Uwaga
- Data pierwotnej publikacji: 10 marcu 2026 r
- Identyfikator KB: 5084464
W tym artykule
Publikowanie bazy danych wysokiego poziomu ufności
- Dostęp do danych w serwisie GitHub
- Dane o wysokim poziomie pewności zawarte w aktualizacjach serwisowych
- Częstsze otrzymywanie aktualizacji baz danych o wysokim poziomie pewności
- Ponowne używanie danych o wysokim poziomie pewności we wszystkich wersjach systemu Windows
- Wdrażanie bazy danych o wysokim poziomie pewności w innych wersjach systemu Windows
- Jak system Windows wybiera dane ufności
Wprowadzenie i zakres
Baza danych o wysokim poziomie pewności obsługuje sposób, w jaki system Windows dostarcza aktualizacje certyfikatów bezpiecznego rozruchu, identyfikując konfiguracje urządzeń i oprogramowania układowego, które wykazały pomyślne działanie aktualizacji na podstawie zaobserwowanych sygnałów obsługi i niezawodności.
W tym artykule wyjaśniono, co reprezentuje baza danych o wysokim poziomie zaufania, jak jest określana pewność oraz jak dane są publikowane i używane przez serwisowanie systemu Windows. Jest on przeznaczony dla specjalistów IT, zespołów ds. zabezpieczeń i inżynierów pomocy technicznej, którzy chcą zrozumieć, w jaki sposób dane dotyczące zaufania wpływają na decyzje dotyczące aktualizacji certyfikatu bezpiecznego rozruchu, w tym w jaki sposób te dane są ujawniane za pośrednictwem aktualizacji zbiorczych i publikowane w celu zapewnienia widoczności dla klientów.
Co reprezentuje baza danych o wysokim poziomie ufności
Baza danych o wysokim poziomie pewności odzwierciedla ocenę firmy Microsoft, które konfiguracje urządzenia i oprogramowania układowego są gotowe do odbierania aktualizacji certyfikatu bezpiecznego rozruchu na podstawie zaobserwowanych sygnałów serwisowych i niezawodności.
Biorąc pod uwagę skalę i różnorodność kombinacji sprzętu i oprogramowania układowego w ekosystemie systemu Windows, baza danych zapewnia praktyczny sposób oceny gotowości do aktualizacji poprzez grupowanie urządzeń o podobnych parametrach i mierzenie rzeczywistych wyników aktualizacji. Te dane o poziomie ufności są uwzględniane w aktualizacjach skumulowanych, aby ułatwić systemowi Windows dostarczanie aktualizacji certyfikatu bezpiecznego rozruchu w kontrolowany sposób, w którym priorytetem są pomyślne wyniki.
Ograniczenia i zagadnienia dotyczące zakresu
Baza danych o wysokim poziomie pewności odzwierciedla, gdzie firma Microsoft ma wystarczającą ilość zaobserwowanych danych serwisowych, aby ocenić gotowość do aktualizacji certyfikatu bezpiecznego rozruchu. Większość tych danych pochodzi z urządzeń klienckich z systemem Windows, gdzie sygnały obsługi są szerokie i spójne. W rezultacie platformy klienckie są szerzej reprezentowane.
Inne typy urządzeń, takie jak systemy Windows Server i Windows IoT, mają mniejszą reprezentację ze względu na różnice we wzorcach wdrażania, dostępności telemetrii i przepływach pracy aktualizacji. Nie oznacza to zmniejszenia obsługi tych platform. Odzwierciedla to, że dostępnych jest mniej zaobserwowanych sygnałów, które mogłyby pomóc w ocenie ufności. Klienci wdrażający aktualizacje certyfikatów bezpiecznego rozruchu w tych środowiskach powinni zaplanować wdrożenia z dodatkowym naciskiem i walidacją dostosowaną do ich modelu wdrażania i wymagań operacyjnych.
Struktura i klasyfikacja danych
Baza danych o wysokim poziomie pewności jest zorganizowana w zasobnikach urządzeń, które grupują urządzenia o wspólnych atrybutach sprzętu, oprogramowania układowego i platformy. Takie podejście umożliwia serwisowaniu systemu Windows ocenę zachowania aktualizacji bezpiecznego rozruchu na poziomie klasy urządzenia, a nie poszczególnych systemów.
Każdemu zasobnikowi jest przypisana klasyfikacja ufności, która odzwierciedla bieżącą ocenę gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Te klasyfikacje są ujawniane przez zdarzenia systemu Windows, w tym zdarzenia 1801, 1802, 1803 i 1808. Aby uzyskać więcej informacji, zobacz Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu. Klasyfikacja ufności jest również dostępna za pośrednictwem klucza rejestru ConfidenceLevel . Aby uzyskać szczegółowe informacje , zobacz Aktualizacje kluczy rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez dział IT .
