Um Olhar Mais Atento sobre o Banco de Dados de Alta Confiança

Aplica-se a
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Observação

  • Data de publicação original: 10 de março de 2026
  • ID da base de dados: 5084464

Neste artigo

Introdução e âmbito de aplicação

O Banco de Dados de Alta Confiança dá suporte a como o Windows fornece atualizações de certificado de Inicialização Segura identificando configurações de dispositivo e firmware que demonstraram comportamento de atualização bem-sucedido com base nos sinais de manutenção e confiabilidade observados.

Este artigo explica o que o Banco de Dados de Alta Confiança representa, como a confiança é determinada e como os dados são publicados e usados pela manutenção do Windows. Ele se destina a profissionais de TI, equipes de segurança e engenheiros de suporte que desejam entender como os dados de confiança informam as decisões de atualização do certificado de Inicialização Segura, incluindo como esses dados são exibidos por meio de atualizações cumulativas e publicados para visibilidade do cliente.

voltar ao início

O que o Banco de Dados de Alta Confiança representa

O Banco de Dados de Alta Confiança reflete a avaliação da Microsoft de quais configurações de dispositivo e firmware estão prontas para receber atualizações de certificado de Inicialização Segura com base nos sinais de manutenção e confiabilidade observados.

Dada a escala e a diversidade de combinações de hardware e firmware no ecossistema do Windows, o banco de dados fornece uma maneira prática de avaliar a preparação para atualização agrupando dispositivos com características semelhantes e medindo os resultados de atualização do mundo real. Esses dados de confiança estão incluídos em atualizações cumulativas para ajudar o Windows a fornecer atualizações de certificado de Inicialização Segura de maneira controlada que prioriza resultados bem-sucedidos.

voltar ao início

Limitações e considerações de cobertura

O Banco de Dados de Alta Confiança reflete onde a Microsoft tem dados de manutenção observados suficientes para avaliar a prontidão para atualização do certificado de Inicialização Segura. A maioria desses dados vem de dispositivos cliente Windows, onde os sinais de manutenção são amplos e consistentes. Como resultado, as plataformas de clientes estão mais representadas.

Outros tipos de dispositivos, como o Windows Server e o Windows IoT, têm menor representação devido a diferenças nos padrões de implantação, disponibilidade de telemetria e fluxos de trabalho de atualização. Isso não indica suporte reduzido para essas plataformas. Isso reflete que menos sinais observados estão disponíveis para informar as avaliações de confiança. Os clientes que implantam atualizações de certificado de Inicialização Segura nesses ambientes devem planejar implantações com foco adicional e validação alinhados ao modelo de implantação e aos requisitos operacionais.

voltar ao início

Estrutura e classificação de dados

O Banco de Dados de Alta Confiança é organizado em buckets de dispositivo que agrupam dispositivos que compartilham hardware, firmware e atributos de plataforma comuns. Essa abordagem permite que a manutenção do Windows avalie o comportamento de atualização da Inicialização Segura em um nível de classe de dispositivo em vez de por sistema individual.

Cada bucket recebe uma classificação de confiança que reflete a avaliação atual da prontidão para atualização do certificado do Secure Boot. Essas classificações são apresentadas por meio de eventos do Windows, incluindo eventos 1801, 1802, 1803 e 1808. Para obter mais informações, consulte Eventos de atualização de variável do Banco de Dados e DBX de Inicialização Segura. A classificação de confiança também está disponível por meio da chave do Registro ConfidenceLevel . Consulte Atualizações de chave do Registro para Inicialização Segura: dispositivos Windows com atualizações gerenciadas pela TI para obter detalhes.

voltar ao início

Classificações de confiança

O Banco de Dados de Alta Confiança agrupa dispositivos em classificações de confiança que refletem a avaliação atual da Microsoft sobre a prontidão para atualização do certificado de Inicialização Segura e são usadas para orientar as decisões de implantação.

  • Alta confiança: Os dispositivos desse grupo demonstraram, por meio de dados observados, que podem atualizar com êxito o firmware usando os novos certificados de Inicialização Segura.
  • Pausado temporariamente: Os dispositivos desse grupo são afetados por um problema conhecido. Para reduzir o risco, as atualizações de certificado de Inicialização Segura são pausadas temporariamente enquanto a Microsoft e seus parceiros trabalham para obter uma solução compatível. Isso pode exigir uma atualização de firmware. Procure um evento 1802 para obter mais detalhes.
  • Sem suporte - Limitação conhecida: Os dispositivos neste grupo não dão suporte ao caminho de atualização do certificado de Inicialização Segura automatizada devido a limitações de hardware ou firmware. Nenhuma resolução automática com suporte está disponível atualmente para essa configuração.
  • Sob observação - mais dados necessários: Os dispositivos desse grupo não estão bloqueados no momento, mas ainda não há dados suficientes para classificá-los como de alta confiança. As atualizações de certificado da Inicialização Segura podem ser adiadas até que dados suficientes estejam disponíveis.
  • Nenhum dado observado - Ação necessária: A Microsoft não observou esse dispositivo nos dados de atualização da Inicialização Segura. Como resultado, as atualizações automáticas de certificados não podem ser avaliadas para esse dispositivo e provavelmente é necessária uma ação do administrador. Essa classificação não está incluída no Banco de Dados de Alta Confiança e é emitida pelo Windows quando o dispositivo não é encontrado no banco de dados.

voltar ao início

Publicação do Banco de Dados de Alta Confiança

A Base de Dados de Alta Confiança é publicada através de dois mecanismos complementares. Um deles é compatível com a manutenção automatizada do Windows. O outro fornece visibilidade dos dados de confiança para clientes e parceiros.

voltar ao início

Acessar os dados no GitHub

A Microsoft publica uma versão legível do Banco de Dados de Alta Confiança no GitHub para fornecer transparência aos dados usados para avaliar a prontidão da atualização do certificado de Inicialização Segura. Esta versão inclui os atributos do dispositivo usados para formar buckets de confiança e destina-se à inspeção e análise por humanos. Ela não é usada diretamente pela manutenção do Windows.

