Opomba
- Prvotni datum objave: 10 marca, 2026
- ID zbirke znanja: 5084464
V tem članku
Objavljanje zbirke podatkov z visoko stopnjo zaupanja
- Dostop do podatkov na GitHubu
- Podatki z visoko stopnjo zaupanja, vključeni v posodobitve servisiranja
- Pogostejše prejemanje posodobitev zbirke podatkov z visoko stopnjo zaupanja
- Vnovična uporaba podatkov visoke stopnje zaupanja v različicah sistema Windows
- Uvajanje zbirke podatkov z visoko stopnjo zaupanja v druge različice sistema Windows
- Kako Windows izbere podatke o zaupanju
Uvod in področje uporabe
Zbirka podatkov z visoko stopnjo zaupanja podpira način, kako Windows zagotavlja posodobitve potrdil za varen zagon, tako da prepozna konfiguracije naprav in vdelane programske opreme, ki so pokazale uspešno posodabljanje na podlagi opaženih servisnih in zanesljivih signalov.
V tem članku je razloženo, kaj predstavlja zbirka podatkov z visoko stopnjo zaupanja, kako se določi zaupanje in kako so podatki objavljeni in uporabljeni v servisiranju sistema Windows. Namenjen je strokovnjakom za IT, varnostnim skupinam in inženirjem za podporo, ki želijo razumeti, kako podatki o zaupanju vplivajo na odločitve o posodobitvi potrdil za varen zagon, vključno s tem, kako se ti podatki prikažejo prek zbirnih posodobitev in objavijo za vidljivost strank.
Kaj predstavlja zbirka podatkov z visokim zaupanjem
Zbirka podatkov z visoko stopnjo zaupanja odraža Microsoftovo oceno o tem, katere konfiguracije naprav in vdelane programske opreme so pripravljene za prejemanje posodobitev potrdil za varen zagon na podlagi opazovanih servisnih in zanesljivih signalov.
Glede na obseg in raznolikost kombinacij strojne in vdelane programske opreme v ekosistemu Windows zbirka podatkov ponuja praktičen način za ocenjevanje pripravljenosti na posodobitev z združevanjem naprav s podobnimi značilnostmi in merjenjem rezultatov posodobitve v resničnem svetu. Ti podatki o zaupanju so vključeni v zbirne posodobitve, s katerimi sistem Windows lahko nadzorovano zagotavlja posodobitve potrdil za varen zagon, ki določa prednosti uspešnih rezultatov.
Omejitve in pomisleki glede kritja
Zbirka podatkov z visokim zaupanjem odraža, kje ima Microsoft dovolj opazovanih servisnih podatkov za oceno pripravljenosti na posodobitev potrdila za varen zagon. Večina teh podatkov prihaja iz odjemalskih naprav s sistemom Windows, kjer so servisni signali široki in dosledni. Posledično so platforme strank bolj zastopane.
Druge vrste naprav, kot sta Windows Server in Windows IoT, imajo manjšo zastopanost zaradi razlik v vzorcih uvajanja, razpoložljivosti telemetrije in potekih posodabljanja To ne pomeni zmanjšane podpore za te platforme. Odraža, da je na voljo manj opazovanih signalov za ocenjevanje zaupanja. Stranke, ki uvajajo posodobitve potrdil za varen zagon v teh okoljih, morajo načrtovati uvedbe z dodatnim poudarkom in preverjanjem veljavnosti, ki je usklajeno z njihovim modelom uvajanja in operativnimi zahtevami.
Struktura in klasifikacija podatkov
Zbirka podatkov z visoko stopnjo zaupanja je organizirana v vedra naprav, ki združujejo naprave, ki imajo skupne atribute strojne opreme, vdelane programske opreme in platforme. Ta pristop omogoča servisiranju sistema Windows, da oceni delovanje posodobitve varnega zagona na ravni razreda naprave in ne za posamezen sistem.
