En närmare titt på databasen för högt förtroende

Gäller för
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Obs

  • Ursprungligt publiceringsdatum: Senast uppdaterad: 10 mars 2026
  • KB-ID: 5084464

Artikelinnehåll

Inledning och tillämpningsområde

Databasen för högt förtroende stöder hur Windows levererar certifikatuppdateringar för säker start genom att identifiera konfigurationer av enheter och inbyggd programvara som har visat lyckat uppdateringsbeteende baserat på observerade service- och tillförlitlighetssignaler.

Den här artikeln förklarar vad databasen med högt förtroende representerar, hur konfidens bestäms och hur data publiceras och används av Windows-servicing. Den är avsedd för IT-proffs, säkerhetsteam och supporttekniker som vill förstå hur konfidensdata informerar beslut om uppdatering av certifikat för säker start, inklusive hur dessa data visas via kumulativa uppdateringar och publiceras för kundsynlighet.

tillbaka till toppen

Vad databasen för högt förtroende representerar

Databasen med högt förtroende återspeglar Microsofts utvärdering av vilka konfigurationer av enheter och inbyggd programvara som är redo att ta emot certifikatuppdateringar för säker start baserat på observerade service- och tillförlitlighetssignaler.

Med tanke på omfattningen och mångfalden av kombinationer av maskinvara och inbyggd programvara i Windows-ekosystemet ger databasen ett praktiskt sätt att utvärdera uppdateringsberedskap genom att gruppera enheter med liknande egenskaper och mäta verkliga uppdateringsresultat. Dessa konfidensdata ingår i kumulativa uppdateringar för att hjälpa Windows att leverera certifikatuppdateringar för säker start på ett kontrollerat sätt som prioriterar lyckade resultat.

tillbaka till toppen

Begränsningar och täckningsöverväganden

Databasen med högt förtroende återspeglar var Microsoft har tillräckligt med observerade underhållsdata för att utvärdera beredskapen för uppdatering av certifikat för säker start. De flesta av dessa data kommer från Windows-klientenheter, där underhållssignalerna är breda och konsekventa. Som ett resultat är klientplattformar mer representerade.

Andra enhetstyper, till exempel Windows Server och Windows IoT, har lägre representation på grund av skillnader i distributionsmönster, telemetritillgänglighet och uppdateringsarbetsflöden. Detta innebär inte minskat stöd för dessa plattformar. Det återspeglar att färre observerade signaler finns tillgängliga som underlag för konfidensbedömningar. Kunder som distribuerar certifikatuppdateringar för säker start i dessa miljöer bör planera distributioner med ytterligare fokus och validering som är anpassad till deras distributionsmodell och driftskrav.

tillbaka till toppen

Datastruktur och klassificering

Databasen för högt förtroende är ordnad i enhetsbucketar som grupperar enheter som delar vanliga maskinvaru-, programvaru- och plattformsattribut. Den här metoden gör det möjligt för Windows-underhåll att utvärdera uppdateringsbeteendet för säker start på enhetsklassnivå i stället för per enskilt system.

Varje bucket tilldelas en konfidensklassificering som återspeglar den aktuella utvärderingen av beredskap för uppdateringar av certifikat för säker start. Dessa klassificeringar visas via Windows-händelser, inklusive händelserna 1801, 1802, 1803 och 1808. Mer information finns i Variabeluppdateringshändelser för Secure Boot DB och DBX. Konfidensklassificeringen är också tillgänglig via registernyckeln ConfidenceLevel . Mer information finns i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar .

tillbaka till toppen

Konfidensklassificeringar

Databasen med högt förtroende grupperar enheter i konfidensklassificeringar som återspeglar Microsofts aktuella utvärdering av uppdateringsberedskap för certifikat för säker start och används för att vägleda distributionsbeslut.

  • Hög konfidens: Enheter i den här gruppen har, via observerade data, visat att de kan uppdatera inbyggd programvara med hjälp av de nya certifikaten för säker start.
  • Tillfälligt pausad: Enheter i den här gruppen påverkas av ett känt problem. För att minska risken pausas uppdateringar av certifikat för säker start tillfälligt medan Microsoft och partner arbetar mot en lösning som stöds. Detta kan kräva en uppdatering av den inbyggda programvaran. Leta efter en 1802-händelse för mer information.
  • Stöds inte – känd begränsning: Enheter i den här gruppen stöder inte den automatiska uppdateringssökvägen för certifikat för säker start på grund av begränsningar i maskinvara eller inbyggd programvara. Ingen automatisk lösning som stöds är för närvarande tillgänglig för den här konfigurationen.
  • Under observation - mer data behövs: Enheter i den här gruppen är för närvarande inte blockerade, men det finns ännu inte tillräckligt med data för att klassificera dem som hög konfidens. Uppdateringar av certifikat för säker start kan skjutas upp tills det finns tillräckligt med data.
  • Inga data observerade – åtgärd krävs: Microsoft har inte observerat den här enheten i uppdateringsdata för säker start. Därför kan automatiska certifikatuppdateringar inte utvärderas för den här enheten och administratörsåtgärder krävs troligtvis. Den här klassificeringen ingår inte i databasen för högt förtroende och genereras av Windows när enheten inte hittas i databasen.

tillbaka till toppen

Publicera databasen med högt förtroende

Databasen med högt förtroende publiceras genom två kompletterande mekanismer. En stöder automatiserad Windows-betjäning. Den andra ger insyn i förtroendedata för kunder och partner.

tillbaka till toppen

Komma åt data på GitHub

Microsoft publicerar en läsbar version av databasen med högt förtroende på GitHub för att ge insyn i de data som används för att utvärdera beredskapen för certifikatuppdateringar för säker start. Den här versionen innehåller de enhetsattribut som används för att bilda konfidensbuckets och är avsedd för inspektion och analys av människor. Den används inte direkt av Windows-tjänsten.

