Pradinė publikavimo data: 2026 m. kovo 10 d.
KB ID: 5084464
Šiame straipsnyje
Įvadas ir taikymo sritis
Didelio patikimumo duomenų bazė palaiko, kaip "Windows" teikia saugiosios įkrovos sertifikatų naujinimus, identifikdama įrenginio ir programinės-aparatinės įrangos konfigūracijas, kurios įrodė sėkmingą naujinimo veikimą, atsižvelgdama į pastebėtus priežiūros ir patikimumo signalus.
Šiame straipsnyje aiškinama, kas yra didelio patikimumo duomenų bazė, kaip nustatomas patikimumas ir kaip duomenys publikuojami ir naudojami "Windows" priežiūros. Ji skirta IT specialistams, saugos komandoms ir palaikymo inžinieriams, norintiems suprasti, kaip patikimumo duomenys informuoja apie saugaus paleidimo sertifikato naujinimo sprendimus, įskaitant tai, kaip šie duomenys pateikiami kaupiamuose naujinimuose ir publikuojami, kad būtų matomi klientams.
Ką nurodo didelio patikimumo duomenų bazė
Didelio patikimumo duomenų bazė atspindi "Microsoft" vertinimą, kurios įrenginio ir programinės-aparatinės įrangos konfigūracijos yra parengtos gauti saugiosios įkrovos sertifikato naujinimus, atsižvelgiant į pastebėtus priežiūros ir patikimumo signalus.
Atsižvelgiant į "Windows" ekosistemos aparatūros ir programinės-aparatinės įrangos derinių apimtį ir įvairovę, duomenų bazėje galima praktiškai įvertinti pasirengimą naujinti grupuojant įrenginius su panašiomis savybėmis ir vertinant realiojo naujinimo rezultatus. Šie patikimumo duomenys yra įtraukti į kaupiamuosius naujinimus, kad "Windows" galėtų teikti saugiosios įkrovos sertifikato naujinimus kontroliuojamu būdu, kuris teikia prioritetą sėkmingų rezultatų prioritetams.
Apribojimai ir aprėpties aspektai
Didelio patikimumo duomenų bazė nurodo, kur "Microsoft" turi pakankamai stebimų priežiūros duomenų, kad įvertintų saugiosios įkrovos sertifikato parengimą naujinti. Dauguma šių duomenų gaunami iš "Windows" kliento įrenginių, kur priežiūros signalai yra platūs ir nuoseklūs. Todėl klientų platformos yra labiau atstovaujamos.
Kitų tipų įrenginiuose, pvz., Windows Server ir "Windows IoT", dėl diegimo modelių skirtumų, telemetrijos prieinamumo ir naujinimo darbo eigų pateiktis yra mažesnė. Tai nereiškia sumažinto šių platformų palaikymo. Tai rodo, kad patikimumo vertinimams gauti galima mažiau stebimų signalų. Klientai, diegiantys saugiosios įkrovos sertifikato naujinimus šiose aplinkose, turėtų suplanuoti diegimus su papildomu dėmesio sutelkimu ir tikrinimu, suderintais su diegimo modeliu ir veiklos reikalavimais.
Duomenų struktūra ir klasifikacija
Didelio patikimumo duomenų bazė suskirstytos į įrenginių talpyklas, kuriose grupuojami įrenginiai, bendrinantys įprastus aparatūros, programinės-aparatinės įrangos ir platformos atributus. Šis metodas leidžia "Windows" priežiūrai įvertinti saugiosios įkrovos naujinimo veikimą įrenginio klasės lygiu, o ne atskiroje sistemoje.
Kiekvienai talpyklai priskiriama patikimumo klasifikacija, kuri atspindi dabartinį saugiosios įkrovos sertifikato parengimo naujinti vertinimą. Šios klasifikacijos taikomos per "Windows" įvykius, įskaitant 1801, 1802, 1803 ir 1808 įvykius. Daugiau informacijos žr. Saugiosios įkrovos DB ir DBX kintamojo naujinimo įvykiai. Patikimumo klasifikacija taip pat pasiekiama naudojant ConfidenceLevel registro raktą. Išsamios informacijos žr . Registro rakto naujinimai, skirti saugiai įkrovai: "Windows" įrenginiai su IT valdomais naujinimais .
Patikimumo klasifikacijos
Didelio patikimumo duomenų bazė grupuoja įrenginius į patikimumo klasifikacijas, kurios atspindi "Microsoft" dabartinį saugiosios įkrovos sertifikato parengimo naujinti parengimą ir yra naudojamos diegimo sprendimams priimti.
-
Didelis patikimumas: Šios grupės įrenginiai, naudodamiesi stebimais duomenimis, parodė, kad jie gali sėkmingai atnaujinti programinę-aparatinę įrangą naudodami naujus saugiosios įkrovos sertifikatus.
-
Laikinai pristabdyta: Šios grupės įrenginiams kyla žinoma problema. Siekiant sumažinti riziką, saugiosios įkrovos sertifikato naujinimai laikinai pristabdyti, kol "Microsoft" ir partneriai dirba su palaikoma skiriamąja geba. Gali reikėti atnaujinti programinę-aparatinę įrangą. Daugiau informacijos ieškokite 1802 įvykio.
-
Nepalaikoma – žinomas apribojimas: Šios grupės įrenginiai nepalaiko automatinio saugiosios įkrovos sertifikato naujinimo kelio dėl aparatūros arba programinės-aparatinės įrangos apribojimų. Šiuo metu nėra palaikomos automatinės šios konfigūracijos skiriamosios gebos.
-
Dalyje Stebėjimas – reikia daugiau duomenų: Šios grupės įrenginiai šiuo metu nėra blokuojami, tačiau dar nepakanka duomenų, kad būtų galima klasifikuoti juos kaip didelio patikimumo. Saugiosios įkrovos sertifikato naujinimai gali būti atidėti, kol atsiras pakankamai duomenų.
-
Duomenų nerasta – būtina imtis veiksmų: "Microsoft" nepastebėjo šio įrenginio saugiosios įkrovos naujinimo duomenyse. Todėl negalima įvertinti automatinio sertifikato naujinimų šiame įrenginyje ir gali reikėti administratoriaus veiksmų. Ši klasifikacija neįtraukiama į didelio patikimumo duomenų bazę ir ją "Windows" pateikia, kai įrenginio duomenų bazėje nėra.
Didelio patikimumo duomenų bazės publikavimas
Didelio patikimumo duomenų bazė skelbiama dviem papildomais mechanizmais. Vienas palaiko automatinį "Windows" aptarnavimą. Kita suteikia klientams ir partneriams patikimumo duomenų matomumą.
Prieiga prie duomenų "GitHub"
"Microsoft" skelbia žmonėms perskaitomą "GitHub" didelio patikimumo duomenų bazės versiją, kad užtikrintų duomenų, naudojamų vertinant saugiosios įkrovos sertifikato parengimą naujinti, skaidrumą. Ši versija apima įrenginio atributus, naudojamus patikimumo talpykloms sudaryti, ir yra skirti žmonėms tikrinti ir analizuoti. Jo tiesiogiai nenaudoja "Windows" priežiūra.
Duomenys pasiekiami "Microsoft" saugiosios įkrovos objektų "GitHub" saugykloje ir gali būti naudingi šioms auditorijoms:
-
IT administratoriai ir saugos komandos: Įvertinkite saugiosios įkrovos diegimo parengimą ir supraskite, kurios įrenginių klasės gali būti tinkamos gauti sertifikatų naujinimus, pristatytus per kaupiamuosius naujinimus.
-
Įrenginių gamintojai: Peržiūrėkite, kaip atvaizduojamos įrenginio ir programinės-aparatinės įrangos konfigūracijos visoje "Windows" ekosistemoje.
-
Kiti operacinės sistemos tiekėjai, įskaitant "Linux" skirstinius: Supraskite, kaip klasifikuojamos įrenginio ir programinės-aparatinės įrangos konfigūracijos, ir, jei taikoma, suderinkite su "Microsoft" etapais taikomu diegimo metodu.
Duomenys atnaujinami du kartus per mėnesį, sulygiuojami su mėnesio saugos naujinimais antrąjį mėnesio antradienį ir pasirinktiniais su sauga nesusijusiais peržiūros naujinimais ketvirtą mėnesio antradienį.
