Data de publicação original: 10 de março de 2026
ID da BDC: 5084464
Neste artigo
Introdução e âmbito
A Base de Dados de Alta Confiança suporta a forma como o Windows fornece atualizações de certificados de Arranque Seguro ao identificar configurações de dispositivos e firmware que demonstraram um comportamento de atualização bem-sucedido com base nos sinais de fiabilidade e manutenção observados.
Este artigo explica o que a Base de Dados de Alta Confiança representa, como a confiança é determinada e como os dados são publicados e utilizados pela manutenção do Windows. Destina-se a profissionais de TI, equipas de segurança e engenheiros de suporte que querem compreender como os dados de confiança informam as decisões de atualização de certificados de Arranque Seguro, incluindo a forma como estes dados são apresentados através de atualizações cumulativas e publicados para visibilidade do cliente.
O que representa a Base de Dados de Alta Confiança
A Base de Dados de Alta Confiança reflete a avaliação da Microsoft sobre que configurações de dispositivos e firmware estão prontas para receber atualizações de certificados de Arranque Seguro com base em sinais de manutenção e fiabilidade observados.
Dada a escala e diversidade das combinações de hardware e firmware no ecossistema do Windows, a base de dados fornece uma forma prática de avaliar a preparação de atualizações ao agrupar dispositivos com características semelhantes e medir os resultados de atualização do mundo real. Estes dados de confiança estão incluídos em atualizações cumulativas para ajudar o Windows a fornecer atualizações de certificados de Arranque Seguro de uma forma controlada que prioriza os resultados bem-sucedidos.
Limitações e considerações de cobertura
A Base de Dados de Alta Confiança reflete onde a Microsoft tem dados de manutenção observados suficientes para avaliar a preparação da atualização do certificado de Arranque Seguro. A maioria destes dados provém de dispositivos cliente Windows, onde os sinais de manutenção são amplos e consistentes. Como resultado, as plataformas cliente estão mais fortemente representadas.
Outros tipos de dispositivos, como Windows Server e Windows IoT, têm uma representação mais baixa devido a diferenças nos padrões de implementação, disponibilidade de telemetria e fluxos de trabalho de atualização. Isto não indica um suporte reduzido para estas plataformas. Reflecte que estão disponíveis menos sinais observados para informar as avaliações de confiança. Os clientes que implementam atualizações de certificados de Arranque Seguro nestes ambientes devem planear implementações com foco e validação adicionais alinhados com os respetivos modelos de implementação e requisitos operacionais.
Estrutura e classificação de dados
A Base de Dados de Alta Confiança está organizada em registos de dispositivos que agrupam dispositivos que partilham atributos comuns de hardware, firmware e plataforma. Esta abordagem permite que a manutenção do Windows avalie o comportamento da atualização de Arranque Seguro ao nível da classe do dispositivo e não por sistema individual.
A cada registo é atribuída uma classificação de confiança que reflete a avaliação atual da preparação da atualização do certificado de Arranque Seguro. Estas classificações são apresentadas através de eventos do Windows, incluindo os eventos 1801, 1802, 1803 e 1808. Para obter mais informações, veja Secure Boot DB and DBX variable update events (Eventos de atualização de variáveis DBX e Secure Boot DBX). A classificação de confiança também está disponível através da chave de registo ConfidenceLevel . Veja Atualizações de chaves de registo para Arranque Seguro: dispositivos Windows com atualizações geridas por TI para obter detalhes.
Classificações de confiança
A Base de Dados de Alta Confiança agrupa os dispositivos em classificações de confiança que refletem a avaliação atual da Microsoft sobre a preparação da atualização de certificados de Arranque Seguro e são utilizadas para orientar as decisões de implementação.
-
Confiança Elevada: Os dispositivos deste grupo demonstraram, através de dados observados, que podem atualizar o firmware com êxito com os novos certificados de Arranque Seguro.
-
Temporariamente em Pausa: Os dispositivos neste grupo são afetados por um problema conhecido. Para reduzir o risco, as atualizações de certificados de Arranque Seguro são temporariamente colocadas em pausa enquanto a Microsoft e os parceiros trabalham para uma resolução suportada. Isto pode exigir uma atualização de firmware. Procure um evento 1802 para obter mais detalhes.
-
Não Suportado - Limitação Conhecida: Os dispositivos neste grupo não suportam o caminho de atualização do certificado de Arranque Seguro automatizado devido a limitações de hardware ou firmware. Não existe atualmente nenhuma resolução automática suportada disponível para esta configuração.
-
Em Observação – Mais Dados Necessários: Os dispositivos neste grupo não estão atualmente bloqueados, mas ainda não existem dados suficientes para classificá-los como sendo de elevada confiança. As atualizações do certificado de Arranque Seguro podem ser diferidas até que estejam disponíveis dados suficientes.
-
Sem Dados Observados - Ação Necessária: A Microsoft não observou este dispositivo nos dados de atualização de Arranque Seguro. Como resultado, as atualizações automáticas de certificados não podem ser avaliadas para este dispositivo e é provável que seja necessária uma ação de administrador. Esta classificação não está incluída na Base de Dados de Alta Confiança e é emitida pelo Windows quando o dispositivo não é encontrado na base de dados.
Publicar a Base de Dados de Alta Confiança
A Base de Dados de Alta Confiança é publicada através de dois mecanismos complementares. Um suporta a manutenção automatizada do Windows. O outro fornece visibilidade sobre os dados de confiança para clientes e parceiros.
Aceder aos dados no GitHub
A Microsoft publica uma versão legível por humanos da Base de Dados de Alta Confiança no GitHub para fornecer transparência nos dados utilizados para avaliar a preparação da atualização de certificados de Arranque Seguro. Esta versão inclui os atributos do dispositivo utilizados para formar registos de confiança e destina-se à inspeção e análise por parte dos seres humanos. Não é utilizado diretamente pela manutenção do Windows.
Os dados estão disponíveis no Repositório gitHub de Objetos de Arranque Seguro da Microsoft e podem ser úteis para as seguintes audiências:
-
Administradores de TI e equipas de segurança: Avalie a preparação da implementação de Arranque Seguro e compreenda que classes de dispositivos podem ser elegíveis para atualizações de certificado fornecidas através de atualizações cumulativas.
-
Fabricantes de dispositivos: Reveja a forma como as configurações de dispositivos e firmware são representadas em todo o ecossistema do Windows.
-
Outros fornecedores do sistema operativo, incluindo distribuições do Linux: Compreenda como as configurações de dispositivos e firmware são classificadas e, quando aplicável, estão alinhadas com a abordagem de implementação faseada da Microsoft.
Os dados são atualizados duas vezes por mês, alinhados com as atualizações de segurança mensais na segunda terça-feira do mês e atualizações opcionais de pré-visualização não relacionadas com segurança na quarta terça-feira do mês.
Dados de Alta Confiança incluídos nas atualizações de manutenção
Uma versão assinada da Base de Dados de Alta Confiança está incluída nas atualizações cumulativas do Windows e é utilizada diretamente pela manutenção do Windows para avaliar a preparação da atualização do certificado de Arranque Seguro. Estes dados são protegidos por integridade e avaliados localmente, permitindo decisões de manutenção mesmo quando um dispositivo não está visível para a telemetria da Microsoft.
No dispositivo, os dados são armazenados como BucketConfidenceData.cab em:
%SystemRoot%\System32\SecureBootUpdates\
Esta versão integrada na manutenção contém uma representação compacta e estruturada de registos de confiança. Inclui apenas os atributos necessários para determinar a associação ao registo e a classificação de confiança associada. Os metadados da versão e do carimbo de data/hora garantem que os dados aplicáveis mais recentes são utilizados. Esta versão está otimizada para fiabilidade, tamanho e segurança e não se destina a inspeção ou modificação direta.
Receber atualizações da Base de Dados de Alta Confiança com mais frequência
Os dispositivos com Windows 11, versão 24H2 ou 25H2 podem receber atualizações da Base de Dados de Alta Confiança com mais frequência do que a cadência de atualização de segurança mensal. Além das atualizações de segurança mensais, estas versões também recebem atualizações de pré-visualização não relacionadas com segurança opcionais, que podem incluir dados de confiança mais recentes. A instalação destas atualizações permite que os clientes se mantenham mais próximos dos dados de confiança mais recentes, mantendo-se dentro da manutenção padrão do Windows.
Reutilizar dados de Alta Confiança em versões do Windows
Em alguns ambientes, os administradores podem optar por implementar a Base de Dados de Alta Confiança em versões suportadas do Windows mais antigas do que Windows 11, versão 24H2 ou 25H2.
Neste cenário, a base de dados é proveniente de Windows 11, versão 24H2 ou 25H2, que recebem dados de confiança mais recentes através de atualizações opcionais de pré-visualização não relacionadas com segurança. A implementação desta base de dados permite que as avaliações de confiança mais recentes sejam avaliadas em versões mais antigas suportadas do Windows mais cedo do que apenas através de atualizações de segurança mensais. Isto não altera a forma como a confiança é calculada ou como as atualizações de certificados de Arranque Seguro são aplicadas.
Implementar a Base de Dados de Alta Confiança noutras versões do Windows
Para implementar BucketConfidenceData.cab, utilize um processo alinhado com as ferramentas e práticas de implementação da sua organização.
-
Obtenha BucketConfidenceData.cab a partir de um sistema Windows 11, versão 24H2 ou 25H2 que execute as atualizações não relacionadas com segurança mais recentes. O ficheiro está localizado em:
%SystemRoot%\System32\SecureBootUpdates\
-
Nos dispositivos de destino, como Administrador, crie o seguinte diretório se ainda não existir:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
ImplementeBucketConfidenceData.cab nesse diretório.
Da próxima vez que a tarefa agendada for executada, normalmente dentro de 12 horas, o Windows utilizará este ficheiro se for mais recente do que a versão incluída com atualizações de manutenção.
Como o Windows seleciona dados de confiança
Um dispositivo pode conter mais do que uma cópia da Base de Dados de Alta Confiança. Para garantir um comportamento consistente, o Windows aplica um modelo de precedência definido ao avaliar dados de confiança.
Quando um ficheiro de dados de confiança assinado é incluído com uma atualização cumulativa, essa cópia de manutenção é utilizada por predefinição. Se existirem várias cópias, o Windows seleciona a versão aplicável mais recente com base nos metadados de carimbo de data/hora e versão.
