Tanggal penerbitan asli: 10 Maret 2026
ID KB: 5084464
Dalam artikel ini
Pengenalan dan lingkup
Database Kepercayaan Tinggi mendukung cara Windows memberikan pembaruan sertifikat Boot Aman dengan mengidentifikasi konfigurasi perangkat dan firmware yang telah menunjukkan perilaku pembaruan yang berhasil berdasarkan pelayanan yang diamati dan sinyal keandalan.
Artikel ini menjelaskan apa yang ditunjukkan oleh Database Kepercayaan Tinggi, bagaimana kepercayaan diri ditentukan, dan bagaimana data diterbitkan dan digunakan oleh layanan Windows. Ini ditujukan untuk profesional TI, tim keamanan, dan teknisi dukungan yang ingin memahami bagaimana data kepercayaan menginformasikan keputusan pembaruan sertifikat Boot Aman, termasuk bagaimana data ini dimunculkan melalui pembaruan kumulatif dan diterbitkan untuk visibilitas pelanggan.
Apa yang ditunjukkan oleh Database Kepercayaan Tinggi
Database Kepercayaan Tinggi mencerminkan penilaian Microsoft tentang konfigurasi perangkat dan firmware mana yang siap menerima pembaruan sertifikat Boot Aman berdasarkan pelayanan yang diamati dan sinyal keandalan.
Mengingat skala dan keragaman kombinasi perangkat keras dan firmware dalam ekosistem Windows, database menyediakan cara praktis untuk mengevaluasi kesiapan pembaruan dengan mengelompokkan perangkat dengan karakteristik serupa dan mengukur hasil pembaruan dunia nyata. Data kepercayaan ini disertakan dalam pembaruan kumulatif untuk membantu Windows memberikan pembaruan sertifikat Boot Aman dengan cara terkontrol yang memprioritaskan hasil yang berhasil.
Batasan dan pertimbangan cakupan
Database Kepercayaan Tinggi mencerminkan di mana Microsoft memiliki data pelayanan yang cukup untuk menilai kesiapan pembaruan sertifikat Boot Aman. Sebagian besar data ini berasal dari perangkat klien Windows, di mana sinyal pelayanan bersifat luas dan konsisten. Sebagai hasilnya, platform klien lebih banyak diwakili.
Tipe perangkat lain, seperti Windows Server dan Windows IoT, memiliki representasi yang lebih rendah karena perbedaan pola penyebaran, ketersediaan telemetri, dan alur kerja pembaruan. Ini tidak menunjukkan berkurangnya dukungan untuk platform ini. Ini mencerminkan bahwa lebih sedikit sinyal yang diamati tersedia untuk menginformasikan penilaian kepercayaan diri. Pelanggan yang menggunakan pembaruan sertifikat Boot Aman di lingkungan ini harus merencanakan penyebaran dengan fokus dan validasi tambahan yang selaras dengan model penyebaran dan persyaratan operasional mereka.
Struktur dan klasifikasi data
Database Kepercayaan Tinggi diatur ke dalam wadah perangkat yang mengelompokkan perangkat yang berbagi atribut perangkat keras, firmware, dan platform umum. Pendekatan ini memungkinkan layanan Windows untuk mengevaluasi perilaku pembaruan Boot Aman pada tingkat kelas perangkat daripada per sistem individual.
Setiap wadah diberi klasifikasi kepercayaan yang mencerminkan penilaian kesiapan pembaruan sertifikat Secure Boot saat ini. Klasifikasi ini dimunculkan melalui acara Windows, termasuk acara 1801, 1802, 1803, dan 1808. Untuk informasi selengkapnya, lihat Kejadian pembaruan variabel DB dan DBX Boot Aman. Klasifikasi kepercayaan juga tersedia melalui kunci registri ConfidenceLevel . Lihat Pembaruan kunci registri untuk Boot Aman: Perangkat Windows dengan pembaruan yang dikelola TI untuk detailnya.
