Se aplică la
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Data de publicare inițială: 10 martie 2026

ID KB: 5084464

În acest articol

Introducere și domeniu

Baza de date de înaltă încredere acceptă modul în care Windows livrează actualizările certificatelor de bootare securizată prin identificarea configurațiilor de dispozitiv și firmware care au demonstrat un comportament de actualizare reușit pe baza semnalelor observate de service și fiabilitate.

Acest articol vă arată ce reprezintă baza de date de mare încredere, modul în care este determinată încrederea și modul în care datele sunt publicate și utilizate de serviciile Windows. Acesta este destinat profesioniștilor IT, echipelor de securitate și inginerilor de asistență care doresc să înțeleagă modul în care datele de încredere informează deciziile de actualizare a certificatului de boot securizat, inclusiv modul în care aceste date sunt afișate prin actualizări cumulative și publicate pentru vizibilitatea clienților.

înapoi sus

Ce reprezintă baza de date de mare încredere

Baza de date de înaltă încredere reflectă evaluarea de către Microsoft a configurațiilor de dispozitiv și firmware care sunt pregătite să primească actualizări ale certificatului de bootare securizată pe baza semnalelor observate de service și fiabilitate.

Dată fiind amploarea și diversitatea combinațiilor de hardware și firmware din ecosistemul Windows, baza de date oferă o modalitate practică de a evalua gradul de pregătire a actualizărilor prin gruparea dispozitivelor cu caracteristici similare și măsurarea rezultatelor actualizărilor din lumea reală. Aceste date de încredere sunt incluse în actualizările cumulative, pentru a ajuta Windows să livreze actualizările certificatelor de bootare securizată într-un mod controlat, care acordă prioritate rezultatelor reușite.

înapoi sus

Limitări și considerații legate de acoperire

Baza de date de mare încredere reflectă locurile în care Microsoft a observat suficiente date de service pentru a evalua pregătirea actualizării certificatului de bootare securizată. Cele mai multe dintre aceste date provin de la dispozitive client Windows, unde semnalele de service sunt largi și unitare. Prin urmare, platformele client sunt mai bine reprezentate.

Alte tipuri de dispozitive, cum ar fi Windows Server și Windows IoT, au o reprezentare mai scăzută din cauza diferențelor dintre modelele de implementare, disponibilitatea telemetriei și fluxurile de lucru de actualizare. Acest lucru nu indică reducerea suportului pentru aceste platforme. Acesta reflectă faptul că sunt disponibile mai puține semnale observate pentru a informa evaluările de încredere. Clienții care implementează actualizări ale certificatului de boot securizat în aceste medii ar trebui să planifice implementările cu focalizare și validare suplimentare aliniate la modelul lor de implementare și la cerințele operaționale.

înapoi sus

Structura și clasificarea datelor

Baza de date de mare încredere este organizată în bucketuri de dispozitive care grupează dispozitivele care partajează atribute comune de hardware, firmware și platformă. Această abordare permite serviciilor Windows să evalueze comportamentul actualizării secure boot la un nivel de clasă de dispozitiv, nu pentru fiecare sistem individual.

Fiecărui bucket i se atribuie o clasificare de încredere care reflectă evaluarea curentă a gradului de pregătire pentru actualizarea certificatului de bootare securizată. Aceste clasificări sunt apărute prin evenimentele Windows, inclusiv evenimentele 1801, 1802, 1803 și 1808. Pentru mai multe informații, consultați Evenimente de actualizare a variabilei Secure Boot DB și DBX. Clasificarea de încredere este disponibilă și prin cheia de registry ConfidenceLevel . Consultați Actualizările cheilor de registry pentru Bootare securizată: dispozitive Windows cu actualizări gestionate de IT pentru detalii.

 înapoi sus

Clasificări de încredere

Baza de date de înaltă încredere grupează dispozitivele în clasificări de încredere care reflectă evaluarea curentă De la Microsoft a gradului de pregătire pentru actualizarea certificatului de bootare securizată și sunt utilizate pentru a ghida deciziile de implementare.

  • Nivel înalt de încredere: Dispozitivele din acest grup au demonstrat, prin datele observate, că pot actualiza cu succes firmware-ul utilizând noile certificate Secure Boot.

  • În pauză temporar: Dispozitivele din acest grup sunt afectate de o problemă cunoscută. Pentru a reduce riscurile, actualizările certificatului de bootare securizată sunt temporar puse în pauză în timp ce Microsoft și partenerii lucrează la o rezolvare acceptată. Acest lucru poate necesita o actualizare de firmware. Căutați un eveniment 1802 pentru mai multe detalii.

  • Neacceptat - Limitare cunoscută: Dispozitivele din acest grup nu acceptă calea automată de actualizare a certificatului secure Boot, din cauza limitărilor de hardware sau firmware. Momentan nu este disponibilă nicio rezoluție automată acceptată pentru această configurație.

  • Sub observație - Mai multe date necesare: Dispozitivele din acest grup nu sunt blocate în prezent, dar nu există încă suficiente date pentru a le clasifica ca fiind de mare încredere. Actualizările certificatului de bootare securizată pot fi amânate până când sunt disponibile suficiente date.

  • Nicio dată observată - Acțiune necesară: Microsoft nu a observat acest dispozitiv în datele de actualizare secure boot. Prin urmare, actualizările automate ale certificatelor nu pot fi evaluate pentru acest dispozitiv, iar acțiunea administratorului este probabil necesară. Această clasificare nu este inclusă în baza de date de mare încredere și este emisă de Windows atunci când dispozitivul nu este găsit în baza de date.

