원래 게시 날짜: 2026년 3월 10일
KB ID: 5084464
이 문서에서
소개 및 scope
높은 신뢰도 데이터베이스는 Windows가 관찰된 서비스 및 안정성 신호를 기반으로 성공적인 업데이트 동작을 입증한 디바이스 및 펌웨어 구성을 식별하여 보안 부팅 인증서 업데이트를 제공하는 방법을 지원합니다.
이 문서에서는 High Confidence Database가 나타내는 내용, 신뢰도가 결정되는 방법 및 Windows 서비스가 데이터를 게시하고 사용하는 방법을 설명합니다. IT 전문가, 보안 팀 및 지원 엔지니어가 신뢰도 데이터가 보안 부팅 인증서 업데이트 결정을 알리는 방법을 이해하려는 엔지니어를 위한 것입니다. 여기에는 누적 업데이트를 통해 이 데이터가 노출되고 고객 가시성을 위해 게시되는 방법이 포함됩니다.
높은 신뢰도 데이터베이스가 나타내는 내용
높은 신뢰도 데이터베이스는 관찰된 서비스 및 안정성 신호를 기반으로 보안 부팅 인증서 업데이트를 받을 준비가 된 디바이스 및 펌웨어 구성에 대한 Microsoft의 평가를 반영합니다.
Windows 에코시스템에서 하드웨어 및 펌웨어 조합의 규모와 다양성을 고려할 때 데이터베이스는 유사한 특성을 가진 디바이스를 그룹화하고 실제 업데이트 결과를 측정하여 업데이트 준비 상태를 평가하는 실용적인 방법을 제공합니다. 이 신뢰도 데이터는 Windows가 성공적인 결과의 우선 순위를 지정하는 제어된 방식으로 보안 부팅 인증서 업데이트를 제공하는 데 도움이 되는 누적 업데이트에 포함됩니다.
제한 사항 및 적용 범위 고려 사항
높은 신뢰도 데이터베이스는 Microsoft가 보안 부팅 인증서 업데이트 준비 상태를 평가하기에 충분한 관찰된 서비스 데이터가 있는 위치를 반영합니다. 이 데이터의 대부분은 서비스 신호가 광범위하고 일관된 Windows 클라이언트 디바이스에서 제공됩니다. 결과적으로 클라이언트 플랫폼이 더 많이 표시됩니다.
Windows Server 및 Windows IoT와 같은 다른 디바이스 유형은 배포 패턴, 원격 분석 가용성 및 업데이트 워크플로의 차이로 인해 표현이 낮습니다. 이는 이러한 플랫폼에 대한 지원이 감소했음을 의미하지는 않습니다. 신뢰도 평가를 알리기 위해 더 적은 수의 관찰된 신호를 사용할 수 있음을 반영합니다. 이러한 환경에서 보안 부팅 인증서 업데이트를 배포하는 고객은 배포 모델 및 운영 요구 사항에 맞게 추가 포커스 및 유효성 검사를 사용하여 배포를 계획해야 합니다.
데이터 구조 및 분류
높은 신뢰도 데이터베이스는 공통 하드웨어, 펌웨어 및 플랫폼 특성을 공유하는 디바이스를 그룹화하는 디바이스 버킷으로 구성됩니다. 이 방법을 사용하면 Windows 서비스가 개별 시스템이 아닌 디바이스 클래스 수준에서 보안 부팅 업데이트 동작을 평가할 수 있습니다.
각 버킷에는 보안 부팅 인증서 업데이트 준비 상태의 현재 평가를 반영하는 신뢰도 분류가 할당됩니다. 이러한 분류는 이벤트 1801, 1802, 1803 및 1808을 포함하여 Windows 이벤트를 통해 표시됩니다. 자세한 내용은 보안 부팅 DB 및 DBX 변수 업데이트 이벤트를 참조하세요. 신뢰도 분류는 ConfidenceLevel 레지스트리 키를 통해서도 사용할 수 있습니다. 자세한 내용은 보안 부팅: IT 관리형 업데이트가 있는 Windows 디바이스에 대한 레지스트리 키 업데이트를 참조하세요 .
