Un'analisi più approfondita del database high confidence
Si applica a
Data di pubblicazione originale: 10 marzo 2026
ID KB: 5084464
Contenuto dell'articolo
Introduzione e ambito
Il database high confidence supporta il modo in cui Windows fornisce gli aggiornamenti del certificato di avvio protetto identificando le configurazioni del firmware e del dispositivo che hanno dimostrato un comportamento di aggiornamento riuscito in base ai segnali di manutenzione e affidabilità osservati.
Questo articolo spiega cosa rappresenta il database con attendibilità elevata, come viene determinata la probabilità e come i dati vengono pubblicati e usati dalla manutenzione di Windows. È destinato a professionisti IT, team di sicurezza e tecnici del supporto tecnico che vogliono comprendere in che modo i dati di sicurezza informano le decisioni di aggiornamento del certificato di avvio protetto, incluso come questi dati vengono emersi tramite aggiornamenti cumulativi e pubblicati per la visibilità dei clienti.
Cosa rappresenta il database con attendibilità elevata
Il database high confidence riflette la valutazione di Microsoft in merito alle configurazioni del dispositivo e del firmware pronte per ricevere gli aggiornamenti del certificato di avvio protetto in base ai segnali di manutenzione e affidabilità osservati.
Data la grandezza e la diversità delle combinazioni di hardware e firmware nell'ecosistema di Windows, il database fornisce un modo pratico per valutare la conformità agli aggiornamenti raggruppando dispositivi con caratteristiche simili e misurando i risultati degli aggiornamenti reali. Questi dati sulla probabilità sono inclusi negli aggiornamenti cumulativi per consentire a Windows di fornire gli aggiornamenti del certificato di avvio protetto in modo controllato che assegna priorità ai risultati riusciti.
Considerazioni su limitazioni e copertura
Il database con attendibilità elevata riflette i punti in cui Microsoft ha osservato dati di manutenzione sufficienti per valutare la conformità all'aggiornamento del certificato di avvio protetto. La maggior parte di questi dati proviene dai dispositivi client Windows, dove i segnali di manutenzione sono generali e coerenti. Di conseguenza, le piattaforme client sono più rappresentate.
Altri tipi di dispositivo, ad esempio Windows Server e Windows IoT, hanno una rappresentazione inferiore a causa delle differenze nei modelli di distribuzione, nella disponibilità della telemetria e nei flussi di lavoro di aggiornamento. Ciò non indica un supporto ridotto per queste piattaforme. Indica che sono disponibili meno segnali osservati per informare le valutazioni di confidenza. I clienti che distribuiscono gli aggiornamenti dei certificati di avvio protetto in questi ambienti devono pianificare le distribuzioni con attenzione e convalida aggiuntive allineate al modello di distribuzione e ai requisiti operativi.
Struttura e classificazione dei dati
Il database high confidence è organizzato in contenitori di dispositivi che raggruppano dispositivi che condividono gli attributi hardware, firmware e piattaforma comuni. Questo approccio consente alla manutenzione di Windows di valutare il comportamento dell'aggiornamento di avvio protetto a livello di classe del dispositivo anziché per ogni singolo sistema.
A ogni bucket viene assegnata una classificazione confidenza che riflette la valutazione corrente della conformità all'aggiornamento del certificato di avvio protetto. Queste classificazioni vengono visualizzate tramite eventi di Windows, inclusi gli eventi 1801, 1802, 1803 e 1808. Per altre informazioni, vedere Eventi di aggiornamento delle variabili DB e DBX di avvio protetto. La classificazione confidenza è disponibile anche tramite la chiave del Registro di sistema ConfidenceLevel . Per informazioni dettagliate, vedi Aggiornamenti delle chiavi del Registro di sistema per Avvio protetto: dispositivi Windows con aggiornamenti gestiti dall'IT .
Classificazioni confidenza
Il database con attendibilità elevata raggruppa i dispositivi in classificazioni di probabilità che riflettono la valutazione corrente di Microsoft sulla conformità agli aggiornamenti del certificato di avvio protetto e vengono usati per guidare le decisioni di distribuzione.
-
Alta probabilità: I dispositivi in questo gruppo hanno dimostrato, attraverso i dati osservati, di poter aggiornare correttamente il firmware usando i nuovi certificati di avvio protetto.
-
Temporaneamente in pausa: I dispositivi di questo gruppo sono interessati da un problema noto. Per ridurre i rischi, gli aggiornamenti del certificato di avvio protetto vengono sospesi temporaneamente mentre Microsoft e i partner lavorano per ottenere una risoluzione supportata. Potrebbe essere necessario un aggiornamento del firmware. Cerca un evento 1802 per maggiori dettagli.
-
Non supportato - Limitazione nota: I dispositivi in questo gruppo non supportano il percorso di aggiornamento automatico del certificato di avvio protetto a causa di limitazioni hardware o firmware. Per questa configurazione non è attualmente disponibile alcuna risoluzione automatica supportata.
-
In Osservazione - Ulteriori dati necessari: I dispositivi in questo gruppo non sono attualmente bloccati, ma i dati non sono ancora sufficienti per classificarli come confidenza elevata. Gli aggiornamenti del certificato di avvio protetto possono essere posticipati fino a quando non sono disponibili dati sufficienti.
-
Nessun dato osservato : è necessaria un'azione: Microsoft non ha osservato questo dispositivo nei dati di aggiornamento di Avvio protetto. Di conseguenza, gli aggiornamenti automatici dei certificati non possono essere valutati per il dispositivo e è probabile che sia necessaria un'azione dell'amministratore. Questa classificazione non è inclusa nel database con attendibilità elevata e viene emessa da Windows quando il dispositivo non viene trovato nel database.