Vsakemu vedru je dodeljena razvrstitev zaupanja, ki odraža trenutno oceno pripravljenosti na posodobitev potrdila za varni zagon. Te klasifikacije so prikazane prek dogodkov sistema Windows, vključno z dogodki 1801, 1802, 1803 in 1808. Če želite več informacij, glejte Secure Boot DB in dogodki posodobitve spremenljivk DBX. Razvrstitev zaupanja je na voljo tudi prek registrskega ključa ConfidenceLevel . Če želite podrobnosti , glejte Posodobitve registrskega ključa za varen zagon: naprave s sistemom Windows s posodobitvami, ki jih upravlja IT .
Klasifikacije zaupanja
Zbirka podatkov z visokim zaupanjem združuje naprave v klasifikacije zaupanja, ki odražajo Microsoftovo trenutno oceno pripravljenosti na posodobitev potrdila za varni zagon in se uporabljajo za vodenje odločitev o uvajanju.
- Visoko zaupanje: Naprave v tej skupini so z opazovanimi podatki dokazale, da lahko uspešno posodabljajo vdelano programsko opremo z novimi certifikati varnega zagona.
- Začasno zaustavljeno: Na naprave v tej skupini vpliva znana težava. Da bi zmanjšali tveganje, so posodobitve potrdil varnega zagona začasno začasno zaustavljene, medtem ko Microsoft in partnerji iščejo podprto rešitev. Morda boste morali posodobiti vdelano programsko opremo. Za več podrobnosti poiščite dogodek iz leta 1802.
- Ni podprto – znana omejitev: Naprave v tej skupini ne podpirajo poti za samodejno posodobitev potrdila za varen zagon zaradi omejitev strojne ali vdelane programske opreme. Za to konfiguracijo trenutno ni na voljo nobena podprta samodejna ločljivost.
- V opazovanju - potrebnih je več podatkov: Naprave v tej skupini trenutno niso blokirane, vendar še ni dovolj podatkov, da bi jih razvrstili kot visoko zaupanje. Posodobitve potrdil za varen zagon se lahko odložijo, dokler ni na voljo dovolj podatkov.
- Podatki niso opaženi - potrebno je ukrepanje: Microsoft te naprave ni opazil v podatkih posodobitve varnega zagona. Zato samodejnih posodobitev potrdil za to napravo ni mogoče oceniti, zato je verjetno potrebno skrbniško dejanje. Ta klasifikacija ni vključena v zbirko podatkov z visoko stopnjo zaupanja in jo oddaja Windows, ko naprave ni mogoče najti v zbirki podatkov.
Objavljanje zbirke podatkov z visoko stopnjo zaupanja
Visoko zanesljiva podatkovna zbirka se objavlja z dvema dopolnjujujetima se mehanizmoma. Ena podpira avtomatizirano servisiranje sistema Windows. Drugi zagotavlja vpogled v podatke o zaupanju za stranke in partnerje.
Dostop do podatkov na GitHubu
Microsoft v storitvi GitHub objavi človeško berljivo različico zbirke podatkov z visoko stopnjo zaupanja, da zagotovi preglednost podatkov, ki se uporabljajo za ocenjevanje pripravljenosti na posodobitev potrdila za varen zagon. Ta različica vključuje atribute naprave, ki se uporabljajo za oblikovanje veder zaupanja, in je namenjena pregledom in analizi s strani ljudi. Servisiranje sistema Windows ga ne uporablja neposredno.
Podatki so na voljo v skladišču Microsoft Secure Boot Objects GitHub in so lahko uporabni za te ciljne skupine:
- Skrbniki za IT in varnostne ekipe: Ocenite pripravljenost na uvedbo varnega zagona in ugotovite, kateri razredi naprav so morda upravičeni do posodobitev potrdil, ki so na voljo prek zbirnih posodobitev.
- Proizvajalci naprav: Preberite, kako so konfiguracije naprav in vdelane programske opreme predstavljene v ekosistemu Windows.
- Drugi ponudniki operacijskih sistemov, vključno z distribucijami Linux: Razumeti, kako so razvrščene konfiguracije naprav in vdelane programske opreme, in po potrebi uskladiti z Microsoftovim pristopom postopnega uvajanja.
Podatki se posodabljajo dvakrat mesečno, pri čemer so usklajeni z mesečnimi varnostnimi posodobitvami drugi torek v mesecu in izbirnimi posodobitvami, ki niso varnostno predogledne, četrti torek v mesecu.
