En nærmere titt på databasen med høy konfidens

Gjelder for
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Obs!

  • Opprinnelig publiseringsdato: Mars 10, 2026
  • KB-ID: 5084464

I denne artikkelen

Innledning og omfang

Databasen med høy konfidens støtter hvordan Windows leverer sertifikatoppdateringer for sikker oppstart, ved å identifisere enhets- og fastvarekonfigurasjoner som har vist vellykket oppdateringsvirkemåte basert på observerte service- og pålitelighetssignaler.

Denne artikkelen forklarer hva databasen med høy konfidens representerer, hvordan konfidens bestemmes, og hvordan dataene publiseres og brukes av Windows-vedlikehold. Den er ment for IT-teknikere, sikkerhetsteam og kundestøtteteknikere som ønsker å forstå hvordan konfidensdata informerer beslutninger om oppdateringer av Secure Boot-sertifikater, inkludert hvordan disse dataene vises gjennom kumulative oppdateringer og publiseres for å gjøre kunden synlig.

tilbake til toppen

Hva Databasen med høy konfidens representerer

Databasen med høy konfidens gjenspeiler Microsofts vurdering av hvilke enhets- og fastvarekonfigurasjoner som er klare til å motta sertifikatoppdateringer for sikker oppstart, basert på observerte service- og pålitelighetssignaler.

På grunn av omfanget og mangfoldet av maskinvare- og fastvarekombinasjoner i Windows-økosystemet, gir databasen en praktisk måte å evaluere oppdateringsklargjøring på ved å gruppere enheter med lignende egenskaper og måle virkelige oppdateringsresultater. Disse konfidensdataene er inkludert i kumulative oppdateringer for å hjelpe Windows med å levere oppdateringer for Secure Boot-sertifikat på en kontrollert måte som prioriterer vellykkede resultater.

tilbake til toppen

Begrensninger og dekningshensyn

Databasen med høy konfidens gjenspeiler hvor Microsoft har tilstrekkelig observert vedlikeholdsdata til å vurdere hvorvidt oppdateringen til Secure Boot-sertifikatet er klar. Mesteparten av disse dataene kommer fra Windows-klientenheter, der vedlikeholdssignalene er brede og konsistente. Som et resultat er klientplattformer tyngre representert.

Andre enhetstyper, for eksempel Windows Server og Windows IoT, har lavere representasjon på grunn av forskjeller i distribusjonsmønstre, telemetritilgjengelighet og oppdateringsarbeidsflyter. Dette indikerer ikke redusert støtte for disse plattformene. Det gjenspeiler at færre observerte signaler er tilgjengelige som grunnlag for konfidensvurderinger. Kunder som distribuerer Secure Boot-sertifikatoppdateringer i disse miljøene, bør planlegge distribusjoner med ekstra fokus og validering i henhold til distribusjonsmodellen og driftskravene.

tilbake til toppen

Datastruktur og klassifisering

Databasen med høy konfidens er organisert i enhetssamlinger som grupperer enheter som deler felles maskinvare-, fastvare- og plattformattributter. Denne fremgangsmåten gjør det mulig for Windows-vedlikehold å evaluere oppdateringsvirkemåten for sikker oppstart på enhetsklassenivå i stedet for per enkelt system.

Hver samling tilordnes en konfidensklassifisering som gjenspeiler den gjeldende vurderingen av oppdateringen til Secure Boot-sertifikatet. Disse klassifiseringene vises gjennom Windows-hendelser, inkludert hendelsene 1801, 1802, 1803 og 1808. Hvis du vil ha mer informasjon, kan du se Sikker oppstart DB- og DBX-variabeloppdateringshendelser. Konfidensklassifiseringen er også tilgjengelig via registernøkkelen Konfidensnivå . Se Registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer for mer informasjon.

tilbake til toppen

Konfidensklassifiseringer

Databasen med høy konfidens grupperer enheter i konfidensklassifiseringer som gjenspeiler Microsofts gjeldende vurdering av at Secure Boot-sertifikatoppdateringen er klar, og brukes til å veilede distribusjonsbeslutninger.

  • Høy konfidens: Enheter i denne gruppen har demonstrert, gjennom observerte data, at de kan oppdatere fastvaren ved hjelp av de nye Secure Boot-sertifikatene.
  • Midlertidig stanset: Enheter i denne gruppen påvirkes av et kjent problem. Oppdateringer av Secure Boot-sertifikater stanses midlertidig for å redusere risikoen, mens Microsoft og partnere arbeider med en løsning som støttes. Dette kan kreve en fastvareoppdatering. Se etter en 1802-hendelse for mer informasjon.
  • Støttes ikke – kjent begrensning: Enheter i denne gruppen støtter ikke den automatiserte oppdateringsbanen for Secure Boot-sertifikat på grunn av maskinvare- eller fastvarebegrensninger. Ingen støttet automatisk løsning er for øyeblikket tilgjengelig for denne konfigurasjonen.
  • Under observasjon – mer data trengs: Enheter i denne gruppen er ikke blokkert for øyeblikket, men det finnes foreløpig ikke nok data til å klassifisere dem som høy konfidens. Sertifikatoppdateringer for sikker oppstart kan bli utsatt til tilstrekkelig data er tilgjengelig.
  • Ingen data observert – handling kreves: Microsoft har ikke observert denne enheten i oppdateringsdata for sikker oppstart. Som et resultat av dette kan ikke automatiske sertifikatoppdateringer evalueres for denne enheten, og administratorhandling kreves sannsynligvis. Denne klassifiseringen er ikke inkludert i databasen med høy konfidens og sendes ut av Windows når enheten ikke finnes i databasen.

tilbake til toppen

Publisere databasen med høy konfidens

Databasen med høy konfidens publiseres gjennom to komplementære mekanismer. Én støtter automatisert Windows-vedlikehold. Den andre gir innsyn i konfidensdata for kunder og partnere.

tilbake til toppen

Få tilgang til dataene på GitHub

Microsoft publiserer en lesbar versjon av High Confidence-databasen på GitHub for å gi gjennomsiktighet i dataene som brukes til å vurdere klargjøringen av Secure Boot-sertifikatoppdateringen. Denne versjonen inneholder enhetsattributtene som brukes til å danne konfidenssamlinger, og er beregnet for inspeksjon og analyse av mennesker. Den brukes ikke direkte av Windows-vedlikehold.

Dataene er tilgjengelige på GitHub-repositoriet for Microsoft Secure Boot Objects og kan være nyttige for følgende målgrupper:

  • IT-administratorer og sikkerhetsteam: Evaluere klargjøring av Sikker oppstart-distribusjon og forstå hvilke enhetsklasser som kan være kvalifisert for sertifikatoppdateringer som leveres gjennom kumulative oppdateringer.
  • Produsenter av enheter: Se gjennom hvordan enhets- og fastvarekonfigurasjoner representeres på tvers av Windows-økosystemet.
  • Andre operativsystemleverandører, inkludert Linux-distribusjoner: Forstå hvordan enhets- og fastvarekonfigurasjoner klassifiseres og, der det er aktuelt, justere etter Microsofts tilnærming for faset utrulling.

Dataene oppdateres to ganger i måneden, justert etter månedlige sikkerhetsoppdateringer den andre tirsdagen i måneden og valgfrie ikke-sikkerhetsrelaterte forhåndsversjonsoppdateringer den fjerde tirsdagen i måneden.

tilbake til toppen

Data med høy konfidens inkludert i serviceoppdateringer

En signert versjon av databasen med høy konfidens er inkludert i kumulative Windows-oppdateringer og brukes direkte av Windows-tjenesten for å evaluere hvorvidt Secure Boot-sertifikatoppdateringen er klar. Disse dataene er integritetsbeskyttet og evaluert lokalt, slik at servicebeslutninger kan tas selv når en enhet ikke er synlig for Microsoft-telemetri.

På enheten lagres dataene som BucketConfidenceData.cab under:

Obs!

%SystemRoot%\System32\SecureBootUpdates\

Denne serviceintegrerte versjonen inneholder en kompakt, strukturert representasjon av konfidensbøtter. Den inneholder bare attributtene som kreves for å bestemme samlingsmedlemskap og den tilknyttede konfidensklassifiseringen. Versjons- og tidsstempelmetadata sikrer at de nyeste aktuelle dataene brukes. Denne versjonen er optimalisert for pålitelighet, størrelse og sikkerhet, og er ikke ment for direkte inspeksjon eller endring.

tilbake til toppen

Motta databaseoppdateringer med høy konfidens oftere

Enheter som kjører Windows 11, versjon 24H2 eller 25H2, kan motta databaseoppdateringer med høy konfidens oftere enn den månedlige sikkerhetsoppdateringsfrekvensen. I tillegg til månedlige sikkerhetsoppdateringer får disse versjonene også valgfrie ikke-sikkerhetsrelaterte forhåndsversjonsoppdateringer, som kan inkludere nyere konfidensdata. Hvis du installerer disse oppdateringene, kan kundene holde seg nærmere de nyeste konfidensdataene samtidig som de holder seg innenfor standard Windows-vedlikehold.

tilbake til toppen

Gjenbruk av High Confidence-data på tvers av Windows-versjoner

I noen miljøer kan administratorer velge å distribuere databasen med høy konfidens til støttede Windows-versjoner som er eldre enn Windows 11, versjon 24H2 eller 25H2.

I dette scenariet hentes databasen fra Windows 11, versjon 24H2 eller 25H2, som mottar nyere konfidensdata gjennom valgfrie ikke-sikkerhetsrelaterte forhåndsversjonsoppdateringer. Distribusjon av denne databasen gjør det mulig å evaluere nyere konfidensvurderinger i eldre støttede Windows-versjoner tidligere enn gjennom månedlige sikkerhetsoppdateringer alene. Dette endrer ikke hvordan konfidens beregnes eller hvordan oppdateringer for Secure Boot-sertifikater brukes.

tilbake til toppen

Distribuere databasen med høy konfidens til andre Windows-versjoner

Når du skal distribuere BucketConfidenceData.cab, bruker du en prosess som er justert etter organisasjonens distribusjonsverktøy og praksis.

  1. BucketConfidenceData.cab fra et Windows 11-, versjon 24H2- eller 25H2-system som kjører de nyeste ikke-sikkerhetsrelaterte oppdateringene. Filen er plassert på:

    Obs!

    %SystemRoot%\System32\SecureBootUpdates\

  2. På målenhetene må du som administrator opprette følgende katalog hvis den ikke allerede finnes:

    Obs!

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Distribuer BucketConfidenceData.cab i denne katalogen.

Neste gang den planlagte oppgaven kjøres, vanligvis innen 12 timer, bruker Windows denne filen hvis den er nyere enn versjonen som følger med serviceoppdateringene.

tilbake til toppen

Slik velger Windows konfidensdata

En enhet kan inneholde mer enn én kopi av databasen med høy konfidens. For å sikre konsekvent virkemåte bruker Windows en definert prioritetsmodell ved evaluering av konfidensdata.

Når en signert konfidensdatafil er inkludert i en kumulativ oppdatering, brukes denne vedlikeholdskopien som standard. Hvis det finnes flere kopier, velger Windows den nyeste gjeldende versjonen basert på versjons- og tidsstempelmetadata.

tilbake til toppen