Klasifikasi kepercayaan diri
Database Kepercayaan Tinggi mengelompokkan perangkat ke dalam klasifikasi kepercayaan diri yang mencerminkan penilaian Microsoft saat ini tentang kesiapan pembaruan sertifikat Boot Aman dan digunakan untuk memandu keputusan penyebaran.
-
Kepercayaan Diri Tinggi: Perangkat dalam grup ini telah menunjukkan, melalui data yang diamati, bahwa mereka dapat berhasil memperbarui firmware menggunakan sertifikat Boot Aman yang baru.
-
Dijeda sementara: Perangkat dalam grup ini dipengaruhi oleh masalah yang diketahui. Untuk mengurangi risiko, pembaruan sertifikat Boot Aman dijeda sementara saat Microsoft dan mitra bekerja untuk resolusi yang didukung. Ini mungkin memerlukan pembaruan firmware. Cari acara 1802 untuk detail selengkapnya.
-
Tidak Didukung - Batasan Umum: Perangkat dalam grup ini tidak mendukung jalur pembaruan sertifikat Boot Aman otomatis karena keterbatasan perangkat keras atau firmware. Saat ini tidak tersedia resolusi otomatis yang didukung untuk konfigurasi ini.
-
Di bawah Observasi - Lebih banyak data yang diperlukan: Perangkat dalam grup ini saat ini belum diblokir, tetapi belum ada cukup data untuk mengklasifikasikannya sebagai kepercayaan diri tinggi. Pembaruan sertifikat Boot Aman mungkin ditunda hingga data yang memadai tersedia.
-
Tidak Ada Data yang Diamati - Diperlukan Tindakan: Microsoft belum mengamati perangkat ini dalam data pembaruan Boot Aman. Akibatnya, pembaruan sertifikat otomatis tidak dapat dievaluasi untuk perangkat ini, dan tindakan administrator kemungkinan diperlukan. Klasifikasi ini tidak disertakan dalam Database Kepercayaan Tinggi dan dipancarkan oleh Windows ketika perangkat tidak ditemukan dalam database.
Menerbitkan Database Kepercayaan Tinggi
Database Kepercayaan Tinggi diterbitkan melalui dua mekanisme pelengkap. Salah satunya mendukung layanan Windows otomatis. Yang lain menyediakan visibilitas ke dalam data kepercayaan bagi pelanggan dan mitra.
Mengakses data di GitHub
Microsoft menerbitkan versi Database Kepercayaan Tinggi yang dapat dibaca manusia di GitHub untuk memberikan transparansi ke dalam data yang digunakan untuk menilai kesiapan pembaruan sertifikat Boot Aman. Versi ini mencakup atribut perangkat yang digunakan untuk membentuk wadah kepercayaan diri dan dimaksudkan untuk inspeksi dan analisis oleh manusia. Layanan ini tidak digunakan secara langsung oleh layanan Windows.
Data ini tersedia di Penyimpanan GitHub Objek Boot Aman Microsoft dan mungkin berguna bagi audiens berikut:
-
Administrator TI dan tim keamanan: Evaluasi kesiapan penyebaran Boot Aman dan pahami kelas perangkat mana yang mungkin memenuhi syarat untuk pembaruan sertifikat yang dikirimkan melalui pembaruan kumulatif.
-
Produsen perangkat: Tinjau bagaimana konfigurasi perangkat dan firmware diwakili di seluruh ekosistem Windows.
-
Vendor sistem operasi lainnya, termasuk distribusi Linux: Pahami bagaimana konfigurasi perangkat dan firmware diklasifikasikan dan, jika ada, selaras dengan pendekatan peluncuran bertahap Microsoft.