Didelio patikimumo duomenys, įtraukti į priežiūros naujinimus
Pasirašyta didelio patikimumo duomenų bazės versija įtraukta į "Windows" kaupiamuosius naujinimus ir ją tiesiogiai naudoja "Windows" priežiūra, kad įvertintų saugiosios įkrovos sertifikato parengimą naujinti. Šie duomenys yra apsaugoti ir įvertinti vietoje, todėl priimami priežiūros sprendimai net tada, kai įrenginys nematomas "Microsoft" telemetrijai.
Įrenginyje duomenys saugomi kaip BucketConfidenceData.cab dalyje:
%SystemRoot%\System32\SecureBootUpdates\
Šioje priežiūros integruotoje versijoje yra kompaktiškas, struktūrinis patikimumo talpyklų atvaizdavimas. Jame yra tik atributai, reikalingi nustatyti narystę talpykloje ir susijusią patikimumo klasifikaciją. Versijos ir laiko žymos metaduomenys užtikrina, kad būtų naudojami naujausi taikomi duomenys. Ši versija optimizuota patikimumui, dydžiui ir saugai ir nėra skirta tiesioginiam tikrinimui ar modifikavimui.
Dažniau gaunami didelio patikimumo duomenų bazės naujinimai
Įrenginiai, kuriuose veikia Windows 11 24H2 arba 25H2 versijos, gali gauti didelio patikimumo duomenų bazės naujinimus dažniau nei mėnesinis saugos naujinimas. Be mėnesinių saugos naujinimų, šios versijos taip pat gauna pasirinktinius su sauga nesusijusius peržiūros naujinimus, kurie gali apimti naujesnius patikimumo duomenis. Šių naujinimų diegimas leidžia klientams išlaikyti arčiau naujausių patikimumo duomenų, kol jie lieka įprastoje "Windows" priežiūros programoje.
Didelio patikimumo duomenų naudojimas visose "Windows" versijose
Kai kuriose aplinkose administratoriai gali pasirinkti diegti didelio patikimumo duomenų bazę palaikomoms "Windows" versijoms, senesnėms nei Windows 11, 24H2 arba 25H2 versijoms.
Tokiu atveju duomenų bazė gaunama iš Windows 11 24H2 arba 25H2 versijos, kurios gauna naujesnius patikimumo duomenis per pasirinktinius ne saugos peržiūros naujinimus. Įdiegus šią duomenų bazę, senesnėse palaikomose "Windows" versijose galima įvertinti naujesnius patikimumo vertinimus nei tik mėnesiniais saugos naujinimais. Tai nekeičia, kaip apskaičiuojamas patikimumas ir kaip taikomi saugiosios įkrovos sertifikato naujinimai.
Didelio patikimumo duomenų bazės diegimas kitose "Windows" versijose
Norėdami diegti BucketConfidenceData.cab, naudokite procesą, suderintą su organizacijos diegimo įrankiais ir praktika.
-
Gaukite BucketConfidenceData.cab iš Windows 11 24H2 arba 25H2 versijos sistemos, naudojančios naujausius su sauga nesusijusius naujinimus. Failas yra:
%SystemRoot%\System32\SecureBootUpdates\
-
Paskirties įrenginiuose, kaip administratorius, sukurkite šį katalogą, jei jo dar nėra:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Diegti BucketConfidenceData.cab tame kataloge.
Kai kitą kartą bus vykdoma suplanuota užduotis, paprastai per 12 valandų, "Windows" naudos šį failą, jei jis naujesnis nei versija, įtraukta į priežiūros naujinimus.
Kaip "Windows" pasirenka patikimumo duomenis
Įrenginyje gali būti daugiau nei viena didelio patikimumo duomenų bazės kopija. Kad užtikrintų nuoseklų veikimą, "Windows" taiko apibrėžtą pirmumo modelį vertindama patikimumo duomenis.
Kai pasirašytas patikimumo duomenų failas įtraukiamas į kaupiamąjį naujinimą, ta priežiūros kopija naudojama pagal numatytuosius parametrus. Jei yra kelios kopijos, "Windows" pasirenka naujausią taikomą versiją pagal versijos ir laiko žymos metaduomenis.