Pubblicazione del database con attendibilità elevata
Il database high confidence viene pubblicato tramite due meccanismi complementari. Uno supporta la manutenzione automatica di Windows. L'altro fornisce visibilità sui dati sulla fiducia per clienti e partner.
Accesso ai dati su GitHub
Microsoft pubblica su GitHub una versione leggibile dell'high confidence database per fornire trasparenza nei dati usati per valutare la conformità agli aggiornamenti del certificato di avvio protetto. Questa versione include gli attributi del dispositivo utilizzati per formare contenitori confidenza ed è stata progettata per l'ispezione e l'analisi da parte degli esseri umani. Non viene utilizzato direttamente dalla manutenzione di Windows.
I dati sono disponibili nel repository GitHub di Microsoft Secure Boot Objects e possono essere utili ai seguenti destinatari:
-
Amministratori IT e team di sicurezza: Valutare la conformità alla distribuzione di avvio protetto e comprendere quali classi di dispositivi potrebbero essere idonee per gli aggiornamenti dei certificati distribuiti tramite aggiornamenti cumulativi.
-
Produttori di dispositivi: Verifica in che modo le configurazioni di dispositivi e firmware sono rappresentate nell'intero ecosistema di Windows.
-
Altri fornitori di sistemi operativi, tra cui distribuzioni Linux: Comprendere come vengono classificate le configurazioni di dispositivi e firmware e, se applicabile, allinearsi con l'approccio di implementazione a fasi di Microsoft.
I dati vengono aggiornati due volte al mese, allineati agli aggiornamenti mensili della sicurezza il secondo martedì del mese e agli aggiornamenti facoltativi di anteprima non relativi alla sicurezza il quarto martedì del mese.
Dati high confidence inclusi negli aggiornamenti di manutenzione
Una versione firmata del database high confidence è inclusa negli aggiornamenti cumulativi di Windows e viene usata direttamente dalla manutenzione di Windows per valutare la conformità agli aggiornamenti del certificato di avvio protetto. Questi dati sono protetti dall'integrità e valutati in locale, consentendo decisioni di manutenzione anche quando un dispositivo non è visibile alla telemetria Microsoft.
Nel dispositivo i dati vengono archiviati come BucketConfidenceData.cab in:
%SystemRoot%\System32\SecureBootUpdates\
Questa versione integrata con manutenzione contiene una rappresentazione compatta e strutturata dei bucket confidenza. Include solo gli attributi necessari per determinare l'appartenenza ai bucket e la classificazione confidenza associata. I metadati di versione e timestamp garantiscono l'utilizzo dei dati applicabili più recenti. Questa versione è ottimizzata per l'affidabilità, le dimensioni e la sicurezza e non è destinata all'ispezione diretta o alla modifica.
Ricezione più frequente degli aggiornamenti del database Confidenza elevata
I dispositivi che eseguono Windows 11, versione 24H2 o 25H2 possono ricevere gli aggiornamenti del database con attendibilità elevata più frequentemente della frequenza mensile degli aggiornamenti della sicurezza. Oltre agli aggiornamenti mensili della sicurezza, queste versioni ricevono anche aggiornamenti facoltativi in anteprima non relativi alla sicurezza, che potrebbero includere dati più recenti sulla probabilità. L'installazione di questi aggiornamenti consente ai clienti di rimanere più vicini ai dati più recenti sulla sicurezza, pur rimanendo nell'ambito della manutenzione standard di Windows.
Riutilizzo dei dati con probabilità elevata nelle versioni di Windows
In alcuni ambienti, gli amministratori possono scegliere di distribuire il database con attendibilità elevata nelle versioni di Windows supportate precedenti a Windows 11, versione 24H2 o 25H2.
In questo scenario, il database proviene da Windows 11, versione 24H2 o 25H2, che ricevono dati più recenti confidenza tramite aggiornamenti facoltativi di anteprima non relativi alla sicurezza. La distribuzione di questo database consente di valutare le valutazioni della probabilità più recenti nelle versioni di Windows supportate meno recenti prima rispetto agli aggiornamenti mensili della sicurezza. Questo non cambia il modo in cui viene calcolata la confidenza o la modalità di applicazione degli aggiornamenti del certificato di avvio protetto.
Distribuzione del database con attendibilità elevata ad altre versioni di Windows
Per distribuire BucketConfidenceData.cab, usare un processo allineato agli strumenti e alle procedure di distribuzione dell'organizzazione.
-
Ottieni BucketConfidenceData.cab da un sistema Windows 11, versione 24H2 o 25H2 che esegue gli aggiornamenti non relativi alla sicurezza più recenti. Il file si trova in:
%SystemRoot%\System32\SecureBootUpdates\
-
Nei dispositivi di destinazione, come amministratore, creare la seguente directory, se non esiste già:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Distribuire BucketConfidenceData.cab in tale directory.
Alla successiva esecuzione dell'attività pianificata, in genere entro 12 ore, Windows userà questo file se è più recente della versione inclusa negli aggiornamenti di manutenzione.
Modalità di selezione dei dati di confidenza in Windows
Un dispositivo può contenere più copie del database con attendibilità elevata. Per garantire un comportamento coerente, Windows applica un modello di precedenza definito durante la valutazione dei dati di confidenza.
Quando un file di dati confidenza firmato è incluso in un aggiornamento cumulativo, la copia di manutenzione viene usata per impostazione predefinita. Se sono presenti più copie, Windows seleziona la versione più recente applicabile in base alla versione e ai metadati del timestamp.
Serve aiuto?
Vuoi altre opzioni?
Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.
Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.
