Ursprungligt publiceringsdatum: den 10 mars 2026
KB-ID: 5084464
I denna artikel
Introduktion och omfattning
High Confidence-databasen har stöd för hur Windows levererar uppdateringar av certifikat för säker start genom att identifiera konfigurationer av enheten och den inbyggda programvaran som har visat lyckat uppdateringsbeteende baserat på observerade underhålls- och tillförlitlighetssignaler.
I den här artikeln förklaras vad databasen för högt förtroende representerar, hur förtroende bestäms och hur data publiceras och används av Windows-underhåll. Den är avsedd för IT-tekniker, säkerhetsteam och supporttekniker som vill förstå hur förtroendedata informerar om beslut om säker start-certifikatuppdatering, inklusive hur dessa data visas genom kumulativa uppdateringar och publiceras för kundernas synlighet.
Vad databasen för högt förtroende representerar
Databasen för högt förtroende återspeglar Microsofts bedömning av vilka konfigurationer av enheten och den inbyggda programvaran som är redo att ta emot uppdateringar av certifikat för säker start baserat på observerade underhålls- och tillförlitlighetssignaler.
Med tanke på omfattningen och mångfalden av kombinationer av maskinvara och inbyggd programvara i Windows-ekosystemet är databasen ett praktiskt sätt att utvärdera uppdateringsberedskapen genom att gruppera enheter med liknande egenskaper och mäta verkliga uppdateringsresultat. Dessa förtroendedata ingår i kumulativa uppdateringar som hjälper Windows att leverera certifikatuppdateringar för säker start på ett kontrollerat sätt som prioriterar lyckade resultat.
Begränsningar och täckningsöverväganden
Databasen för hög konfidens återspeglar var Microsoft har tillräckligt med observerade underhållsdata för att bedöma beredskapen för säker start av certifikatuppdateringar. De flesta av dessa data kommer från Windows-klientenheter, där underhållssignalerna är breda och konsekventa. Därför är klientplattformarna mer representerade.
Andra enhetstyper, till exempel Windows Server och Windows IoT, har lägre representation på grund av skillnader i distributionsmönster, telemetritillgänglighet och uppdateringsarbetsflöden. Detta anger inte minskat stöd för dessa plattformar. Det visar att det finns färre observerade signaler tillgängliga för förtroendebedömningar. Kunder som distribuerar certifikatuppdateringar för säker start i dessa miljöer bör planera distributioner med ytterligare fokus och validering som är anpassade efter deras distributionsmodell och driftkrav.
Datastruktur och klassificering
Databasen med högt förtroende är ordnad i enhetsbucketar som grupperar enheter som delar gemensam maskinvara, inbyggd programvara och plattformsattribut. Med den här metoden kan Windows-underhåll utvärdera beteendet för uppdatering av säker start på en enhetsklassnivå i stället för per enskilt system.
Varje bucket tilldelas en konfidensklassificering som återspeglar den aktuella bedömningen av beredskapen för uppdatering av certifikat för säker start. Dessa klassificeringar visas genom Windows-händelser, inklusive händelser 1801, 1802, 1803 och 1808. Mer information finns i Secure Boot DB- och DBX-uppdateringshändelser. Konfidensklassificeringen är också tillgänglig via registernyckeln ConfidenceLevel . Mer information finns i Registernyckeluppdateringar för Säker start: Windows-enheter med IT-hanterade uppdateringar .
Konfidensklassificeringar
Med hög konfidensdatabas grupperas enheter i konfidensklassificeringar som återspeglar Microsofts aktuella bedömning av beredskapen för säker start-certifikatuppdatering och används för att vägleda distributionsbeslut.
-
Högt förtroende: Enheter i den här gruppen har genom observerade data visat att de kan uppdatera inbyggd programvara med hjälp av de nya certifikaten för säker start.
-
Pausad tillfälligt: Enheter i den här gruppen påverkas av ett känt problem. För att minska risken pausas uppdateringar av certifikat för säker start tillfälligt medan Microsoft och partner arbetar mot en lösning som stöds. Det kan kräva en uppdatering av den inbyggda programvaran. Leta efter en 1802-händelse för mer information.
-
Stöds inte – känd begränsning: Enheter i den här gruppen stöder inte den automatiska säkerhetsstartcertifikatuppdateringssökvägen på grund av maskinvaru- eller inbyggd programvara. Ingen automatisk upplösning som stöds är för närvarande tillgänglig för den här konfigurationen.
-
Under observation - Mer data behövs: Enheter i den här gruppen är för närvarande inte blockerade, men det finns ännu inte tillräckligt med data för att klassificera dem som höga förtroenden. Uppdateringar av certifikat för säker start kan skjutas upp tills tillräckliga data är tillgängliga.
-
Inga data har observerats – åtgärd krävs: Microsoft har inte observerat den här enheten i uppdateringsdata för säker start. Det innebär att automatiska certifikatuppdateringar inte kan utvärderas för den här enheten, och administratörsåtgärder krävs sannolikt. Den här klassificeringen ingår inte i databasen för högt förtroende och avges av Windows när enheten inte hittas i databasen.