Data är tillgängliga på GitHub-lagringsplatsen för Microsoft Secure Boot Objects och kan vara användbara för följande målgrupper:

  • IT-administratörer och säkerhetsteam: Utvärdera beredskapen för distribution av säker start och förstå vilka enhetsklasser som kan vara berättigade till certifikatuppdateringar som levereras via kumulativa uppdateringar.
  • Enhetstillverkare: Granska hur konfigurationer av enheter och inbyggd programvara representeras i Windows-ekosystemet.
  • Andra operativsystemleverantörer, inklusive Linux distributioner: Förstå hur konfigurationer av enheter och inbyggd programvara klassificeras och, i förekommande fall, överensstämmer med Microsofts stegvisa distributionsmetod.

Data uppdateras två gånger varje månad, i linje med månatliga säkerhetsuppdateringar den andra tisdagen i månaden och valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar den fjärde tisdagen i månaden.

tillbaka till toppen

Data för högt förtroende ingår i underhållsuppdateringar

En signerad version av databasen för högt förtroende ingår i kumulativa Windows-uppdateringar och används direkt av Windows-underhåll för att utvärdera beredskapen för certifikatuppdatering för säker start. Dessa data skyddas och utvärderas lokalt vilket gör att underhållsbeslut kan fattas även när en enhet inte är synlig för Microsofts telemetri.

På enheten lagras data somBucketConfidenceData.cab under:

Obs

%SystemRoot%\System32\SecureBootUpdates\

Den här serviceintegrerade versionen innehåller en komprimerad, strukturerad representation av förtroendebucketar. Den innehåller endast de attribut som krävs för att bestämma bucketmedlemskap och associerad konfidensklassificering. Metadata för version och tidsstämpel säkerställer att de senaste tillämpliga data används. Den här versionen är optimerad för tillförlitlighet, storlek och säkerhet och är inte avsedd för direkt inspektion eller modifiering.

tillbaka till toppen

Ta emot databasuppdateringar med högt förtroende oftare

Enheter som kör Windows 11, version 24H2 eller 25H2 kan få uppdateringar av databasen med högt förtroende oftare än den månatliga säkerhetsuppdateringen. Förutom månatliga säkerhetsuppdateringar får dessa versioner även valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar, som kan innehålla nyare konfidensdata. Genom att installera dessa uppdateringar kan kunderna hålla sig närmare de senaste konfidensdata samtidigt som de förblir inom standardunderhåll av Windows.

tillbaka till toppen

Återanvända data med högt förtroende mellan Windows-versioner

I vissa miljöer kan administratörer välja att distribuera databasen med högt förtroende till Windows-versioner äldre än Windows 11, version 24H2 eller 25H2 som stöds.

I det här scenariot kommer databasen från Windows 11, version 24H2 eller 25H2, som får nyare konfidensdata via valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar. Genom att distribuera den här databasen kan nyare säkerhetsutvärderingar utvärderas på äldre Windows-versioner som stöds tidigare än enbart via månatliga säkerhetsuppdateringar. Detta ändrar inte hur konfidens beräknas eller hur uppdateringar av certifikat för säker start tillämpas.

tillbaka till toppen

Distribuera databasen med högt förtroende till andra Windows-versioner

Om du vill distribuera BucketConfidenceData.cabanvänder du en process som är anpassad till organisationens distributionsverktyg och -metoder.

  1. Skaffa BucketConfidenceData.cab från ett Windows 11-, version 24H2- eller 25H2-system som kör de senaste icke-säkerhetsrelaterade uppdateringarna. Filen finns på:

    Obs

    %SystemRoot%\System32\SecureBootUpdates\

  2. På målenheter skapar du som administratör följande katalog om den inte redan finns:

    Obs

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Distribuera BucketConfidenceData.cab till den katalogen.

Nästa gång den schemalagda aktiviteten körs, vanligtvis inom 12 timmar, använder Windows den här filen om den är nyare än den version som ingår i underhållsuppdateringarna.

tillbaka till toppen

Hur Windows väljer konfidensdata

En enhet kan innehålla fler än en kopia av databasen för högt förtroende. För att säkerställa konsekvent beteende tillämpar Windows en definierad prioritetsmodell vid utvärdering av konfidensdata.

När en signerad konfidensdatafil ingår i en kumulativ uppdatering används den underhållskopian som standard. Om det finns flera kopior väljs den senast tillämpliga versionen baserat på versions- och tidsstämpelmetadata.

tillbaka till början