înapoi sus 

Publicarea bazei de date de mare încredere

Baza de date de mare încredere este publicată prin două mecanisme complementare. Unul acceptă service-ul Windows automat. Cealaltă oferă vizibilitate în datele de încredere pentru clienți și parteneri.

înapoi sus 

Accesarea datelor pe GitHub

Microsoft publică o versiune ce poate fi citită de oameni a bazei de date de mare încredere pe GitHub, pentru a oferi transparență în datele utilizate pentru a evalua gradul de pregătire pentru actualizarea certificatului de bootare securizată. Această versiune include atributele dispozitivului utilizate pentru a forma bucketuri de încredere și este destinată inspecției și analizei de către oameni. Acesta nu este utilizat direct de serviciile Windows.

Datele sunt disponibile în depozitul Microsoft Secure Boot Objects GitHub și pot fi utile următoarelor audiențe:

  • Administratori IT și echipe de securitate: Evaluați gradul de pregătire pentru implementarea bootării securizate și înțelegeți ce clase de dispozitive pot fi eligibile pentru actualizări de certificate livrate prin actualizări cumulative.

  • Producători de dispozitive: Revizuiți modul în care sunt reprezentate configurațiile de dispozitiv și firmware în ecosistemul Windows.

  • Alți furnizori de sisteme de operare, inclusiv distribuții Linux: Înțelegeți cum sunt clasificate configurațiile de dispozitiv și firmware și, dacă este cazul, cum se aliniază cu abordarea de lansare pe etape Microsoft.

Datele sunt actualizate de două ori pe lună, în conformitate cu actualizările de securitate lunare din a doua zi de marți a lunii și cu actualizări opționale nelegate de securitate în a patra zi de marți a lunii. ​​​​​

înapoi sus

Date de mare încredere incluse în actualizările de servicii

O versiune semnată a bazei de date de mare încredere este inclusă cu actualizările cumulative Windows și este utilizată direct de serviciile Windows pentru a evalua pregătirea de actualizare a certificatului de bootare securizată. Aceste date sunt protejate și evaluate local prin integritate, permițând decizii de service chiar și atunci când un dispozitiv nu este vizibil pentru telemetria Microsoft.

Pe dispozitiv, datele sunt stocate ca BucketConfidenceData.cab sub:

%SystemRoot%\System32\SecureBootUpdates\

Această versiune integrată în service conține o reprezentare compactă, structurată a recipientelor de încredere. Acesta include doar atributele necesare pentru a determina apartenența la bucket și clasificarea de încredere asociată. Metadatele de versiune și marcă de timp asigură utilizarea celor mai recente date aplicabile. Această versiune este optimizată pentru fiabilitate, dimensiune și securitate și nu este destinată inspecției sau modificării directe.

înapoi sus

Primirea mai frecventă a actualizărilor bazei de date de mare încredere

Dispozitivele care rulează Windows 11, versiunea 24H2 sau 25H2 pot primi actualizări de bază de date de mare încredere mai frecvent decât cadența lunară a actualizărilor de securitate. În plus față de actualizările de securitate lunare, aceste versiuni primesc și actualizări opționale nelegate de securitate, care pot include date mai noi de încredere. Instalarea acestor actualizări le permite clienților să rămână mai aproape de cele mai recente date de încredere, rămânând în cadrul serviciilor Windows standard.

înapoi sus

Reutilizarea datelor de mare încredere în versiunile Windows

În unele medii, administratorii pot alege să implementeze baza de date de încredere înaltă pentru versiunile Windows acceptate mai vechi de Windows 11, versiunea 24H2 sau 25H2.

În acest scenariu, baza de date provine de la Windows 11, versiunea 24H2 sau 25H2, care primesc date de încredere mai noi prin actualizări opționale de previzualizare nelegate de securitate. Implementarea acestei baze de date permite evaluarea evaluărilor de încredere mai noi pe versiunile mai vechi de Windows acceptate, mai devreme decât numai prin actualizări de securitate lunare. Acest lucru nu modifică modul în care se calculează încrederea sau modul în care sunt aplicate actualizările certificatelor de bootare securizată.

înapoi sus

Implementarea bazei de date de mare încredere în alte versiuni Windows

Pentru a implementa BucketConfidenceData.cab, utilizați un proces aliniat cu procesele și practicile de implementare ale organizației dvs.

  1. Obțineți BucketConfidenceData.cab de la un sistem Windows 11, versiunea 24H2 sau 25H2 care rulează cele mai recente actualizări nelegate de securitate. Fișierul se află la:

    %SystemRoot%\System32\SecureBootUpdates\

  2. Pe dispozitivele țintă, în calitate de administrator, creați următorul director, dacă nu există deja: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Implementați BucketConfidenceData.cab în acel director.

Data viitoare când se execută activitatea planificată, de obicei în termen de 12 ore, Windows va utiliza acest fișier dacă este mai nou decât versiunea inclusă cu actualizările de servicii.

înapoi sus

Cum selectează Windows datele de încredere

Un dispozitiv poate conține mai multe copii ale bazei de date de mare încredere. Pentru a asigura un comportament unitar, Windows aplică un model definit de prioritate atunci când evaluează datele de încredere.

Atunci când un fișier de date de încredere semnat este inclus cu o actualizare cumulativă, copia de service este utilizată în mod implicit. Dacă sunt prezente mai multe copii, Windows selectează cea mai recentă versiune aplicabilă pe baza metadatelor mărcii de timp și versiunii.

înapoi sus

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate