Een blik op de database met hoge betrouwbaarheid

Van toepassing op
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opmerking

  • Oorspronkelijke publicatiedatum: 10 maart 2026
  • KB-id: 5084464

In dit artikel

Inleiding en reikwijdte

De database met hoge betrouwbaarheid ondersteunt hoe Windows secure boot-certificaatupdates levert door apparaat- en firmwareconfiguraties te identificeren die succesvol updategedrag hebben aangetoond op basis van waargenomen onderhouds- en betrouwbaarheidssignalen.

In dit artikel wordt uitgelegd waar de database met hoge betrouwbaarheid voor staat, hoe betrouwbaarheid wordt bepaald en hoe de gegevens worden gepubliceerd en gebruikt door Windows-service. Dit is bedoeld voor IT-professionals, beveiligingsteams en ondersteuningstechnici die willen begrijpen hoe vertrouwensgegevens van invloed zijn op beslissingen over het bijwerken van Secure Boot-certificaten, inclusief hoe deze gegevens naar boven komen via cumulatieve updates en worden gepubliceerd voor zichtbaarheid voor klanten.

terug naar boven

Gegevens van de database met hoge betrouwbaarheid

De database met hoge betrouwbaarheid weerspiegelt de beoordeling van Microsoft van welke apparaat- en firmwareconfiguraties klaar zijn voor het ontvangen van Secure Boot-certificaatupdates op basis van waargenomen onderhouds- en betrouwbaarheidssignalen.

Gezien de schaal en diversiteit van hardware- en firmwarecombinaties in het Windows-ecosysteem, biedt de database een praktische manier om de gereedheid voor updates te evalueren door apparaten met vergelijkbare kenmerken te groeperen en real-world updateresultaten te meten. Deze betrouwbaarheidsgegevens worden opgenomen in cumulatieve updates om Windows te helpen secure boot-certificaatupdates op een gecontroleerde manier te leveren, waarbij prioriteit wordt gegeven aan succesvolle resultaten.

terug naar boven

Beperkingen en aandachtspunten voor dekking

De database met hoge betrouwbaarheid geeft aan waar Microsoft over voldoende waargenomen onderhoudsgegevens beschikt om de updategereedheid van Secure Boot-certificaten te beoordelen. De meeste van deze gegevens zijn afkomstig van Windows-clientapparaten, waarvoor servicesignalen breed en consistent zijn. Als gevolg hiervan zijn clientplatforms sterker vertegenwoordigd.

Andere apparaattypen, zoals Windows Server en Windows IoT, zijn minder goed vertegenwoordigd vanwege verschillen in implementatiepatronen, beschikbaarheid van telemetriegegevens en updatewerkstromen. Dit betekent niet dat de ondersteuning voor deze platforms afneemt. Het weerspiegelt dat er minder waargenomen signalen beschikbaar zijn om betrouwbaarheidsbeoordelingen te informeren. Klanten die secure boot-certificaatupdates implementeren in deze omgevingen, moeten implementaties plannen met extra focus en validatie die zijn afgestemd op hun implementatiemodel en operationele vereisten.

terug naar boven

Gegevensstructuur en -classificatie

De database met hoge betrouwbaarheid is ingedeeld in apparaatbuckets waarin apparaten zijn gegroepeerd met gemeenschappelijke hardware-, firmware- en platformkenmerken. Met deze benadering kan Windows-onderhoud het updategedrag voor beveiligd opstarten evalueren op het niveau van een apparaatklasse in plaats van per afzonderlijk systeem.

Aan elke bucket is een betrouwbaarheidsclassificatie toegewezen die de huidige beoordeling van de updategereedheid van het Secure Boot-certificaat weerspiegelt. Deze classificaties worden weergegeven via Windows-gebeurtenissen, waaronder gebeurtenissen 1801, 1802, 1803 en 1808. Zie Secure Boot DB en DBX variabele updategebeurtenissen voor meer informatie. De betrouwbaarheidsclassificatie is ook beschikbaar via de registersleutel ConfidenceLevel . Zie Registersleutelupdates voor Beveiligd opstarten: Windows-apparaten met door IT beheerde updates voor meer informatie.

terug naar boven

Betrouwbaarheidsclassificaties

De database met hoge betrouwbaarheid groepeert apparaten in betrouwbaarheidsclassificaties die de huidige beoordeling door Microsoft van de updategereedheid van Secure Boot-certificaten weerspiegelen en die worden gebruikt om implementatiebeslissingen te nemen.