Klasyfikacje ufności
Baza danych o wysokim poziomie ufności grupuje urządzenia w klasyfikacje ufności, które odzwierciedlają bieżącą ocenę firmy Microsoft gotowości do aktualizacji certyfikatu bezpiecznego rozruchu i służą do podejmowania decyzji dotyczących wdrożenia.
- Wysoki poziom zaufania: Urządzenia z tej grupy wykazały na podstawie zaobserwowanych danych, że mogą z powodzeniem aktualizować oprogramowanie układowe przy użyciu nowych certyfikatów bezpiecznego rozruchu.
- Chwilowo wstrzymane: Urządzeń w tej grupie dotyczy znany problem. Aby ograniczyć ryzyko, aktualizacje certyfikatu bezpiecznego rozruchu są tymczasowo wstrzymane na czas gdy firma Microsoft i jej partnerzy pracują nad obsługiwanym rozwiązaniem. Może to wymagać aktualizacji oprogramowania układowego. Poszukaj zdarzenia 1802, aby uzyskać więcej szczegółów.
- Nieobsługiwane — znane ograniczenie: Urządzenia z tej grupy nie obsługują ścieżki automatycznej aktualizacji certyfikatu bezpiecznego rozruchu ze względu na ograniczenia sprzętowe lub sprzętowe. Obecnie dla tej konfiguracji nie jest obsługiwane rozwiązanie automatyczne.
- Pod obserwacją - potrzeba więcej danych: Urządzenia z tej grupy nie są obecnie zablokowane, ale nie ma jeszcze wystarczających danych, aby sklasyfikować je jako poziom wysokiego zaufania. Aktualizacje certyfikatu bezpiecznego rozruchu mogą zostać odroczone do czasu, gdy będzie dostępna wystarczająca ilość danych.
- Nie zaobserwowano żadnych danych — wymagane działanie: Firma Microsoft nie zaobserwowała tego urządzenia w danych aktualizacji bezpiecznego rozruchu. W związku z tym automatyczne aktualizacje certyfikatów nie mogą być oceniane dla tego urządzenia i prawdopodobnie konieczne będzie podjęcie działań przez administratora. Ta klasyfikacja nie jest uwzględniona w bazie danych o wysokim poziomie pewności i jest emitowana przez system Windows, gdy urządzenie nie zostanie znalezione w bazie danych.
Publikowanie bazy danych wysokiego poziomu ufności
Baza danych o wysokim poziomie zaufania jest publikowana za pomocą dwóch uzupełniających się mechanizmów. Jeden z nich obsługuje zautomatyzowane serwisowanie systemu Windows. Drugi zapewnia wgląd w dane dotyczące zaufania klientów i partnerów.
Dostęp do danych w serwisie GitHub
Firma Microsoft publikuje w witrynie GitHub wersję bazy danych o wysokim poziomie pewności czytelną dla człowieka, aby zapewnić jawność danych używanych do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Ta wersja zawiera atrybuty urządzenia używane do tworzenia zasobników ufności i jest przeznaczona do inspekcji i analizy przez ludzi. Nie jest on używany bezpośrednio przez usługi serwisowe systemu Windows.
Dane są dostępne w repozytorium GitHub obiektów bezpiecznego rozruchu firmy Microsoft i mogą być przydatne dla następujących odbiorców:
- Administratorzy IT i zespoły ds. zabezpieczeń: Oceń gotowość wdrożenia bezpiecznego rozruchu i dowiedz się, które klasy urządzeń mogą kwalifikować się do aktualizacji certyfikatów dostarczanych za pośrednictwem aktualizacji skumulowanych.
- Producenci urządzeń: Sprawdź, jak konfiguracje urządzenia i oprogramowania układowego są reprezentowane w ekosystemie systemu Windows.
- Inni dostawcy systemów operacyjnych, w tym dystrybucje systemu Linux: dowiedz się, jak klasyfikowane są konfiguracje urządzeń i oprogramowania układowego i, jeśli to możliwe, dostosuj się do podejścia firmy Microsoft do stopniowego wdrażania.
Dane są aktualizowane dwa razy co miesiąc, zgodnie z comiesięcznymi aktualizacjami zabezpieczeń w drugi wtorek miesiąca i opcjonalnymi aktualizacjami wersji zapoznawczych niezwiązanymi z zabezpieczeniami w czwarty wtorek miesiąca.
Dane o wysokim poziomie pewności zawarte w aktualizacjach serwisowych
Podpisana wersja bazy danych o wysokim poziomie pewności jest zawarta w aktualizacjach zbiorczych systemu Windows i jest używana bezpośrednio przez serwis systemu Windows do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Te dane są chronione integralnością i oceniane lokalnie, co pozwala na podejmowanie decyzji dotyczących obsługi nawet wtedy, gdy urządzenie nie jest widoczne dla telemetrii firmy Microsoft.
Na urządzeniu dane są przechowywane jako BucketConfidenceData.cab poniżej:
Uwaga
%SystemRoot%\System32\SecureBootUpdates\
Ta wersja zintegrowana z obsługą zawiera zwartą, ustrukturyzowaną reprezentację zasobników zaufania. Zawiera tylko atrybuty wymagane do określenia członkostwa w zasobniku i związanej z nim klasyfikacji ufności. Metadane wersji i sygnatury czasowej zapewniają, że używane są najnowsze odpowiednie dane. Ta wersja jest zoptymalizowana pod kątem niezawodności, rozmiaru i zabezpieczeń i nie jest przeznaczona do bezpośredniej kontroli ani modyfikacji.
Częstsze otrzymywanie aktualizacji baz danych o wysokim poziomie pewności
Urządzenia z systemem Windows 11 w wersji 24H2 lub 25H2 mogą otrzymywać aktualizacje baz danych o wysokim poziomie pewności częściej niż comiesięczny cykl aktualizacji zabezpieczeń. Oprócz comiesięcznych aktualizacji zabezpieczeń wersje te otrzymują również opcjonalne aktualizacje niezwiązane z zabezpieczeniami w wersji Preview, które mogą zawierać nowsze dane dotyczące zaufania. Zainstalowanie tych aktualizacji pozwala klientom być bliżej najnowszych danych o poziomie ufności, pozostając w standardowym zakresie obsługi systemu Windows.
Ponowne używanie danych o wysokim poziomie pewności we wszystkich wersjach systemu Windows
W niektórych środowiskach administratorzy mogą zdecydować się na wdrożenie bazy danych o wysokim poziomie pewności w obsługiwanych wersjach systemu Windows starszych niż Windows 11, wersja 24H2 lub 25H2.
W tym scenariuszu baza danych pochodzi z systemu Windows 11 w wersji 24H2 lub 25H2, który otrzymuje nowsze dane ufności za pośrednictwem opcjonalnych aktualizacji wersji zapoznawczej niezwiązanych z zabezpieczeniami. Wdrożenie tej bazy danych umożliwia ocenę nowszych ocen ufności w starszych obsługiwanych wersjach systemu Windows wcześniej niż tylko za pomocą comiesięcznych aktualizacji zabezpieczeń. Nie zmienia to sposobu obliczania ufności ani sposobu stosowania aktualizacji certyfikatu bezpiecznego rozruchu.
Wdrażanie bazy danych o wysokim poziomie pewności w innych wersjach systemu Windows
Aby wdrożyć BucketConfidenceData.cab, użyj procesu dostosowanego do narzędzi i praktyk wdrażania w Twojej organizacji.
Uzyskaj BucketConfidenceData.cab z systemu Windows 11 w wersji 24H2 lub 25H2 z najnowszymi aktualizacjami niezwiązanymi z zabezpieczeniami. Plik znajduje się pod adresem:
Uwaga
%SystemRoot%\System32\SecureBootUpdates\
Na urządzeniach docelowych jako administrator utwórz następujący katalog, jeśli jeszcze nie istnieje:
Uwaga
%ProgramData%\Microsoft\Windows\SecureBootUpdates
Wdróż BucketConfidenceData.cab w tym katalogu.
Przy następnym uruchomieniu zaplanowanego zadania, zwykle w ciągu 12 godzin, system Windows użyje tego pliku, jeśli jest on nowszy niż wersja dołączona do aktualizacji serwisowych.
Jak system Windows wybiera dane ufności
Urządzenie może zawierać więcej niż jedną kopię bazy danych o wysokim poziomie zaufania. Aby zapewnić spójne zachowanie, system Windows stosuje zdefiniowany model pierwszeństwa podczas oceny danych ufności.
Gdy podpisany plik danych ufności jest dołączony do aktualizacji skumulowanej, ta kopia serwisowa jest używana domyślnie. Jeśli istnieje wiele kopii, system Windows wybiera najnowszą odpowiednią wersję na podstawie metadanych wersji i sygnatury czasowej.