Застосовується до
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Вихідна дата публікації: 10 березня 2026 р.

Ідентифікатор KB: 5084464

У цій статті

Загальні відомості та область

База даних високої достовірності підтримує те, як Windows надає оновлення сертифіката безпечного завантаження, визначаючи конфігурації пристрою та мікропрограм, які продемонстрували успішну поведінку оновлення на основі спостережуваних сигналів обслуговування та надійності.

У цій статті пояснюється, що представляє база даних високої достовірності, як визначається впевненість і як дані публікуються та використовуються в обслуговуванні Windows. Він призначений для ІТ-фахівців, груп безпеки та інженерів служби підтримки, які хочуть зрозуміти, як довірчі дані інформують про рішення щодо оновлення сертифіката безпечного завантаження, зокрема про те, як ці дані виходять за допомогою сукупних оновлень і публікуються для видимості клієнтів.

догори

Що представляє база даних високої достовірності

База даних високої достовірності відображає оцінку корпорацією Майкрософт, які конфігурації пристрою та мікропрограми готові до отримання оновлень сертифіката безпечного завантаження на основі спостережуваних сигналів обслуговування та надійності.

З огляду на масштаб і різноманітність комбінацій апаратного та мікропрограм в екосистемі Windows, база даних надає практичний спосіб оцінити готовність до оновлення, групуючи пристрої з подібними характеристиками та вимірюючи результати реального оновлення. Ці довірчі дані включаються в сукупні оновлення, щоб допомогти Windows забезпечити оновлення сертифіката безпечного завантаження контрольованим способом, що визначає пріоритетність успішних результатів.

догори

Обмеження та зауваження щодо покриття

База даних високої достовірності відображає, де корпорація Майкрософт має достатні спостережувані дані про обслуговування для оцінки готовності до оновлення сертифіката безпечного завантаження. Більшість цих даних надходять із клієнтських пристроїв Windows, де сигнали обслуговування широкі та узгоджені. Як наслідок, клієнтські платформи більш сильно представлені.

Інші типи пристроїв, наприклад Windows Server та Windows IoT, мають нижче представлення через відмінності в шаблонах розгортання, доступності телеметрії та оновленні робочих циклів. Це не вказує на обмежену підтримку для цих платформ. Він відображає, що менше спостережуваних сигналів доступні для інформування довірчих оцінок. Клієнти, які розгортають оновлення сертифіката безпечного завантаження в цих середовищах, повинні планувати розгортання з додатковим фокусом і перевіркою відповідно до моделі розгортання та операційних вимог.

догори

Структура даних і класифікація

Базу даних високої достовірності впорядковано в блоки пристроїв, які групують пристрої, що обмінюються спільними атрибутами обладнання, мікропрограм і платформи. Цей підхід дає змогу службі Windows оцінювати поведінку оновлення безпечного завантаження на рівні класу пристрою, а не в окремій системі.

Кожному сегменту призначається довірча класифікація, яка відображає поточну оцінку готовності до оновлення сертифіката безпечного завантаження. Ці класифікації проходять через події Windows, зокрема події 1801, 1802, 1803 та 1808. Докладні відомості див. в статті Події оновлення змінних оновлення бази даних безпечного завантаження та DBX. Довірча класифікація також доступна через розділ реєстру ConfidenceLevel . Докладні відомості див . в статті Оновлення розділу реєстру для безпечного завантаження: пристрої Windows з оновленнями, керованими ІТ-системами .

 догори

Класифікації достовірності

База даних високої достовірності групує пристрої в довірчих класифікаціях, які відображають поточну оцінку корпорацією Майкрософт готовності до оновлення сертифіката безпечного завантаження та використовуються для керівництва про розгортання рішень.

  • Висока впевненість: Пристрої в цій групі продемонстрували завдяки спостережуваним даним, що вони можуть успішно оновити мікропрограму за допомогою нових сертифікатів безпечного завантаження.

  • Тимчасово призупинено: На пристрої цієї групи впливає відома проблема. Щоб знизити ризик, оновлення сертифіката безпечного завантаження тимчасово призупиняються, доки корпорація Майкрософт і партнери працюють над вирішенням підтримуваних рішень. Для цього може знадобитися оновлення мікропрограми. Докладні відомості див. в статті Подія 1802.