Podatki z visoko stopnjo zaupanja, vključeni v posodobitve servisiranja
Podpisana različica zbirke podatkov visoke stopnje zaupanja je vključena v zbirne posodobitve sistema Windows in jo uporablja neposredno servisiranje sistema Windows za ocenjevanje pripravljenosti na posodobitev potrdila za varen zagon. Ti podatki so zaščiteni in ovrednoteni lokalno, kar omogoča odločitve o servisiranju, tudi če naprava ni vidna Microsoftovi telemetriji.
V napravi so podatki shranjeni kotBucketConfidenceData.cab v razdelku:
Opomba
%SystemRoot%\System32\SecureBootUpdates\
Ta različica, integrirana v servisiranje, vsebuje kompaktno, strukturirano predstavitev veder zaupanja. Vključuje samo atribute, ki so potrebni za določitev članstva v skupini in s tem povezane klasifikacije zaupanja. Metapodatki različice in časovnega žiga zagotavljajo, da so uporabljeni najnovejši veljavni podatki. Ta različica je optimizirana za zanesljivost, velikost in varnost ter ni namenjena neposrednemu pregledu ali spreminjanju.
Pogostejše prejemanje posodobitev zbirke podatkov z visoko stopnjo zaupanja
Naprave s sistemom Windows 11, različica 24H2 ali 25H2, lahko prejemajo posodobitve zbirke podatkov z visoko stopnjo zaupanja pogosteje kot mesečni pogostost varnostnih posodobitev. Poleg mesečnih varnostnih posodobitev te različice prejmejo tudi izbirne posodobitve, ki niso varnostno predogledne in lahko vključujejo novejše podatke o zaupanju. Namestitev teh posodobitev omogoča strankam, da ostanejo bližje najnovejšim podatkom zaupanja, hkrati pa ostanejo v okviru standardnega servisiranja sistema Windows.
Vnovična uporaba podatkov visoke stopnje zaupanja v različicah sistema Windows
V nekaterih okoljih se lahko skrbniki odločijo za uvedbo zbirke podatkov z visoko stopnjo zaupanja v podprte različice sistema Windows, starejše od sistema Windows 11, različica 24H2 ali 25H2.
V tem scenariju zbirka podatkov izvira iz sistema Windows 11, različica 24H2 ali 25H2, ki prejme novejše podatke o zaupanju z izbirnimi posodobitvami predogledne različice, ki niso varnostne. Uvajanje te zbirke podatkov omogoča, da se novejše ocene zaupanja v starejših podprtih različicah sistema Windows ocenijo prej kot samo z mesečnimi varnostnimi posodobitvami. To ne spremeni načina izračuna zaupanja ali uporabe posodobitev potrdil varnega zagona.
Uvajanje zbirke podatkov z visoko stopnjo zaupanja v druge različice sistema Windows
Za uvedbo BucketConfidenceData.cabuporabite postopek, ki je usklajen z orodji in praksami uvajanja organizacije.
Pridobite BucketConfidenceData.cab iz sistema Windows 11, različice 24H2 ali 25H2, v katerem se izvajajo najnovejše posodobitve, ki niso varnostne. Datoteka je na tem mestu:
Opomba
%SystemRoot%\System32\SecureBootUpdates\
V ciljnih napravah kot skrbnik ustvarite naslednji imenik, če ta še ne obstaja:
Opomba
%ProgramData%\Microsoft\Windows\SecureBootUpdates
Uvedite BucketConfidenceData.cab v ta imenik.
Ko se načrtovano opravilo naslednjič zažene, po navadi v 12 urah, bo Windows uporabil to datoteko, če je novejša od različice, vključene v servisne posodobitve.
Kako sistem Windows izbere podatke o zanesljivosti
Naprava lahko vsebuje več kopij zbirke podatkov visoke zanesljivosti. Za zagotavljanje doslednega delovanja sistem Windows pri vrednotenju podatkov o zaupanju uporablja model določenega prednostnega položaja.
Ko je podpisana datoteka s podatki o zanesljivosti vključena v zbirno posodobitev, je ta servisna kopija uporabljena privzeto. Če je prisotnih več kopij, Windows izbere najnovejšo veljavno različico na podlagi metapodatkov različice in časovnega žiga.