  • Hoog vertrouwen: Apparaten in deze groep hebben door middel van waargenomen gegevens aangetoond dat ze firmware kunnen bijwerken met behulp van de nieuwe certificaten voor beveiligd opstarten.
  • Tijdelijk onderbroken: Apparaten in deze groep hebben een bekend probleem. Om risico's te verkleinen, worden secure boot-certificaatupdates tijdelijk onderbroken terwijl Microsoft en partners werken aan een ondersteunde oplossing. Hiervoor is mogelijk een firmware-update vereist. Zoek naar een 1802-gebeurtenis voor meer informatie.
  • Niet-ondersteund - bekende beperking: Apparaten in deze groep ondersteunen het geautomatiseerde updatepad van het Secure Boot-certificaat niet vanwege hardware- of firmwarebeperkingen. Er is momenteel geen ondersteunde automatische resolutie beschikbaar voor deze configuratie.
  • Onder observatie - meer gegevens nodig: Apparaten in deze groep zijn momenteel niet geblokkeerd, maar er zijn nog niet genoeg gegevens om ze als zeer betrouwbaar te classificeren. Certificaatupdates voor beveiligd opstarten kunnen worden uitgesteld totdat er voldoende gegevens beschikbaar zijn.
  • Geen gegevens waargenomen - actie vereist: Microsoft heeft dit apparaat niet waargenomen in de gegevens voor Secure Boot-updates. Als gevolg hiervan kunnen automatische certificaatupdates niet worden geëvalueerd voor dit apparaat en is waarschijnlijk actie van de beheerder vereist. Deze classificatie is niet opgenomen in de database met hoge betrouwbaarheid en wordt door Windows verzonden wanneer het apparaat niet in de database wordt gevonden.

terug naar boven

De database met hoge betrouwbaarheid publiceren

De High Confidence Database wordt gepubliceerd via twee complementaire mechanismen. Een daarvan ondersteunt geautomatiseerde Windows-service. De andere biedt inzicht in vertrouwensgegevens voor klanten en partners.

terug naar boven

Toegang tot de gegevens op GitHub

Microsoft publiceert een leesbare versie van de database met hoge betrouwbaarheid op GitHub om transparantie te bieden in de gegevens die worden gebruikt om de updategereedheid van het Secure Boot-certificaat te beoordelen. Deze versie bevat de apparaatkenmerken die worden gebruikt om betrouwbaarheidsbuckets te vormen en is bedoeld voor inspectie en analyse door mensen. Het wordt niet rechtstreeks gebruikt door Windows-service.

De gegevens zijn beschikbaar in de GitHub Repository van Microsoft Secure Boot Objects en kunnen nuttig zijn voor de volgende doelgroepen:

  • IT-beheerders en beveiligingsteams: Evalueer de gereedheid voor de implementatie van Secure Boot en begrijp welke apparaatklassen mogelijk in aanmerking komen voor certificaatupdates die worden geleverd via cumulatieve updates.
  • Apparaatfabrikanten: Bekijk hoe apparaat- en firmwareconfiguraties worden weergegeven in het Windows-ecosysteem.
  • Andere leveranciers van besturingssystemen, waaronder Linux-distributies: Begrijpen hoe apparaat- en firmwareconfiguraties worden geclassificeerd en, indien van toepassing, afstemmen op de gefaseerde implementatiebenadering van Microsoft.

De gegevens worden twee keer per maand bijgewerkt, afgestemd op maandelijkse beveiligingsupdates op de tweede dinsdag van de maand en optionele niet-beveiligingsupdates op de vierde dinsdag van de maand.

terug naar boven

Zeer betrouwbare gegevens opgenomen in onderhoudsupdates

Een ondertekende versie van de database met hoge betrouwbaarheid wordt meegeleverd met cumulatieve updates van Windows en wordt rechtstreeks gebruikt door Windows-onderhoud om de updategereedheid van het Secure Boot-certificaat te evalueren. De integriteit van deze gegevens wordt lokaal beveiligd en geëvalueerd, zodat ze zelfs kunnen worden genomen wanneer een apparaat niet zichtbaar is voor Microsoft-telemetrie.

