Dotyczy
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oryginalna data publikacji: 10 marca 2026 r.

Identyfikator BAZY WIEDZY: 5084464

W tym artykule

Wprowadzenie i zakres

Baza danych o wysokiej pewności siebie obsługuje sposób dostarczania aktualizacji certyfikatu bezpiecznego rozruchu przez identyfikowanie konfiguracji urządzenia i oprogramowania układowego, które wykazały pomyślne zachowanie aktualizacji na podstawie obserwowanych sygnałów serwisowania i niezawodności.

W tym artykule wyjaśniono, co reprezentuje baza danych o wysokiej pewności siebie, jak jest określana pewność siebie oraz jak dane są publikowane i używane przez serwis systemu Windows. Jest przeznaczony dla informatyków, zespołów zabezpieczeń i inżynierów pomocy technicznej, którzy chcą zrozumieć, w jaki sposób dane dotyczące pewności siebie informują o decyzjach dotyczących aktualizacji certyfikatu bezpiecznego rozruchu, w tym o tym, jak te dane są udostępniane poprzez aktualizacje zbiorcze i publikowane w celu zapewnienia widoczności klientów.

powrót do początku

Co reprezentuje baza danych o wysokim poziomie ufności

Baza danych o wysokim poziomie zaufania odzwierciedla ocenę firmy Microsoft, które konfiguracje urządzenia i oprogramowania układowego są gotowe do otrzymywania aktualizacji certyfikatu bezpiecznego rozruchu na podstawie obserwowanych sygnałów serwisowania i niezawodności.

Ze względu na skalę i różnorodność kombinacji sprzętu i oprogramowania układowego w ekosystemie systemu Windows baza danych zapewnia praktyczny sposób oceny gotowości do aktualizacji poprzez grupowanie urządzeń o podobnych cechach i mierzenie rzeczywistych wyników aktualizacji. Te dane ufności są uwzględniane w aktualizacjach zbiorczych, aby ułatwić systemowi Windows dostarczanie aktualizacji certyfikatów bezpiecznego rozruchu w sposób kontrolowany, priorytetowo określający pomyślne wyniki.

powrót do początku

Zagadnienia dotyczące ograniczeń i zakresu

Baza danych o wysokim poziomie ufności odzwierciedla, że firma Microsoft ma wystarczająco dużo obserwowanych danych serwisowych, aby ocenić gotowość do aktualizacji certyfikatu bezpiecznego rozruchu. Większość tych danych pochodzi z urządzeń klienckich z systemem Windows, gdzie sygnały serwisowania są szerokie i spójne. W rezultacie platformy klienckie są reprezentowane w większym stopniu.

Inne typy urządzeń, takie jak Windows Server i Windows IoT, mają mniejszą reprezentację ze względu na różnice we wzorcach wdrażania, dostępności telemetrii i przepływach pracy aktualizacji. Nie oznacza to zmniejszonej obsługi tych platform. Odzwierciedla to, że mniej obserwowanych sygnałów jest dostępnych do informowania o ocenach zaufania. Klienci wdrażający aktualizacje certyfikatu bezpiecznego rozruchu w tych środowiskach powinni zaplanować wdrożenia z dodatkowymi ustawieniami ostrości i sprawdzania poprawności dostosowanym do ich wymagań dotyczących modelu wdrażania i eksploatacji.

powrót do początku

Struktura i klasyfikacja danych

Baza danych o wysokiej pewności siebie jest zorganizowana w zasobniki urządzeń grupujące urządzenia współużytkujące typowe atrybuty sprzętu, oprogramowania układowego i platformy. Takie podejście umożliwia serwisowaniu systemu Windows ocenę zachowania aktualizacji bezpiecznego rozruchu na poziomie klasy urządzenia, a nie na poszczególnych systemach.

Każdemu zasobnikowi przypisywana jest klasyfikacja ufności, która odzwierciedla bieżącą ocenę gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Klasyfikacje te są widoczne w zdarzeniach systemu Windows, w tym zdarzeniach 1801, 1802, 1803 i 1808. Aby uzyskać więcej informacji, zobacz Zdarzenia aktualizacji zmiennych DB i DBX bezpiecznego rozruchu. Klasyfikacja ufności jest również dostępna za pośrednictwem klucza rejestru UfnośćPoziom . Aby uzyskać szczegółowe informacje , zobacz Aktualizacje klucza rejestru dla funkcji bezpiecznego rozruchu: urządzenia z systemem Windows z aktualizacjami zarządzanymi przez DZIAŁ IT .

 powrót do początku

Klasyfikacje ufności

Baza danych o wysokim poziomie zaufania grupuje urządzenia w klasyfikacje zaufania, które odzwierciedlają bieżącą ocenę gotowości aktualizacji certyfikatu bezpiecznego rozruchu firmy Microsoft i są używane do podejmowania decyzji dotyczących wdrażania.

  • Wysoka pewność siebie: Urządzenia w tej grupie wykazały, za pomocą obserwowanych danych, że mogą pomyślnie zaktualizować oprogramowanie układowe przy użyciu nowych certyfikatów bezpiecznego rozruchu.

  • Tymczasowo wstrzymane: Urządzenia w tej grupie są dotknięte znanym problemem. Aby ograniczyć ryzyko, aktualizacje certyfikatu bezpiecznego rozruchu są tymczasowo wstrzymane, podczas gdy firma Microsoft i partnerzy pracują nad obsługiwanym rozwiązaniem. Może to wymagać aktualizacji oprogramowania układowego. Aby uzyskać więcej szczegółów, poszukaj zdarzenia w wersji 1802.

  • Nieobsługiwane — znane ograniczenie: Urządzenia w tej grupie nie obsługują ścieżki automatycznej aktualizacji certyfikatu bezpiecznego rozruchu z powodu ograniczeń sprzętu lub oprogramowania układowego. W tej konfiguracji nie jest obecnie dostępna obsługiwana automatyczna rozdzielczość.

  • W obszarze Obserwacja — potrzebne są dodatkowe dane: Urządzenia w tej grupie nie są obecnie blokowane, ale nie ma jeszcze wystarczającej ilości danych, aby sklasyfikować je jako zaufane. Aktualizacje certyfikatu bezpiecznego rozruchu mogą zostać odroczone do momentu udostępnienia wystarczającej ilości danych.

  • Brak zaobserwowanych danych — wymagane działanie: Firma Microsoft nie zaobserwowała tego urządzenia w danych aktualizacji bezpiecznego rozruchu. W związku z tym nie można oceniać automatycznych aktualizacji certyfikatów dla tego urządzenia i prawdopodobnie wymagane jest działanie administratora. Ta klasyfikacja nie jest uwzględniana w bazie danych o wysokiej ufności i jest emitowana przez system Windows, gdy urządzenie nie znajduje się w bazie danych.

powrót do początku 

Publikowanie bazy danych o dużej pewności siebie

Baza danych o wysokim poziomie ufności jest publikowana za pośrednictwem dwóch uzupełniających się mechanizmów. Jedna z nich obsługuje automatyczną obsługę systemu Windows. Drugi zapewnia klientom i partnerom wgląd w dane dotyczące pewności siebie.

powrót do początku 

Uzyskiwanie dostępu do danych w witrynie GitHub

Firma Microsoft publikuje czytelną dla człowieka wersję bazy danych High Confidence Database w witrynie GitHub, aby zapewnić przejrzystość danych używanych do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Ta wersja zawiera atrybuty urządzenia używane do tworzenia zasobników ufności i jest przeznaczona do inspekcji i analizy przez ludzi. Nie jest on używany bezpośrednio przez serwis systemu Windows.

Dane są dostępne w repozytorium GitHub obiektów bezpiecznego rozruchu firmy Microsoft i mogą być przydatne dla następujących odbiorców:

  • Administratorzy IT i zespoły zabezpieczeń: Oceń gotowość wdrożenia bezpiecznego rozruchu i dowiedz się, które klasy urządzeń mogą kwalifikować się do aktualizacji certyfikatów dostarczanych za pośrednictwem aktualizacji zbiorczych.

  • Producenci urządzeń: Sprawdź, jak są reprezentowane konfiguracje urządzenia i oprogramowania układowego w całym ekosystemie systemu Windows.

  • Inni dostawcy systemów operacyjnych, w tym dystrybucje systemu Linux: Dowiedz się, jak klasyfikowane są konfiguracje urządzenia i oprogramowania układowego oraz, w stosownych przypadkach, są zgodne z etapowym wdrażaniem firmy Microsoft.

