Bliższe spojrzenie na bazę danych o wysokim poziomie pewności

Dotyczy
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Uwaga

  • Data pierwotnej publikacji: 10 marcu 2026 r
  • Identyfikator KB: 5084464

W tym artykule

Wprowadzenie i zakres

Baza danych o wysokim poziomie pewności obsługuje sposób, w jaki system Windows dostarcza aktualizacje certyfikatów bezpiecznego rozruchu, identyfikując konfiguracje urządzeń i oprogramowania układowego, które wykazały pomyślne działanie aktualizacji na podstawie zaobserwowanych sygnałów obsługi i niezawodności.

W tym artykule wyjaśniono, co reprezentuje baza danych o wysokim poziomie zaufania, jak jest określana pewność oraz jak dane są publikowane i używane przez serwisowanie systemu Windows. Jest on przeznaczony dla specjalistów IT, zespołów ds. zabezpieczeń i inżynierów pomocy technicznej, którzy chcą zrozumieć, w jaki sposób dane dotyczące zaufania wpływają na decyzje dotyczące aktualizacji certyfikatu bezpiecznego rozruchu, w tym w jaki sposób te dane są ujawniane za pośrednictwem aktualizacji zbiorczych i publikowane w celu zapewnienia widoczności dla klientów.

powrót do początku

Co reprezentuje baza danych o wysokim poziomie ufności

Baza danych o wysokim poziomie pewności odzwierciedla ocenę firmy Microsoft, które konfiguracje urządzenia i oprogramowania układowego są gotowe do odbierania aktualizacji certyfikatu bezpiecznego rozruchu na podstawie zaobserwowanych sygnałów serwisowych i niezawodności.

Biorąc pod uwagę skalę i różnorodność kombinacji sprzętu i oprogramowania układowego w ekosystemie systemu Windows, baza danych zapewnia praktyczny sposób oceny gotowości do aktualizacji poprzez grupowanie urządzeń o podobnych parametrach i mierzenie rzeczywistych wyników aktualizacji. Te dane o poziomie ufności są uwzględniane w aktualizacjach skumulowanych, aby ułatwić systemowi Windows dostarczanie aktualizacji certyfikatu bezpiecznego rozruchu w kontrolowany sposób, w którym priorytetem są pomyślne wyniki.

powrót do początku

Ograniczenia i zagadnienia dotyczące zakresu

Baza danych o wysokim poziomie pewności odzwierciedla, gdzie firma Microsoft ma wystarczającą ilość zaobserwowanych danych serwisowych, aby ocenić gotowość do aktualizacji certyfikatu bezpiecznego rozruchu. Większość tych danych pochodzi z urządzeń klienckich z systemem Windows, gdzie sygnały obsługi są szerokie i spójne. W rezultacie platformy klienckie są szerzej reprezentowane.

Inne typy urządzeń, takie jak systemy Windows Server i Windows IoT, mają mniejszą reprezentację ze względu na różnice we wzorcach wdrażania, dostępności telemetrii i przepływach pracy aktualizacji. Nie oznacza to zmniejszenia obsługi tych platform. Odzwierciedla to, że dostępnych jest mniej zaobserwowanych sygnałów, które mogłyby pomóc w ocenie ufności. Klienci wdrażający aktualizacje certyfikatów bezpiecznego rozruchu w tych środowiskach powinni zaplanować wdrożenia z dodatkowym naciskiem i walidacją dostosowaną do ich modelu wdrażania i wymagań operacyjnych.

powrót do początku

Struktura i klasyfikacja danych

Baza danych o wysokim poziomie pewności jest zorganizowana w zasobnikach urządzeń, które grupują urządzenia o wspólnych atrybutach sprzętu, oprogramowania układowego i platformy. Takie podejście umożliwia serwisowaniu systemu Windows ocenę zachowania aktualizacji bezpiecznego rozruchu na poziomie klasy urządzenia, a nie poszczególnych systemów.

Każdemu zasobnikowi jest przypisana klasyfikacja ufności, która odzwierciedla bieżącą ocenę gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Te klasyfikacje są ujawniane przez zdarzenia systemu Windows, w tym zdarzenia 1801, 1802, 1803 i 1808. Aby uzyskać więcej informacji, zobacz Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu. Klasyfikacja ufności jest również dostępna za pośrednictwem klucza rejestru ConfidenceLevel . Aby uzyskać szczegółowe informacje , zobacz Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT .

powrót do początku

Klasyfikacje ufności

Baza danych o wysokim poziomie ufności grupuje urządzenia w klasyfikacje ufności, które odzwierciedlają bieżącą ocenę firmy Microsoft gotowości do aktualizacji certyfikatu bezpiecznego rozruchu i służą do podejmowania decyzji dotyczących wdrożenia.