Publicera databasen med högt förtroende
Databasen för högt förtroende publiceras genom två kompletterande mekanismer. En har stöd för automatiserat Windows-underhåll. Den andra ger insyn i förtroendedata för kunder och partner.
Komma åt data på GitHub
Microsoft publicerar en läsbar version av Databasen för högt förtroende på GitHub för att ge insyn i de data som används för att bedöma beredskapen för uppdatering av certifikat för säker start. Den här versionen innehåller enhetsattribut som används för att bilda konfidensbuckets och är avsedd för inspektion och analys av människor. Den används inte direkt av Windows-underhåll.
Data är tillgängliga i GitHub-lagringsplatsen för Microsoft Secure Boot Objects och kan vara användbar för följande målgrupper:
-
IT-administratörer och säkerhetsteam: Utvärdera distributionsberedskapen för säker start och förstå vilka enhetsklasser som kan vara berättigade till certifikatuppdateringar som levereras via kumulativa uppdateringar.
-
Enhetstillverkare: Granska hur konfigurationer av enhet och inbyggd programvara representeras i windows-ekosystemet.
-
Andra operativsystemleverantörer, inklusive Linux-distributioner: Förstå hur konfigurationer av enheten och den inbyggda programvaran klassificeras och, i tillämpliga fall, i enlighet med Microsofts stegvisa distributionsmetod.
Data uppdateras två gånger varje månad, i linje med månatliga säkerhetsuppdateringar den andra tisdagen i månaden och valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar den fjärde tisdagen i månaden.
Data med hög konfidens som ingår i underhållsuppdateringar
En signerad version av databasen för hög konfidens ingår i kumulativa uppdateringar i Windows och används direkt av Windows-underhåll för att utvärdera beredskapen för säker start-certifikatuppdatering. Dessa data skyddas och utvärderas lokalt, vilket gör att underhållsbeslut tillåts även när en enhet inte är synlig för Microsofts telemetri.
På enheten lagras data som BucketConfidenceData.cab under:
%SystemRoot%\System32\SecureBootUpdates\
Den här underhållsintegrerade versionen innehåller en kompakt, strukturerad representation av konfidensbuckets. Den innehåller endast de attribut som krävs för att fastställa bucketmedlemskap och den associerade konfidensklassificeringen. Versions- och tidsstämpelmetadata säkerställer att de senaste tillämpliga data används. Den här versionen är optimerad för tillförlitlighet, storlek och säkerhet och är inte avsedd för direkt inspektion eller modifiering.
Få uppdateringar för hög konfidensdatabas oftare
Enheter som kör Windows 11 version 24H2 eller 25H2 kan få uppdateringar för hög konfidensdatabas oftare än den månatliga säkerhetsuppdateringen. Utöver månatliga säkerhetsuppdateringar får dessa versioner även valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar, som kan innehålla nyare förtroendedata. Genom att installera de här uppdateringarna kan kunderna hålla sig närmare de senaste förtroendedata och samtidigt hålla sig inom standardunderhåll i Windows.
Återanvända data med hög konfidens i Windows-versioner
I vissa miljöer kan administratörer välja att distribuera databasen med högt förtroende till Windows-versioner som är äldre än Windows 11 version 24H2 eller 25H2.
I det här scenariot hämtas databasen från Windows 11 version 24H2 eller 25H2, som tar emot nyare konfidensdata via valfria icke-säkerhetsrelaterade förhandsversionsuppdateringar. Genom att distribuera den här databasen kan nyare förtroendebedömningar utvärderas på äldre Windows-versioner som stöds tidigare än enbart via månatliga säkerhetsuppdateringar. Detta ändrar inte hur konfidensen beräknas eller hur uppdateringar av certifikat för säker start tillämpas.
Distribuera databasen med högt förtroende till andra Windows-versioner
Om du vill distribuera BucketConfidenceData.cabanvänder du en process som är anpassad till organisationens distributionsverktyg och -metoder.
-
Hämta BucketConfidenceData.cab från ett Windows 11-, version 24H2- eller 25H2-system som kör de senaste icke-säkerhetsrelaterade uppdateringarna. Filen finns på:
%SystemRoot%\System32\SecureBootUpdates\
-
På målenheter, som administratör, skapar du följande katalog om den inte redan finns:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
Distribuera BucketConfidenceData.cab till katalogen.
Nästa gång den schemalagda aktiviteten körs, vanligtvis inom 12 timmar, använder Windows den här filen om den är nyare än den version som ingår i underhållsuppdateringarna.
Så här väljer Windows konfidensdata
En enhet kan innehålla mer än en kopia av databasen för högt förtroende. För att säkerställa konsekvent beteende använder Windows en definierad prioritetsmodell när konfidensdata utvärderas.
När en signerad förtroendedatafil ingår i en kumulativ uppdatering används underhållskopian som standard. Om flera kopior finns väljer Windows den senaste tillämpliga versionen baserat på metadata för version och tidsstämpel.