신뢰도 분류
높은 신뢰도 데이터베이스는 Microsoft의 보안 부팅 인증서 업데이트 준비 상태를 반영하고 배포 결정을 안내하는 데 사용되는 신뢰도 분류로 디바이스를 그룹화합니다.
-
높은 신뢰도: 이 그룹의 디바이스는 관찰된 데이터를 통해 새 보안 부팅 인증서를 사용하여 펌웨어를 성공적으로 업데이트할 수 있음을 입증했습니다.
-
일시적으로 일시 중지됨: 이 그룹의 디바이스는 알려진 문제의 영향을 받습니다. 위험을 줄이기 위해 Microsoft와 파트너가 지원되는 해결을 위해 노력하는 동안 보안 부팅 인증서 업데이트가 일시적으로 일시 중지됩니다. 이렇게 하려면 펌웨어 업데이트가 필요할 수 있습니다. 자세한 내용은 1802 이벤트를 찾습니다.
-
지원되지 않음 - 알려진 제한 사항: 이 그룹의 디바이스는 하드웨어 또는 펌웨어 제한으로 인해 자동화된 보안 부팅 인증서 업데이트 경로를 지원하지 않습니다. 현재 이 구성에 지원되는 자동 해상도를 사용할 수 없습니다.
-
관찰에서 - 더 많은 데이터가 필요합니다. 이 그룹의 디바이스는 현재 차단되지 않지만 아직 높은 신뢰도로 분류하기에 충분한 데이터가 없습니다. 보안 부팅 인증서 업데이트는 충분한 데이터를 사용할 수 있을 때까지 지연될 수 있습니다.
-
관찰된 데이터 없음 - 작업이 필요합니다. Microsoft는 보안 부팅 업데이트 데이터에서 이 디바이스를 관찰하지 않았습니다. 따라서 이 디바이스에 대해 자동 인증서 업데이트를 평가할 수 없으며 관리자 작업이 필요할 수 있습니다. 이 분류는 높은 신뢰도 데이터베이스에 포함되지 않으며 디바이스가 데이터베이스에 없는 경우 Windows에서 내보냅니다.
높은 신뢰도 데이터베이스 게시
높은 신뢰도 데이터베이스는 두 가지 보완 메커니즘을 통해 게시됩니다. 하나는 자동화된 Windows 서비스를 지원합니다. 다른 기능은 고객 및 파트너에 대한 신뢰도 데이터에 대한 가시성을 제공합니다.
GitHub에서 데이터 액세스
Microsoft는 보안 부팅 인증서 업데이트 준비 상태를 평가하는 데 사용되는 데이터에 대한 투명성을 제공하기 위해 사람이 읽을 수 있는 버전의 High Confidence Database를 GitHub에 게시합니다. 이 버전에는 신뢰도 버킷을 형성하는 데 사용되는 디바이스 특성이 포함되어 있으며, 인간에 의한 검사 및 분석을 위한 것입니다. Windows 서비스에 직접 사용되지 않습니다.
데이터는 Microsoft 보안 부팅 개체 GitHub 리포지토리 에서 사용할 수 있으며 다음 대상에게 유용할 수 있습니다.
-
IT 관리자 및 보안 팀: 보안 부팅 배포 준비를 평가하고 누적 업데이트를 통해 제공되는 인증서 업데이트에 적합한 디바이스 클래스를 이해합니다.
-
디바이스 제조업체: Windows 에코시스템 전체에서 디바이스 및 펌웨어 구성을 나타내는 방법을 검토합니다.
-
Linux 배포를 비롯한 기타 운영 체제 공급업체: 디바이스 및 펌웨어 구성을 분류하는 방법과 해당하는 경우 Microsoft의 단계적 롤아웃 접근 방식에 맞게 조정하는 방법을 이해합니다.
데이터는 매월 두 번 업데이트되며, 매월 두 번째 화요일의 월별 보안 업데이트 및 매월 네 번째 화요일에 선택적 비보안 미리 보기 업데이트에 맞춰 업데이트됩니다.
