procijeni ponašanje ažuriranja sigurnog pokretanja sustava na razini klase uređaja, a ne za pojedinačni sustav.
Svakoj grupi dodjeljuje se klasa pouzdanosti koja odražava trenutačnu procjenu spremnosti certifikata za sigurno pokretanje. Te se klasifikacije prikazuju putem događaja sustava Windows, uključujući događaje 1801, 1802, 1803 i 1808. Dodatne informacije potražite u članku Sigurnosno pokretanje DB i DBX događaji ažuriranja varijabli. Klasifikacija pouzdanosti dostupna je i putem ključa registra ConfidenceLevel . Pojedinosti potražite u odjeljku Ažuriranja ključa registra za sigurno pokretanje: uređaji sa sustavom Windows s ažuriranjima kojima upravlja IT .
Klasifikacije pouzdanosti
Baza podataka visoke pouzdanosti grupira uređaje u klasifikacije pouzdanosti koje odražavaju trenutnu Microsoftovu procjenu spremnosti certifikata za sigurno pokretanje sustava i koriste se kao smjernica pri odlučivanju o implementaciji.
- Visoka pouzdanost: Uređaji u ovoj skupini su opaženim podacima pokazali da mogu uspješno ažurirati firmver pomoću novih certifikata za sigurno pokretanje.
- Privremeno pauzirano: Uređaji u ovoj grupi su pogođeni poznatim problemom. Da bi se smanjio rizik, ažuriranja certifikata za sigurno pokretanje privremeno se pauziraju dok Microsoft i partneri rade na podržanom rješenju. To može zahtijevati ažuriranje programske opreme. Potražite događaj 1802 za više pojedinosti.
- Nije podržano – poznato ograničenje: Uređaji u ovoj grupi ne podržavaju put ažuriranja certifikata sigurnog pokretanja sustava zbog ograničenja hardvera ili opreme. Za tu konfiguraciju trenutačno nije dostupno automatsko razlučivanje.
- Promatranje – potrebno je više podataka: Uređaji u ovoj skupini trenutačno nisu blokirani, ali još nema dovoljno podataka da bi se klasificirali kao uređaji visoke pouzdanosti. Ažuriranja certifikata sigurnog pokretanja sustava mogu se odgoditi dok ne bude dostupno dovoljno podataka.
- Podaci se ne opažaju – potrebna je radnja: Microsoft nije primijetio taj uređaj u podacima o ažuriranju sigurnog pokretanja sustava. Zbog toga se za ovaj uređaj ne mogu procijeniti automatska ažuriranja certifikata i vjerojatno će biti potrebna akcija administratora. Ta klasifikacija nije uvrštena u bazu podataka visoke pouzdanosti i objavljuje je Windows kada u njoj ne pronađete uređaj.
Publishing the High Confidence Database
Baza podataka visoke pouzdanosti objavljuje se putem dvaju komplementarnih mehanizama. Jedan podržava automatizirano održavanje sustava Windows. Druga klijentima i partnerima omogućuje uvid u podatke o pouzdanosti.
Pristup podacima na GitHub
Microsoft objavljuje čovjeku čitljivu verziju baze podataka visoke pouzdanosti na GitHub radi pružanja transparentnosti u podacima koji se upotrebljavaju za procjenu spremnosti certifikata za sigurno pokretanje. Ova verzija sadrži atribute uređaja koji se koriste za formiranje grupa pouzdanosti i namijenjena je pregledu i analizi od strane ljudi. Servisiranje sustava Windows ne koristi ga izravno.
Podaci su dostupni u spremištu GitHub objekata Microsoftova sigurnog pokretanja sustava i mogu biti korisni sljedećim ciljnim skupinama:
- IT administratori i sigurnosni timovi: Procijenite spremnost za implementaciju sigurnog pokretanja sustava i shvatite koje klase uređaja mogu ispunjavati uvjete za ažuriranja certifikata koja se isporučuju putem kumulativnih ažuriranja.
- Proizvođači uređaja: Pregledajte kako se konfiguracije uređaja i programske opreme prikazuju u ekosustavu sustava Windows.
- Drugi dobavljači operacijskih sustava, uključujući distribucije sustava Linux: razumjeti kako se konfiguracije uređaja i opreme klasificiraju i, gdje je primjenjivo, usklađuju s Microsoftovim pristupom postupnog uvođenja.