Dane są aktualizowane dwa razy w miesiącu, co odpowiada comiesięcznym aktualizacjom zabezpieczeń w drugi wtorek miesiąca i opcjonalnym aktualizacjom w wersji zapoznawczej niezwiązanej z zabezpieczeniami w czwarty wtorek miesiąca. ​​​​​

powrót do początku

Dane o wysokiej pewności siebie zawarte w aktualizacjach serwisowych

Podpisana wersja bazy danych High Confidence Database jest dołączona do aktualizacji zbiorczych systemu Windows i jest używana bezpośrednio przez serwis systemu Windows do oceny gotowości do aktualizacji certyfikatu bezpiecznego rozruchu. Te dane są chronione integralnością i oceniane lokalnie, co pozwala na podejmowanie decyzji dotyczących obsługi nawet wtedy, gdy urządzenie nie jest widoczne dla telemetrii firmy Microsoft.

Na urządzeniu dane są przechowywane jako BucketConfidenceData.cab w obszarze:

%SystemRoot%\System32\SecureBootUpdates\

Ta zintegrowana z serwisem wersja zawiera kompaktową, strukturalną reprezentację zasobników ufności. Obejmuje ona tylko atrybuty wymagane do określenia członkostwa zasobnika i skojarzonej klasyfikacji ufności. Metadane wersji i sygnatury czasowej zapewniają, że są używane najnowsze odpowiednie dane. Ta wersja jest zoptymalizowana pod kątem niezawodności, rozmiaru i zabezpieczeń i nie jest przeznaczona do bezpośredniej inspekcji ani modyfikacji.

powrót do początku

Częstsze otrzymywanie aktualizacji bazy danych o dużej pewności siebie

Urządzenia z Windows 11 w wersji 24H2 lub 25H2 mogą otrzymywać aktualizacje bazy danych o wysokiej pewności siebie częściej niż comiesięczna aktualizacja zabezpieczeń. Oprócz comiesięcznych aktualizacji zabezpieczeń te wersje otrzymują również opcjonalne aktualizacje w wersji zapoznawczej niezwiązane z zabezpieczeniami, które mogą obejmować nowsze dane dotyczące ufności. Zainstalowanie tych aktualizacji umożliwia klientom pozostawanie bliżej najnowszych danych dotyczących pewności siebie przy zachowaniu standardowej obsługi systemu Windows.

powrót do początku

Ponowne używanie danych o wysokiej pewności siebie w wersjach systemu Windows

W niektórych środowiskach administratorzy mogą wdrożyć bazę danych o dużej ufności w obsługiwanych wersjach systemu Windows starszych niż Windows 11 w wersji 24H2 lub 25H2.

W tym scenariuszu baza danych pochodzi z Windows 11, wersja 24H2 lub 25H2, które otrzymują nowsze dane ufności dzięki opcjonalnym aktualizacjom w wersji Preview niezwiązanej z zabezpieczeniami. Wdrożenie tej bazy danych umożliwia ocenę nowszych ocen ufności w starszych obsługiwanych wersjach systemu Windows szybciej niż w przypadku samych comiesięcznych aktualizacji zabezpieczeń. Nie zmienia to sposobu obliczania ufności ani sposobu stosowania aktualizacji certyfikatu bezpiecznego rozruchu.

powrót do początku

Wdrażanie bazy danych o dużej pewności siebie w innych wersjach systemu Windows

Aby wdrożyć BucketConfidenceData.cab, użyj procesu zgodnego z praktykami i narzędziami wdrażania organizacji.

  1. Uzyskaj BucketConfidenceData.cab z systemu Windows 11 w wersji 24H2 lub 25H2 z najnowszymi aktualizacjami niezwiązanymi z zabezpieczeniami. Plik znajduje się pod adresem:

    %SystemRoot%\System32\SecureBootUpdates\

  2. Na urządzeniach docelowych jako administrator utwórz następujący katalog, jeśli jeszcze nie istnieje: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Wdróż BucketConfidenceData.cab w tym katalogu.

Przy następnym uruchomieniu zaplanowanego zadania( zwykle w ciągu 12 godzin) system Windows użyje tego pliku, jeśli jest on nowszy niż wersja dołączona do aktualizacji serwisowych.

powrót do początku

Jak system Windows wybiera dane ufności

Urządzenie może zawierać więcej niż jedną kopię bazy danych o dużej ufności. Aby zapewnić spójne zachowanie, system Windows stosuje model zdefiniowanego pierwszeństwa podczas oceny danych ufności.

Gdy podpisany plik danych ufności jest dołączony do aktualizacji zbiorczej, ta kopia obsługi jest domyślnie używana. Jeśli istnieje wiele kopii, system Windows wybiera najnowszą odpowiednią wersję na podstawie metadanych wersji i sygnatur czasowych.

powrót do początku

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu