Opprinnelig publiseringsdato: 10. mars 2026 kl.
KB-ID: 5084464
I denne artikkelen
Innføring og omfang
High Confidence-databasen støtter hvordan Windows leverer sertifikatoppdateringer for sikker oppstart ved å identifisere enhets- og fastvarekonfigurasjoner som har vist vellykket oppdateringsvirkemåte basert på observerte service- og pålitelighetssignaler.
Denne artikkelen forklarer hva databasen med høy visshet representerer, hvordan konfidens bestemmes og hvordan dataene publiseres og brukes av Windows-service. Den er ment for IT-teknikere, sikkerhetsteam og kundestøtteteknikere som ønsker å forstå hvordan konfidensdata informerer beslutninger om sikker oppstart av sertifikatoppdateringer, inkludert hvordan disse dataene vises gjennom kumulative oppdateringer og publiseres for kundesynlighet.
Hva databasen med høy visshet representerer
High Confidence Database gjenspeiler Microsofts vurdering av hvilke enhets- og fastvarekonfigurasjoner som er klare til å motta sertifikatoppdateringer for sikker oppstart basert på observerte service- og pålitelighetssignaler.
Med tanke på skalaen og mangfoldet av kombinasjoner av maskinvare og fastvare i Windows-økosystemet, er databasen en praktisk måte å evaluere oppdateringsberedskapen på ved å gruppere enheter med lignende egenskaper og måle resultater fra virkelige oppdateringer. Denne konfidensdataene er inkludert i kumulative oppdateringer for å hjelpe Windows med å levere sertifikatoppdateringer for sikker oppstart på en kontrollert måte som prioriterer vellykkede resultater.
Begrensninger og vurderinger av dekning
Databasen med høy visshet gjenspeiler hvor Microsoft har tilstrekkelig observert servicedata til å vurdere klargjøring av sikker oppstartssertifikatoppdatering. De fleste av disse dataene kommer fra Windows-klientenheter, der servicesignalene er brede og konsekvente. Som et resultat er klientplattformer mer representert.
Andre enhetstyper, for eksempel Windows Server og Windows IoT, har lavere representasjon på grunn av forskjeller i distribusjonsmønstre, telemetritilgjengelighet og oppdatering av arbeidsflyter. Dette indikerer ikke redusert støtte for disse plattformene. Det gjenspeiler at færre observerte signaler er tilgjengelige for å informere konfidensvurderinger. Kunder som distribuerer sertifikatoppdateringer for sikker oppstart i disse miljøene, bør planlegge distribusjoner med ekstra fokus og validering justert etter distribusjonsmodellen og driftskravene.
Datastruktur og klassifisering
Databasen med høy visshet er organisert i enhetssamlinger som grupperer enheter som deler vanlige maskinvare-, fastvare- og plattformattributter. Denne fremgangsmåten gjør det mulig for Windows-service å evaluere oppdateringsvirkemåten for sikker oppstart på et enhetsklassenivå i stedet for per individuelle system.
Hver samling tilordnes en konfidensklassifisering som gjenspeiler den gjeldende vurderingen av klargjøring av sertifikat for sikker oppstart. Disse klassifiseringene vises gjennom Windows-hendelser, inkludert hendelser 1801, 1802, 1803 og 1808. Hvis du vil ha mer informasjon, kan du se hendelser for sikker oppstart av DB og DBX-variabeloppdatering. Konfidensklassifiseringen er også tilgjengelig via registernøkkelen ConfidenceLevel . Se registernøkkeloppdateringer for sikker oppstart: Windows-enheter med IT-administrerte oppdateringer for mer informasjon.
Konfidensklassifiseringer
High Confidence-databasen grupperer enheter i konfidensklassifiseringer som gjenspeiler Microsofts nåværende vurdering av klargjøring av sikker oppstartssertifikat, og brukes til å veilede distribusjonsbeslutninger.
-
Høy visshet: Enheter i denne gruppen har vist, gjennom observerte data, at de kan oppdatere fastvaren ved hjelp av de nye sertifikatene for sikker oppstart.
-
Midlertidig stanset midlertidig: Enheter i denne gruppen påvirkes av et kjent problem. For å redusere risikoen stanses oppdateringer av sertifikater for sikker oppstart midlertidig mens Microsoft og partnere arbeider mot en støttet løsning. Dette kan kreve en fastvareoppdatering. Se etter et 1802-arrangement for mer informasjon.
-
Støttes ikke – kjent begrensning: Enheter i denne gruppen støtter ikke den automatiserte oppdateringsbanen for sikkert oppstartssertifikat på grunn av maskinvare- eller fastvarebegrensninger. Ingen støttet automatisk oppløsning er for øyeblikket tilgjengelig for denne konfigurasjonen.
-
Under observasjon - mer data nødvendig: Enheter i denne gruppen er for øyeblikket ikke blokkert, men det er ennå ikke nok data til å klassifisere dem som høy visshet. Oppdateringer av sertifikat for sikker oppstart kan utsettes til tilstrekkelige data er tilgjengelige.
-
Ingen data observert – handling kreves: Microsoft har ikke observert denne enheten i oppdateringsdata for sikker oppstart. Automatiske sertifikatoppdateringer kan derfor ikke evalueres for denne enheten, og administratorhandling er sannsynligvis nødvendig. Denne klassifiseringen er ikke inkludert i databasen med høy visshet og sendes ut av Windows når enheten ikke finnes i databasen.