  • Wysoki poziom zaufania: Urządzenia z tej grupy wykazały na podstawie zaobserwowanych danych, że mogą z powodzeniem aktualizować oprogramowanie układowe przy użyciu nowych certyfikatów bezpiecznego rozruchu.
  • Chwilowo wstrzymane: Urządzeń w tej grupie dotyczy znany problem. Aby ograniczyć ryzyko, aktualizacje certyfikatu bezpiecznego rozruchu są tymczasowo wstrzymane na czas gdy firma Microsoft i jej partnerzy pracują nad obsługiwanym rozwiązaniem. Może to wymagać aktualizacji oprogramowania układowego. Poszukaj zdarzenia 1802, aby uzyskać więcej szczegółów.
  • Nieobsługiwane — znane ograniczenie: Urządzenia z tej grupy nie obsługują ścieżki automatycznej aktualizacji certyfikatu bezpiecznego rozruchu ze względu na ograniczenia sprzętowe lub sprzętowe. Obecnie dla tej konfiguracji nie jest obsługiwane rozwiązanie automatyczne.
  • Pod obserwacją - potrzeba więcej danych: Urządzenia z tej grupy nie są obecnie zablokowane, ale nie ma jeszcze wystarczających danych, aby sklasyfikować je jako poziom wysokiego zaufania. Aktualizacje certyfikatu bezpiecznego rozruchu mogą zostać odroczone do czasu, gdy będzie dostępna wystarczająca ilość danych.
  • Nie zaobserwowano żadnych danych — wymagane działanie: Firma Microsoft nie zaobserwowała tego urządzenia w danych aktualizacji bezpiecznego rozruchu. W związku z tym automatyczne aktualizacje certyfikatów nie mogą być oceniane dla tego urządzenia i prawdopodobnie konieczne będzie podjęcie działań przez administratora. Ta klasyfikacja nie jest uwzględniona w bazie danych o wysokim poziomie pewności i jest emitowana przez system Windows, gdy urządzenie nie zostanie znalezione w bazie danych.

powrót do początku

Publikowanie bazy danych wysokiego poziomu ufności

Baza danych o wysokim poziomie zaufania jest publikowana za pomocą dwóch uzupełniających się mechanizmów. Jeden z nich obsługuje zautomatyzowane serwisowanie systemu Windows. Drugi zapewnia wgląd w dane dotyczące zaufania klientów i partnerów.

powrót do początku

Dostęp do danych w serwisie GitHub

Firma Microsoft publikuje w witrynie GitHub wersję bazy danych o wysokim poziomie pewności czytelną dla człowieka, aby zapewnić jawność danych używanych do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Ta wersja zawiera atrybuty urządzenia używane do tworzenia zasobników ufności i jest przeznaczona do inspekcji i analizy przez ludzi. Nie jest on używany bezpośrednio przez usługi serwisowe systemu Windows.

Dane są dostępne w repozytorium GitHub obiektów bezpiecznego rozruchu firmy Microsoft i mogą być przydatne dla następujących odbiorców:

  • Administratorzy IT i zespoły ds. zabezpieczeń: Oceń gotowość wdrożenia bezpiecznego rozruchu i dowiedz się, które klasy urządzeń mogą kwalifikować się do aktualizacji certyfikatów dostarczanych za pośrednictwem aktualizacji skumulowanych.
  • Producenci urządzeń: Sprawdź, jak konfiguracje urządzenia i oprogramowania układowego są reprezentowane w ekosystemie systemu Windows.
  • Inni dostawcy systemów operacyjnych, w tym dystrybucje systemu Linux: dowiedz się, jak klasyfikowane są konfiguracje urządzeń i oprogramowania układowego i, jeśli to możliwe, dostosuj się do podejścia firmy Microsoft do stopniowego wdrażania.

Dane są aktualizowane dwa razy co miesiąc, zgodnie z comiesięcznymi aktualizacjami zabezpieczeń w drugi wtorek miesiąca i opcjonalnymi aktualizacjami wersji zapoznawczych niezwiązanymi z zabezpieczeniami w czwarty wtorek miesiąca.

powrót do początku

Dane o wysokim poziomie pewności zawarte w aktualizacjach serwisowych

Podpisana wersja bazy danych o wysokim poziomie pewności jest zawarta w aktualizacjach zbiorczych systemu Windows i jest używana bezpośrednio przez serwis systemu Windows do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Te dane są chronione integralnością i oceniane lokalnie, co pozwala na podejmowanie decyzji dotyczących obsługi nawet wtedy, gdy urządzenie nie jest widoczne dla telemetrii firmy Microsoft.