서비스 업데이트에 포함된 높은 신뢰도 데이터
서명된 버전의 High Confidence Database는 Windows 누적 업데이트에 포함되며 Windows 서비스가 보안 부팅 인증서 업데이트 준비 상태를 평가하는 데 직접 사용됩니다. 이 데이터는 무결성이 보호되고 로컬로 평가되므로 디바이스가 Microsoft 원격 분석에 표시되지 않는 경우에도 서비스 결정을 내릴 수 있습니다.
디바이스에서 데이터는 아래 의BucketConfidenceData.cab 저장됩니다.
%SystemRoot%\System32\SecureBootUpdates\
이 서비스 통합 버전에는 신뢰도 버킷의 컴팩트하고 구조화된 표현이 포함되어 있습니다. 여기에는 버킷 멤버 자격 및 관련 신뢰도 분류를 결정하는 데 필요한 특성만 포함됩니다. 버전 및 타임스탬프 메타데이터는 가장 최근에 적용 가능한 데이터가 사용되도록 합니다. 이 버전은 안정성, 크기 및 보안에 최적화되어 있으며 직접 검사 또는 수정을 위한 것이 아닙니다.
신뢰도가 높은 데이터베이스 업데이트를 더 자주 받음
Windows 11 버전 24H2 또는 25H2를 실행하는 디바이스는 월별 보안 업데이트 주기보다 높은 신뢰도 데이터베이스 업데이트를 더 자주 받을 수 있습니다. 이러한 버전은 월별 보안 업데이트 외에도 새로운 신뢰도 데이터를 포함할 수 있는 선택적 비보안 미리 보기 업데이트를 받습니다. 이러한 업데이트를 설치하면 고객은 표준 Windows 서비스 내에 남아 있는 동안 최신 신뢰도 데이터에 더 가깝게 유지할 수 있습니다.
Windows 버전에서 높은 신뢰도 데이터 다시 사용
일부 환경에서 관리자는 Windows 11 버전 24H2 또는 25H2 이전의 지원되는 Windows 버전에 높은 신뢰도 데이터베이스를 배포하도록 선택할 수 있습니다.
이 시나리오에서 데이터베이스는 선택적 비보안 미리 보기 업데이트를 통해 최신 신뢰도 데이터를 수신하는 Windows 11 버전 24H2 또는 25H2에서 제공됩니다. 이 데이터베이스를 배포하면 월별 보안 업데이트만으로도 지원되는 이전 Windows 버전에서 최신 신뢰도 평가를 더 빨리 평가할 수 있습니다. 이는 신뢰도 계산 방법 또는 보안 부팅 인증서 업데이트가 적용되는 방식을 변경하지 않습니다.
다른 Windows 버전에 높은 신뢰도 데이터베이스 배포
BucketConfidenceData.cab배포하려면 organization 배포 도구 및 사례에 맞는 프로세스를 사용합니다.
-
최신 비보안 업데이트를 실행하는 Windows 11 버전 24H2 또는 25H2 시스템에서 BucketConfidenceData.cab가져옵니다. 파일은 다음 위치에 있습니다.
%SystemRoot%\System32\SecureBootUpdates\
-
대상 디바이스에서 관리자 권한으로 아직 없는 경우 다음 디렉터리를 만듭니다.
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
해당 디렉터리에 BucketConfidenceData.cab 배포합니다.
예약된 작업이 다음에 실행될 때 일반적으로 12시간 이내에 Windows는 서비스 업데이트에 포함된 버전보다 최신인 경우 이 파일을 사용합니다.
Windows에서 신뢰도 데이터를 선택하는 방법
디바이스에 둘 이상의 높은 신뢰도 데이터베이스 복사본이 포함될 수 있습니다. 일관된 동작을 보장하기 위해 Windows는 신뢰도 데이터를 평가할 때 정의된 우선 순위 모델을 적용합니다.
서명된 신뢰도 데이터 파일이 누적 업데이트에 포함된 경우 해당 서비스 복사본은 기본적으로 사용됩니다. 여러 복사본이 있는 경우 Windows는 버전 및 타임스탬프 메타데이터에 따라 가장 최근에 적용 가능한 버전을 선택합니다.