Publisere databasen med høy visshet
Databasen med høy visshet publiseres gjennom to komplementære mekanismer. Én støtter automatisert Windows-service. Den andre gir innsyn i tillitsdata for kunder og partnere.
Få tilgang til dataene på GitHub
Microsoft publiserer en lesbar versjon av Databasen med høy visshet på GitHub for å gi gjennomsiktighet til dataene som brukes til å vurdere klargjøring av sikker oppstartssertifikatoppdatering. Denne versjonen inkluderer enhetsattributter som brukes til å danne konfidenssamlinger og er ment for inspeksjon og analyse av mennesker. Den brukes ikke direkte av Windows-service.
Dataene er tilgjengelige i GitHub-repositoriet for Microsoft Secure Boot Objects og kan være nyttige for følgende målgrupper:
-
IT-administratorer og sikkerhetsteam: Evaluer klargjøring av sikker oppstart og forstå hvilke enhetsklasser som kan være kvalifisert for sertifikatoppdateringer levert gjennom kumulative oppdateringer.
-
Enhetsprodusenter: Se gjennom hvordan konfigurasjoner for enheter og fastvare representeres på tvers av Windows-økosystemet.
-
Andre leverandører av operativsystemer, inkludert Linux-distribusjoner: Forstå hvordan enhets- og fastvarekonfigurasjoner klassifiseres og, der det er aktuelt, samsvarer med Microsofts tilnærming til faset utrulling.
Dataene oppdateres to ganger månedlig, på linje med månedlige sikkerhetsoppdateringer den andre tirsdagen i måneden og valgfrie oppdateringer for ikke-sikkerhetsrelaterte forhåndsvisninger den fjerde tirsdagen i måneden.
Data med høy visshet som er inkludert i vedlikeholdsoppdateringer
En signert versjon av databasen med høy visshet er inkludert i kumulative oppdateringer for Windows og brukes direkte av Windows-service for å evaluere klargjøring av sikker oppstartssertifikatoppdatering. Disse dataene er integritetsbeskyttet og evaluert lokalt, slik at vedlikeholdsbeslutninger selv når en enhet ikke er synlig for Microsoft-telemetri.
På enheten lagres dataene som BucketConfidenceData.cab under:
%SystemRoot%\System32\SecureBootUpdates\
Denne serviceintegrerte versjonen inneholder en kompakt, strukturert representasjon av konfidenssamlinger. Den inneholder bare attributtene som kreves for å bestemme samlingsmedlemskap og den tilknyttede konfidensklassifiseringen. Versjons- og tidsstempelmetadata sikrer at de nyeste gjeldende dataene brukes. Denne versjonen er optimalisert for pålitelighet, størrelse og sikkerhet og er ikke ment for direkte inspeksjon eller endring.
Mottar databaseoppdateringer med høy visshet oftere
Enheter som kjører Windows 11, versjon 24H2 eller 25H2, kan motta databaseoppdateringer med høy visshet oftere enn den månedlige sikkerhetsoppdateringsfrekvensen. I tillegg til månedlige sikkerhetsoppdateringer mottar disse versjonene også valgfrie oppdateringer for ikke-sikkerhetsrelaterte forhåndsvisninger, som kan inneholde nyere konfidensdata. Ved å installere disse oppdateringene kan kunder holde seg nærmere de nyeste konfidensdataene mens de er igjen innenfor standard Windows-service.
Gjenbruk av data med høy visshet på tvers av Windows-versjoner
I enkelte miljøer kan administratorer velge å distribuere databasen med høy visshet til støttede Windows-versjoner som er eldre enn Windows 11, versjon 24H2 eller 25H2.
I dette scenarioet er databasen hentet fra Windows 11, versjon 24H2 eller 25H2, som mottar nyere konfidensdata gjennom valgfrie oppdateringer for ikke-sikkerhetsrelaterte forhåndsvisninger. Hvis du distribuerer denne databasen, kan nyere konfidensvurderinger evalueres på eldre støttede Windows-versjoner raskere enn gjennom månedlige sikkerhetsoppdateringer alene. Dette endrer ikke hvordan konfidens beregnes eller hvordan oppdateringer av sertifikater for sikker oppstart brukes.
Distribuere databasen med høy visshet til andre Windows-versjoner
Hvis du vil distribuere BucketConfidenceData.cab, kan du bruke en prosess som er i tråd med organisasjonens verktøy og fremgangsmåter for distribusjon.
-
Få BucketConfidenceData.cab fra et system for Windows 11, versjon 24H2 eller 25H2 som kjører de nyeste ikke-sikkerhetsrelaterte oppdateringene. Filen er plassert på:
%SystemRoot%\System32\SecureBootUpdates\
-
På målenheter, som administrator, oppretter du følgende katalog hvis den ikke allerede finnes:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Distribuer BucketConfidenceData.cab til katalogen.
Neste gang den planlagte oppgaven kjøres, vanligvis innen 12 timer, bruker Windows denne filen hvis den er nyere enn versjonen som er inkludert i vedlikeholdsoppdateringer.
Slik velger Windows konfidensdata
En enhet kan inneholde mer enn én kopi av databasen med høy visshet. For å sikre konsekvent virkemåte bruker Windows en definert prioritetsmodell når du evaluerer konfidensdata.
Når en signert konfidensdatafil er inkludert i en kumulativ oppdatering, brukes denne vedlikeholdskopien som standard. Hvis det finnes flere kopier, velger Windows den nyeste gjeldende versjonen basert på metadata for versjon og tidsstempel.