Podaci se ažuriraju dvaput mjesečno, što je usklađeno s mjesečnim sigurnosnim ažuriranjima drugog utorka u mjesecu i neobaveznim pretpreglednim ažuriranjima koja nisu povezana sa sigurnošću četvrtog utorka u mjesecu.
Podaci visoke pouzdanosti obuhvaćeni ažuriranjima servisa
Potpisana verzija baze podataka visoke pouzdanosti obuhvaćena je kumulativnim ažuriranjima sustava Windows i servisiranje sustava Windows upotrebljava je izravno za procjenu spremnosti ažuriranja certifikata za sigurno pokretanje. Ti su podaci zaštićeni i vrednovani lokalno, što omogućuje odluke o servisiranju čak i kada uređaj nije vidljiv Microsoftovoj telemetriji.
Na uređaju se podaci pohranjuju kao BucketConfidenceData.cab u sljedećem odjeljku:
Napomena
%SystemRoot%\System32\SecureBootUpdates\
Ova verzija integrirana sa servisom sadrži kompaktan, strukturiran prikaz grupa pouzdanosti. Sadrži samo atribute potrebne za određivanje članstva grupe i povezane klasifikacije pouzdanosti. Metapodaci verzije i vremenske oznake osiguravaju upotrebu najnovijih primjenjivih podataka. Ova je verzija optimizirana za pouzdanost, veličinu i sigurnost i nije namijenjena izravnoj kontroli ili modifikaciji.
Češće primanje ažuriranja baze podataka visoke pouzdanosti
Uređaji sa sustavom Windows 11, verzijom 24H2 ili 25H2 mogu primati ažuriranja baze podataka visoke pouzdanosti češće od mjesečnog ritma sigurnosnih ažuriranja. Osim mjesečnih sigurnosnih ažuriranja, te verzije primaju i neobavezna pretpregledna ažuriranja koja nisu povezana sa sigurnošću, a mogu obuhvaćati novije podatke o pouzdanosti. Instaliranje ovih ažuriranja omogućuje klijentima da budu bliže najnovijim podacima o pouzdanosti dok istodobno ostanu unutar standardnog servisiranja sustava Windows.
Ponovna upotreba podataka visoke pouzdanosti u svim verzijama sustava Windows
U nekim okruženjima administratori mogu odlučiti implementirati bazu podataka visoke pouzdanosti u podržane verzije sustava Windows starije od Windows 11, verzije 24H2 ili 25H2.
U ovom scenariju baza podataka dolazi iz sustava Windows 11, verzije 24H2 ili 25H2, koji primaju novije podatke pouzdanosti putem neobaveznih ažuriranja pretpregleda koja nisu povezana sa sigurnošću. Implementacija ove baze podataka omogućuje novije procjene pouzdanosti na starijim podržanim verzijama sustava Windows prije nego samo putem mjesečnih sigurnosnih ažuriranja. To ne mijenja način na koji se izračunava pouzdanost ni način primjene ažuriranja certifikata sigurnog pokretanja sustava.
Implementacija baze podataka visoke pouzdanosti u druge verzije sustava Windows
Da biste implementirali BucketConfidenceData.cab, koristite postupak usklađen s alatima i praksama implementacije vaše tvrtke ili ustanove.
Nabavite BucketConfidenceData.cab iz sustava Windows 11, verzije 24H2 ili 25H2 na kojima su instalirana najnovija ažuriranja koja nisu povezana sa sigurnošću. Datoteka se nalazi na sljedećem mjestu:
Napomena
%SystemRoot%\System32\SecureBootUpdates\
Na ciljnim uređajima kao administrator stvorite sljedeći direktorij ako već ne postoji:
Napomena
%ProgramData%\Microsoft\Windows\SecureBootUpdates
Implementirajte BucketConfidenceData.cab u taj direktorij.
Prilikom sljedećeg pokretanja zakazanog zadatka, obično u roku od 12 sati, Windows će koristiti tu datoteku ako je novija od verzije obuhvaćene servisnim ažuriranjima.
Kako Windows odabire podatke pouzdanosti
Uređaj može sadržavati više od jedne kopije baze podataka visoke pouzdanosti. Da bi se osiguralo dosljedno ponašanje, Windows primjenjuje definirani model prvenstva prilikom procjene podataka pouzdanosti.
Kada se potpisana podatkovna datoteka pouzdanosti uvrštava u kumulativno ažuriranje, servisna se kopija koristi po zadanom. Ako postoji više kopija, Windows odabire najnoviju primjenjivu verziju na temelju verzije i metapodataka vremenske oznake.