Os dados estão disponíveis no repositório do GitHub do Microsoft Secure Boot Objects e podem ser úteis para os seguintes públicos-alvo:

  • Administradores de TI e equipes de segurança: Avalie a prontidão para implantação do Secure Boot e entenda quais classes de dispositivo podem ser qualificadas para atualizações de certificado entregues por meio de atualizações cumulativas.
  • Fabricantes de dispositivos: Examine como as configurações de dispositivo e firmware são representadas no ecossistema do Windows.
  • Outros fornecedores de sistema operacional, incluindo distribuições do Linux: entenda como as configurações de dispositivo e firmware são classificadas e, quando aplicável, alinhem-se com a abordagem de distribuição em fases da Microsoft.

Os dados são atualizados duas vezes por mês, alinhados com as atualizações mensais de segurança na segunda terça-feira do mês e atualizações opcionais de visualização não relacionadas à segurança na quarta terça-feira do mês.

voltar ao início

Dados de Alta Confiança incluídos em atualizações de manutenção

Uma versão assinada do Banco de Dados de Alta Confiança está incluída nas atualizações cumulativas do Windows e é usada diretamente pela manutenção do Windows para avaliar a prontidão para atualização do certificado de Inicialização Segura. Esses dados são protegidos e avaliados localmente, permitindo decisões de manutenção mesmo quando um dispositivo não está visível para a telemetria da Microsoft.

No dispositivo, os dados são armazenados conforme BucketConfidenceData.cab em:

Observação

%SystemRoot%\System32\SecureBootUpdates\

Essa versão integrada de manutenção contém uma representação compacta e estruturada de buckets de confiança. Ele inclui apenas os atributos necessários para determinar a associação de bucket e a classificação de confiança associada. Os metadados de versão e carimbo de data/hora garantem que os dados aplicáveis mais recentes sejam usados. Esta versão é otimizada para confiabilidade, tamanho e segurança e não se destina a inspeção ou modificação direta.

voltar ao início

Receber atualizações de Banco de Dados de Alta Confiança com mais frequência

Dispositivos que executam o Windows 11, versão 24H2 ou 25H2, podem receber atualizações do Banco de Dados de Alta Confiança com mais frequência do que a cadência de atualização de segurança mensal. Além das atualizações mensais de segurança, essas versões também recebem atualizações opcionais de visualização não relacionadas à segurança, que podem incluir dados de confiança mais recentes. A instalação dessas atualizações permite que os clientes fiquem mais próximos dos dados de confiança mais recentes, mantendo-se dentro da manutenção padrão do Windows.

voltar ao início

Reutilizando dados de Alta Confiança em versões do Windows

Em alguns ambientes, os administradores podem optar por implantar o Banco de Dados de Alta Confiança em versões do Windows com suporte mais antigas que o Windows 11, versão 24H2 ou 25H2.

Nesse cenário, o banco de dados é originado do Windows 11, versão 24H2 ou 25H2, que recebe dados de confiança mais recentes por meio de atualizações opcionais de visualização não relacionadas à segurança. A implantação desse banco de dados permite que avaliações de confiança mais recentes sejam avaliadas em versões mais antigas do Windows com suporte antes do que apenas por meio de atualizações de segurança mensais. Isso não altera a forma como a confiança é calculada ou como as atualizações de certificado do Secure Boot são aplicadas.

voltar ao início

Implantando o Banco de Dados de Alta Confiança em outras versões do Windows

Para implantar BucketConfidenceData.cab, use um processo alinhado com as ferramentas e práticas de implantação da sua organização.

  1. Obtenha BucketConfidenceData.cab de um sistema Windows 11, versão 24H2 ou 25H2 que executa as atualizações não relacionadas à segurança mais recentes. O arquivo está localizado em:

    Observação

    %SystemRoot%\System32\SecureBootUpdates\

  2. Nos dispositivos de destino, como Administrador, crie o seguinte diretório se ele ainda não existir:

    Observação

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Implante BucketConfidenceData.cab nesse diretório.

Na próxima vez que a tarefa agendada for executada, normalmente dentro de 12 horas, o Windows usará esse arquivo se ele for mais recente do que a versão incluída com atualizações de manutenção.

voltar ao início

Como o Windows seleciona os dados de confiança

Um dispositivo pode conter mais de uma cópia do Banco de Dados de Alta Confiança. Para garantir um comportamento consistente, o Windows aplica um modelo de precedência definido ao avaliar dados de confiança.

Quando um arquivo de dados de confiança assinado é incluído em uma atualização cumulativa, essa cópia de manutenção é usada por padrão. Se várias cópias estiverem presentes, o Windows selecionará a versão aplicável mais recente com base nos metadados de versão e carimbo de data/hora.

voltar ao início