วันที่เผยแพร่ต้นฉบับ: วันที่ 10 มีนาคม 2569
KB ID: 5084464
ในบทความนี้
บทนําและขอบเขต
ฐานข้อมูลความเชื่อมั่นสูงสนับสนุนวิธีที่ Windows ส่งการอัปเดตใบรับรองการบูตแบบปลอดภัยโดยการระบุการกําหนดค่าอุปกรณ์และเฟิร์มแวร์ที่แสดงให้เห็นถึงลักษณะการทํางานของการอัปเดตที่ประสบความสําเร็จตามสัญญาณการให้บริการและความน่าเชื่อถือที่สังเกตได้
บทความนี้อธิบายความหมายของฐานข้อมูลความเชื่อมั่นสูง ความมั่นใจจะถูกกําหนดอย่างไร และวิธีการเผยแพร่และใช้ข้อมูลโดยบริการของ Windows ทีมรักษาความปลอดภัย และวิศวกรฝ่ายสนับสนุนที่ต้องการทําความเข้าใจว่าข้อมูลความเชื่อมั่นจะแจ้งการตัดสินใจในการอัปเดตใบรับรองการบูตแบบปลอดภัยอย่างไร รวมถึงวิธีการแสดงข้อมูลนี้ผ่านการอัปเดตแบบสะสมและเผยแพร่สําหรับการมองเห็นของลูกค้า
ฐานข้อมูลความเชื่อมั่นสูงหมายถึงอะไร
ฐานข้อมูลความเชื่อมั่นสูงแสดงการประเมินของ Microsoft ว่าการกําหนดค่าอุปกรณ์และเฟิร์มแวร์ใดที่พร้อมรับการอัปเดตใบรับรองการบูตแบบปลอดภัยตามสัญญาณการให้บริการและความน่าเชื่อถือที่สังเกตได้
เมื่อพิจารณาถึงระดับและความหลากหลายของชุดฮาร์ดแวร์และเฟิร์มแวร์ในระบบนิเวศของ Windows ฐานข้อมูลจึงเป็นวิธีการที่เป็นประโยชน์ในการประเมินความพร้อมในการอัปเดตโดยการจัดกลุ่มอุปกรณ์ที่มีลักษณะคล้ายกันและประเมินผลลัพธ์การอัปเดตในโลกแห่งความเป็นจริง ข้อมูลความเชื่อมั่นนี้รวมอยู่ในการอัปเดตแบบสะสมเพื่อช่วยให้ Windows ส่งการอัปเดตใบรับรองการบูตแบบปลอดภัยในลักษณะที่มีการควบคุมซึ่งจัดลําดับความสําคัญของผลลัพธ์ที่สําเร็จ
ข้อจํากัดและการพิจารณาความครอบคลุม
ฐานข้อมูลความเชื่อมั่นสูงแสดงถึงตําแหน่งที่ Microsoft ได้สังเกตข้อมูลการให้บริการที่เพียงพอเพื่อประเมินความพร้อมในการอัปเดตใบรับรองการบูตแบบปลอดภัย ข้อมูลส่วนใหญ่นี้มาจากอุปกรณ์ไคลเอ็นต์ Windows ที่มีสัญญาณการให้บริการที่กว้างและสอดคล้องกัน ดังนั้นแพลตฟอร์มลูกค้าจึงแสดงเป็นตัวแทนอย่างมาก
อุปกรณ์ชนิดอื่นๆ เช่น Windows Server และ Windows IoT จะมีการแสดงที่ต่ํากว่า เนื่องจากความแตกต่างของรูปแบบการปรับใช้ ความพร้อมใช้งานการวัดและส่งข้อมูลทางไกล และเวิร์กโฟลว์การอัปเดต ซึ่งไม่ได้ระบุว่าการสนับสนุนสําหรับแพลตฟอร์มเหล่านี้ลดลง ซึ่งแสดงให้เห็นว่ามีสัญญาณที่สังเกตน้อยลงเพื่อแจ้งการประเมินความเชื่อมั่น ลูกค้าที่ปรับใช้การอัปเดตใบรับรองการบูตแบบปลอดภัยในสภาพแวดล้อมเหล่านี้ควรวางแผนการปรับใช้ที่มีโฟกัสเพิ่มเติมและการตรวจสอบความถูกต้องที่สอดคล้องกับข้อกําหนดของแบบจําลองการปรับใช้และการดําเนินการ
โครงสร้างข้อมูลและการจําแนกประเภทข้อมูล
ฐานข้อมูลความเชื่อมั่นสูงจะถูกจัดระเบียบเป็นกลุ่มอุปกรณ์ที่จัดกลุ่มอุปกรณ์ที่ใช้ฮาร์ดแวร์ เฟิร์มแวร์ และแอตทริบิวต์แพลตฟอร์มทั่วไปร่วมกัน วิธีนี้ช่วยให้การให้บริการ Windows ประเมินลักษณะการทํางานของการอัปเดตการบูตแบบปลอดภัยที่ระดับคลาสอุปกรณ์แทนที่จะเป็นระบบแต่ละระบบ
แต่ละบักเก็ตจะได้รับการกําหนดการจัดประเภทความเชื่อมั่นที่แสดงถึงการประเมินปัจจุบันของความพร้อมในการอัปเดตใบรับรองการบูตแบบปลอดภัย การจัดประเภทเหล่านี้จะแสดงผ่านเหตุการณ์ของ Windows รวมถึงเหตุการณ์ 1801, 1802, 1803 และ 1808 ดูข้อมูลเพิ่มเติมได้ที่ เหตุการณ์การอัปเดตตัวแปร DB และ DBX สําหรับข้อมูลเพิ่มเติม การจําแนกประเภทความเชื่อมั่นจะพร้อมใช้งานผ่านรีจิสทรีคีย์ ConfidenceLevel ดู ที่ การอัปเดตรีจิสทรีคีย์สําหรับการบูตแบบปลอดภัย: อุปกรณ์ Windows ที่มีการอัปเดตที่จัดการโดย IT สําหรับรายละเอียด
การจําแนกประเภทความเชื่อมั่น
ฐานข้อมูลความเชื่อมั่นสูงจะจัดกลุ่มอุปกรณ์ต่างๆ ลงในการจัดประเภทความเชื่อมั่นที่สะท้อนถึงการประเมินปัจจุบันของ Microsoft เกี่ยวกับความพร้อมในการอัปเดตใบรับรองการบูตแบบปลอดภัย และใช้เป็นแนวทางในการตัดสินใจปรับใช้
-
ความเชื่อมั่นสูง: อุปกรณ์ในกลุ่มนี้ได้แสดงให้เห็นจากข้อมูลที่สังเกตว่าอุปกรณ์ดังกล่าวสามารถอัปเดตเฟิร์มแวร์ได้สําเร็จโดยใช้ใบรับรองการบูตแบบปลอดภัยแบบใหม่
-
หยุดชั่วคราว: อุปกรณ์ในกลุ่มนี้ได้รับผลกระทบจากปัญหาที่ทราบแล้ว เพื่อลดความเสี่ยง การอัปเดตใบรับรองการบูตแบบปลอดภัยจะหยุดชั่วคราวในขณะที่ Microsoft และคู่ค้าทํางานเพื่อแก้ไขปัญหาที่ได้รับการสนับสนุน ซึ่งอาจจําเป็นต้องมีการอัปเดตเฟิร์มแวร์ ค้นหากิจกรรม 1802 สําหรับรายละเอียดเพิ่มเติม
-
ไม่สนับสนุน - ข้อจํากัดที่ทราบแล้ว: อุปกรณ์ในกลุ่มนี้ไม่สนับสนุนเส้นทางการอัปเดตใบรับรองการบูตแบบปลอดภัยอัตโนมัติเนื่องจากข้อจํากัดของฮาร์ดแวร์หรือเฟิร์มแวร์ ขณะนี้ยังไม่มีความละเอียดอัตโนมัติที่ได้รับการสนับสนุนสําหรับการกําหนดค่านี้
-
ภายใต้ การสังเกต - ต้องการข้อมูลเพิ่มเติม: อุปกรณ์ในกลุ่มนี้ยังไม่ถูกบล็อกในขณะนี้ แต่ยังมีข้อมูลไม่เพียงพอที่จะจัดประเภทอุปกรณ์เหล่านั้นด้วยความมั่นใจสูง การอัปเดตใบรับรองการบูตแบบปลอดภัยอาจถูกเลื่อนออกไปจนกว่าจะมีข้อมูลที่เพียงพอ
-
ไม่มีข้อมูลที่สังเกต - จําเป็นต้องดําเนินการ: Microsoft ไม่พบอุปกรณ์นี้ในข้อมูลการอัปเดตการบูตแบบปลอดภัย ด้วยเหตุนี้ จึงไม่สามารถประเมินการอัปเดตใบรับรองอัตโนมัติสําหรับอุปกรณ์นี้ได้ และอาจจําเป็นต้องมีการดําเนินการของผู้ดูแลระบบ การจําแนกประเภทนี้ไม่รวมอยู่ในฐานข้อมูลความเชื่อมั่นสูง และถูกส่งโดย Windows เมื่อไม่พบอุปกรณ์ในฐานข้อมูล
การประกาศฐานข้อมูลความเชื่อมั่นสูง
ฐานข้อมูลความเชื่อมั่นสูงได้รับการเผยแพร่ผ่านสองกลไกเสริม บริการหนึ่งรองรับการให้บริการ Windows แบบอัตโนมัติ อีกส่วนหนึ่งให้การมองเห็นข้อมูลความเชื่อมั่นสําหรับลูกค้าและคู่ค้า
การเข้าถึงข้อมูลบน GitHub
Microsoft เผยแพร่ฐานข้อมูลความเชื่อมั่นสูงเวอร์ชันที่มนุษย์สามารถอ่านได้บน GitHub เพื่อให้เกิดความโปร่งใสในข้อมูลที่ใช้ในการประเมินความพร้อมในการอัปเดตใบรับรองการบูตแบบปลอดภัย เวอร์ชันนี้รวมถึงแอตทริบิวต์ของอุปกรณ์ที่ใช้ในการสร้างบักเก็ตความเชื่อมั่นและมีไว้สําหรับการตรวจสอบและการวิเคราะห์โดยมนุษย์ ซึ่งไม่ได้ใช้งานโดยตรงโดยการให้บริการของ Windows
ข้อมูลนี้มีอยู่ใน ที่เก็บ Microsoft Secure Boot Objects GitHub และอาจเป็นประโยชน์ต่อผู้ชมต่อไปนี้:
-
ผู้ดูแลระบบ IT และทีมรักษาความปลอดภัย: ประเมินความพร้อมในการปรับใช้การบูตแบบปลอดภัย และทําความเข้าใจว่าคลาสของอุปกรณ์ใดที่อาจมีสิทธิ์รับการอัปเดตใบรับรองที่ส่งผ่านการอัปเดตแบบสะสม
-
ผู้ผลิตอุปกรณ์: ตรวจสอบวิธีการแสดงการกําหนดค่าอุปกรณ์และเฟิร์มแวร์ในระบบนิเวศของ Windows
-
ผู้จัดจําหน่ายระบบปฏิบัติการอื่นๆ รวมถึงการกระจาย Linux: ทําความเข้าใจวิธีการจัดประเภทการกําหนดค่าอุปกรณ์และเฟิร์มแวร์ และถ้าเกี่ยวข้อง ให้สอดคล้องกับแนวทางการเปิดตัวแบบเป็นระยะของ Microsoft
ข้อมูลจะได้รับการอัปเดตสองครั้งต่อเดือน โดยสอดคล้องกับการอัปเดตความปลอดภัยรายเดือนในวันอังคารที่สองของเดือน และการอัปเดตตัวอย่างที่ไม่ใช่ด้านความปลอดภัยเพิ่มเติมในวันอังคารที่สี่ของเดือน
ข้อมูลความเชื่อมั่นสูงรวมอยู่ในการอัปเดตการให้บริการ
เวอร์ชันที่ลงนามของฐานข้อมูลความเชื่อมั่นสูงจะรวมอยู่ในการอัปเดตแบบสะสมของ Windows และใช้โดยตรงโดยบริการของ Windows เพื่อประเมินความพร้อมในการอัปเดตใบรับรองการบูตแบบปลอดภัย ข้อมูลนี้ได้รับการปกป้องและประเมินความสมบูรณ์ภายในเครื่อง ซึ่งช่วยให้สามารถตัดสินใจเกี่ยวกับการให้บริการได้ แม้ว่า Microsoft จะมองไม่เห็นอุปกรณ์
บนอุปกรณ์ ข้อมูลจะถูกจัดเก็บเป็น BucketConfidenceData.cab ภายใต้:
%SystemRoot%\System32\SecureBootUpdates\
เวอร์ชันที่รวมการให้บริการนี้มีการแสดงที่กะทัดรัดและมีโครงสร้างของบักเก็ตความเชื่อมั่น ซึ่งรวมถึงเฉพาะแอตทริบิวต์ที่จําเป็นในการกําหนดการเป็นสมาชิกบักเก็ตและการจําแนกประเภทความเชื่อมั่นที่เกี่ยวข้อง เมตาดาต้าของเวอร์ชันและบันทึกเวลาช่วยให้แน่ใจว่ามีการใช้ข้อมูลที่ใช้ได้ล่าสุด เวอร์ชันนี้ได้รับการปรับให้เหมาะสมสําหรับความน่าเชื่อถือ ขนาด และการรักษาความปลอดภัย และไม่ได้มีไว้สําหรับการตรวจสอบหรือการแก้ไขโดยตรง
การรับการอัปเดตฐานข้อมูลความเชื่อมั่นสูงบ่อยขึ้น
อุปกรณ์ที่ใช้ Windows 11 เวอร์ชัน 24H2 หรือ 25H2 สามารถรับการอัปเดตฐานข้อมูลความเชื่อมั่นสูงได้บ่อยกว่าความถี่การอัปเดตความปลอดภัยรายเดือน นอกจากการอัปเดตความปลอดภัยรายเดือนแล้ว เวอร์ชันเหล่านี้ยังได้รับการอัปเดตตัวอย่างที่ไม่ใช่ด้านความปลอดภัยเพิ่มเติม อีกด้วย ซึ่งอาจมีข้อมูลความเชื่อมั่นที่ใหม่กว่า การติดตั้งการอัปเดตเหล่านี้ช่วยให้ลูกค้าสามารถใกล้ชิดกับข้อมูลความเชื่อมั่นล่าสุดในขณะที่ยังคงอยู่ในการให้บริการ Windows มาตรฐาน
การใช้ข้อมูลที่มีความเชื่อมั่นสูงใน Windows เวอร์ชันต่างๆ
ในบางสภาพแวดล้อม ผู้ดูแลระบบอาจเลือกปรับใช้ฐานข้อมูลความเชื่อมั่นสูงกับ Windows เวอร์ชันที่เก่ากว่า Windows 11 เวอร์ชัน 24H2 หรือ 25H2
ในสถานการณ์สมมตินี้ ฐานข้อมูลมาจาก Windows 11 เวอร์ชัน 24H2 หรือ 25H2 ซึ่งรับข้อมูลความเชื่อมั่นที่ใหม่กว่าผ่านการอัปเดตตัวอย่างที่ไม่ใช่ด้านความปลอดภัยเพิ่มเติม การปรับใช้ฐานข้อมูลนี้ช่วยให้การประเมินความเชื่อมั่นที่ใหม่กว่าสามารถประเมินได้ใน Windows เวอร์ชันที่เก่ากว่าที่ได้รับการสนับสนุนเร็วกว่าการอัปเดตความปลอดภัยรายเดือนเพียงอย่างเดียว การดําเนินการนี้จะไม่เปลี่ยนแปลงวิธีการคํานวณความเชื่อมั่น หรือวิธีการนําการอัปเดตใบรับรองการบูตแบบปลอดภัยไปใช้
การปรับใช้ฐานข้อมูลความเชื่อมั่นสูงกับ Windows เวอร์ชันอื่น
เมื่อต้องการปรับใช้ BucketConfidenceData.cabให้ใช้กระบวนการที่สอดคล้องกับเครื่องมือและแนวทางปฏิบัติในการปรับใช้ขององค์กรของคุณ
-
รับ BucketConfidenceData.cab จากระบบ Windows 11 เวอร์ชัน 24H2 หรือ 25H2 ที่ใช้งานการอัปเดตที่ไม่ใช่ด้านความปลอดภัยล่าสุด ไฟล์จะอยู่ที่:
%SystemRoot%\System32\SecureBootUpdates\
-
บนอุปกรณ์เป้าหมาย ในฐานะผู้ดูแลระบบ ให้สร้างไดเรกทอรีต่อไปนี้หากไม่มี:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
ปรับใช้ BucketConfidenceData.cab กับไดเรกทอรีนั้น
ในครั้งถัดไปที่เรียกใช้งานที่กําหนดเวลาไว้ ซึ่งโดยทั่วไปแล้วจะอยู่ภายใน 12 ชั่วโมง Windows จะใช้ไฟล์นี้หากไฟล์นั้นใหม่กว่าเวอร์ชันที่รวมอยู่ในการอัปเดตการให้บริการ
วิธีที่ Windows เลือกข้อมูลความเชื่อมั่น
อุปกรณ์อาจมีสําเนาของฐานข้อมูลความเชื่อมั่นสูงมากกว่าหนึ่งสําเนา เพื่อรับรองลักษณะการทํางานที่สม่ําเสมอ Windows จะใช้รูปแบบความสําคัญที่กําหนดไว้เมื่อประเมินข้อมูลความเชื่อมั่น
เมื่อไฟล์ข้อมูลความเชื่อมั่นที่เซ็นชื่อถูกรวมเข้ากับการอัปเดตแบบสะสม สําเนาการให้บริการจะถูกใช้ตามค่าเริ่มต้น หากมีสําเนาอยู่หลายชุด Windows จะเลือกเวอร์ชันที่ใช้ได้ล่าสุดตามเวอร์ชันและเมตาดาต้าการประทับเวลา