Na urządzeniu dane są przechowywane jako BucketConfidenceData.cab poniżej:

Uwaga

%SystemRoot%\System32\SecureBootUpdates\

Ta wersja zintegrowana z obsługą zawiera zwartą, ustrukturyzowaną reprezentację zasobników zaufania. Zawiera tylko atrybuty wymagane do określenia członkostwa w zasobniku i związanej z nim klasyfikacji ufności. Metadane wersji i sygnatury czasowej zapewniają, że używane są najnowsze odpowiednie dane. Ta wersja jest zoptymalizowana pod kątem niezawodności, rozmiaru i zabezpieczeń i nie jest przeznaczona do bezpośredniej kontroli ani modyfikacji.

powrót do początku

Częstsze otrzymywanie aktualizacji baz danych o wysokim poziomie pewności

Urządzenia z systemem Windows 11 w wersji 24H2 lub 25H2 mogą otrzymywać aktualizacje baz danych o wysokim poziomie pewności częściej niż comiesięczny cykl aktualizacji zabezpieczeń. Oprócz comiesięcznych aktualizacji zabezpieczeń wersje te otrzymują również opcjonalne aktualizacje niezwiązane z zabezpieczeniami w wersji Preview, które mogą zawierać nowsze dane dotyczące zaufania. Zainstalowanie tych aktualizacji pozwala klientom być bliżej najnowszych danych o poziomie ufności, pozostając w standardowym zakresie obsługi systemu Windows.

powrót do początku

Ponowne używanie danych o wysokim poziomie pewności we wszystkich wersjach systemu Windows

W niektórych środowiskach administratorzy mogą zdecydować się na wdrożenie bazy danych o wysokim poziomie pewności w obsługiwanych wersjach systemu Windows starszych niż Windows 11, wersja 24H2 lub 25H2.

W tym scenariuszu baza danych pochodzi z systemu Windows 11 w wersji 24H2 lub 25H2, który otrzymuje nowsze dane ufności za pośrednictwem opcjonalnych aktualizacji wersji zapoznawczej niezwiązanych z zabezpieczeniami. Wdrożenie tej bazy danych umożliwia ocenę nowszych ocen ufności w starszych obsługiwanych wersjach systemu Windows wcześniej niż tylko za pomocą comiesięcznych aktualizacji zabezpieczeń. Nie zmienia to sposobu obliczania ufności ani sposobu stosowania aktualizacji certyfikatu bezpiecznego rozruchu.

powrót do początku

Wdrażanie bazy danych o wysokim poziomie pewności w innych wersjach systemu Windows

Aby wdrożyć BucketConfidenceData.cab, użyj procesu dostosowanego do narzędzi i praktyk wdrażania w Twojej organizacji.

  1. Uzyskaj BucketConfidenceData.cab z systemu Windows 11 w wersji 24H2 lub 25H2 z najnowszymi aktualizacjami niezwiązanymi z zabezpieczeniami. Plik znajduje się pod adresem:

    Uwaga

    %SystemRoot%\System32\SecureBootUpdates\

  2. Na urządzeniach docelowych jako administrator utwórz następujący katalog, jeśli jeszcze nie istnieje:

    Uwaga

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Wdróż BucketConfidenceData.cab w tym katalogu.

Przy następnym uruchomieniu zaplanowanego zadania, zwykle w ciągu 12 godzin, system Windows użyje tego pliku, jeśli jest on nowszy niż wersja dołączona do aktualizacji serwisowych.

powrót do początku

Jak system Windows wybiera dane ufności

Urządzenie może zawierać więcej niż jedną kopię bazy danych o wysokim poziomie zaufania. Aby zapewnić spójne zachowanie, system Windows stosuje zdefiniowany model pierwszeństwa podczas oceny danych ufności.

Gdy podpisany plik danych ufności jest dołączony do aktualizacji skumulowanej, ta kopia serwisowa jest używana domyślnie. Jeśli istnieje wiele kopii, system Windows wybiera najnowszą odpowiednią wersję na podstawie metadanych wersji i sygnatury czasowej.

powrót do początku