Data diperbarui dua kali setiap bulan, diratakan dengan pembaruan keamanan bulanan pada hari Selasa kedua dalam sebulan dan pembaruan pratinjau non-keamanan opsional pada Selasa keempat bulan. ​​​​​
Data Kepercayaan Tinggi disertakan dalam pembaruan pelayanan
Versi Database Kepercayaan Tinggi yang ditandatangani disertakan dengan pembaruan kumulatif Windows dan digunakan secara langsung oleh layanan Windows untuk mengevaluasi kesiapan pembaruan sertifikat Boot Aman. Data ini dilindungi dan dievaluasi secara lokal, memungkinkan keputusan pelayanan bahkan ketika perangkat tidak terlihat oleh telemetri Microsoft.
Di perangkat, data disimpan sebagai BucketConfidenceData.cab di bawah:
%SystemRoot%\System32\SecureBootUpdates\
Versi terintegrasi pelayanan ini berisi representasi wadah kepercayaan yang ringkas dan terstruktur. Ini hanya mencakup atribut yang diperlukan untuk menentukan keanggotaan bucket dan klasifikasi kepercayaan terkait. Metadata stempel waktu dan versi memastikan data terbaru yang berlaku digunakan. Versi ini dioptimalkan untuk keandalan, ukuran, dan keamanan dan tidak ditujukan untuk inspeksi atau modifikasi langsung.
Menerima pembaruan Database Kepercayaan Tinggi lebih sering
Perangkat yang menjalankan Windows 11, versi 24H2 atau 25H2 bisa menerima pembaruan Database Kepercayaan Tinggi lebih sering daripada irama pembaruan keamanan bulanan. Selain pembaruan keamanan bulanan, versi ini juga menerima pembaruan pratinjau non-keamanan opsional, yang mungkin menyertakan data kepercayaan diri yang lebih baru. Menginstal pembaruan ini memungkinkan pelanggan untuk tetap dekat dengan data kepercayaan diri terbaru sambil tetap berada dalam pelayanan Windows standar.
Menggunakan kembali data Kepercayaan Tinggi di seluruh versi Windows
Di beberapa lingkungan, administrator mungkin memilih untuk menyebarkan Database Kepercayaan Tinggi ke versi Windows yang didukung yang lebih lama dari Windows 11, versi 24H2 atau 25H2.
Dalam skenario ini, database bersumber dari Windows 11, versi 24H2 atau 25H2, yang menerima data kepercayaan yang lebih baru melalui pembaruan pratinjau non-keamanan opsional. Menyebarkan database ini memungkinkan penilaian kepercayaan yang lebih baru dievaluasi pada versi Windows yang lebih lama yang didukung lebih cepat daripada melalui pembaruan keamanan bulanan saja. Ini tidak mengubah cara penghitungan kepercayaan diri atau bagaimana pembaruan sertifikat Boot Aman diterapkan.
Menyebarkan Database Kepercayaan Diri Tinggi ke versi Windows lainnya
Untuk menyebarkan BucketConfidenceData.cab, gunakan proses yang selaras dengan praktik dan alat penyebaran organisasi Anda.
-
Dapatkan BucketConfidenceData.cab dari sistem Windows 11, versi 24H2, atau 25H2 yang menjalankan pembaruan non-keamanan terbaru. File terletak di:
%SystemRoot%\System32\SecureBootUpdates\
-
Di perangkat target, sebagai Administrator, buat direktori berikut ini jika belum ada: ​​​​​​​
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Menyebarkan BucketConfidenceData.cab ke direktori tersebut.
Kali berikutnya tugas terjadwal berjalan, biasanya dalam waktu 12 jam, Windows akan menggunakan file ini jika lebih baru dari versi yang disertakan dengan pembaruan pelayanan.
Cara Windows memilih data kepercayaan diri
Perangkat mungkin berisi lebih dari satu salinan Database Kepercayaan Tinggi. Untuk memastikan perilaku yang konsisten, Windows menerapkan model prioritas yang ditentukan ketika mengevaluasi data kepercayaan diri.
Ketika file data kepercayaan diri yang ditandatangani disertakan dengan pembaruan kumulatif, salinan pelayanan tersebut digunakan secara default. Jika ada beberapa salinan, Windows memilih versi terbaru yang berlaku berdasarkan metadata versi dan cap waktu.