De gegevens worden op het apparaat opgeslagen als BucketConfidenceData.cab onder:

Opmerking

%SystemRoot%\System32\SecureBootUpdates\

Deze in onderhoud geïntegreerde versie bevat een compacte, gestructureerde weergave van vertrouwensemmers. Het bevat alleen de kenmerken die vereist zijn om het lidmaatschap van een bucket te bepalen en de bijbehorende betrouwbaarheidsclassificatie. Metagegevens van versie en tijdstempel zorgen ervoor dat de meest recente toepasselijke gegevens worden gebruikt. Deze versie is geoptimaliseerd voor betrouwbaarheid, grootte en veiligheid en is niet bedoeld voor directe inspectie of wijziging.

terug naar boven

Vaker database-updates met hoge betrouwbaarheid ontvangen

Apparaten met Windows 11 versie 24H2 of 25H2 kunnen vaker database-updates met hoge betrouwbaarheid ontvangen dan de maandelijkse frequentie van beveiligingsupdates. Naast de maandelijkse beveiligingsupdates ontvangen deze versies ook optionele niet-beveiligingsupdates, die mogelijk nieuwere betrouwbaarheidsgegevens bevatten. Door deze updates te installeren kunnen klanten dichter bij de meest recente betrouwbaarheidsgegevens blijven terwijl ze binnen het standaard Windows-onderhoud blijven.

terug naar boven

Gegevens met hoge betrouwbaarheid opnieuw gebruiken in Windows-versies

In sommige omgevingen kunnen beheerders ervoor kiezen om de database met hoge betrouwbaarheid te implementeren in ondersteunde Windows-versies die ouder zijn dan Windows 11, versie 24H2 of 25H2.

In dit scenario is de database afkomstig van Windows 11, versie 24H2 of 25H2, die nieuwere betrouwbaarheidsgegevens ontvangen via optionele niet-beveiligingsupdates. Door deze database te implementeren, kunnen nieuwere betrouwbaarheidsbeoordelingen sneller worden geëvalueerd op oudere ondersteunde Windows-versies dan alleen via maandelijkse beveiligingsupdates. Dit verandert niet hoe betrouwbaarheid wordt berekend of hoe secure boot-certificaatupdates worden toegepast.

terug naar boven

De database met hoge betrouwbaarheid implementeren in andere Windows-versies

Als u BucketConfidenceData.cabwilt implementeren, gebruikt u een proces dat is afgestemd op de implementatiehulpmiddelen en -procedures van uw organisatie.

  1. Verkrijg BucketConfidenceData.cab van een Windows 11, versie 24H2- of 25H2-systeem met de nieuwste niet-beveiligingsupdates. Het bestand bevindt zich op:

    Opmerking

    %SystemRoot%\System32\SecureBootUpdates\

  2. Maak als beheerder op doelapparaten de volgende map als deze nog niet bestaat:

    Opmerking

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Implementeer BucketConfidenceData.cab naar die map.

De volgende keer dat de geplande taak wordt uitgevoerd, meestal binnen 12 uur, gebruikt Windows dit bestand als het nieuwer is dan de versie die bij onderhoudsupdates is inbegrepen.

terug naar boven

Hoe Windows betrouwbaarheidsgegevens selecteert

Een apparaat kan meer dan één kopie van de database met hoge betrouwbaarheid bevatten. Om consistent gedrag te garanderen, past Windows een gedefinieerd prioriteitsmodel toe bij het evalueren van betrouwbaarheidsgegevens.

Wanneer een ondertekend gegevensbestand voor betrouwbaarheid wordt opgenomen in een cumulatieve update, wordt die onderhoudskopie standaard gebruikt. Als er meerdere kopieën aanwezig zijn, selecteert Windows de meest recente toepasselijke versie op basis van metagegevens van versie en tijdstempel.

terug naar boven