  • Не підтримується – відоме обмеження: Пристрої в цій групі не підтримують шлях оновлення сертифіката автоматичного безпечного завантаження через обмеження апаратного забезпечення або мікропрограми. Для цієї конфігурації зараз немає підтримуваної автоматичної роздільної здатності.

  • У розділі Спостереження – потрібні додаткові дані: Пристрої в цій групі наразі не заблоковано, але даних ще недостатньо, щоб класифікувати їх як надійні. Оновлення сертифіката безпечного завантаження можуть бути відкладені до доступності достатніх даних.

  • Дані не спостерігаються: потрібна дія: Корпорація Майкрософт не спостерігає цього пристрою в даних оновлення безпечного завантаження. Як наслідок, автоматичні оновлення сертифікатів не можна оцінити для цього пристрою, і, ймовірно, знадобиться дія адміністратора. Ця класифікація не входить до бази даних високої достовірності та випромінюється Windows, коли пристрій не знайдено в базі даних.

догори 

Публікація бази даних високої достовірності

База даних високої достовірності публікується за допомогою двох додаткових механізмів. One підтримує автоматизоване обслуговування Windows. Інший забезпечує видимість довірчих даних для клієнтів і партнерів.

догори 

Доступ до даних на GitHub

Корпорація Майкрософт публікує на GitHub зрозумілу для людини версію бази даних високої достовірності, щоб забезпечити прозорість даних, які використовуються для оцінки готовності до оновлення сертифіката безпечного завантаження. Ця версія містить атрибути пристрою, які використовуються для формування довірчих сегментів і призначені для перевірки та аналізу людьми. Вона не використовується безпосередньо в обслуговуванні Windows.

Дані доступні в репозиторії GitHub Об'єктів безпечного завантаження Microsoft і можуть бути корисними для таких аудиторій:

  • ІТ-адміністратори та групи безпеки: Оцініть готовність до розгортання безпечного завантаження та з'ясуйте, які класи пристроїв можуть мати право на оновлення сертифікатів, що надходять через сукупні оновлення.

  • Виробники пристроїв: Перегляньте, як конфігурації пристроїв і мікропрограм представлено в екосистемі Windows.

  • Інші постачальники операційної системи, зокрема дистрибутиви Linux: Дізнайтеся, як класифікуються конфігурації пристроїв і мікропрограм і, за необхідності, узгоджуються з поетапним розгортанням корпорації Майкрософт.

Дані оновлюються двічі на місяць, узгоджені з щомісячними оновленнями системи безпеки у другий вівторок місяця та необов'язковими оновленнями, не пов'язаних із безпекою, у четвертий вівторок місяця. ​​​​​

догори

Дані високої достовірності, включені в оновлення обслуговування

Підписана версія бази даних високої достовірності входить до складу сукупних оновлень Windows і використовується безпосередньо службою Windows для оцінки готовності до оновлення сертифіката безпечного завантаження. Ці дані захищено та оцінено локально, що дозволяє приймати рішення щодо обслуговування, навіть якщо пристрій не відображається телеметрії Microsoft.

На пристрої дані зберігаються як BucketConfidenceData.cab в:

%SystemRoot%\System32\SecureBootUpdates\

Ця інтегрована версія обслуговування містить компактне структуроване представлення довірчих сегментів. Вона містить лише атрибути, необхідні для визначення членства в сегменті та пов'язану довірчу класифікацію. Метадані позначки версії та часу забезпечують використання останніх застосовних даних. Ця версія оптимізована для надійності, розміру та безпеки і не призначена для безпосереднього огляду або модифікації.

догори

Частіше отримувати оновлення бази даних високої достовірності

Пристрої під керуванням Windows 11 версії 24H2 або 25H2 можуть отримувати оновлення бази даних високої достовірності частіше, ніж на місячну частоту оновлення системи безпеки. Окрім щомісячних оновлень системи безпеки, ці версії також отримують необов'язкові підготовчі оновлення, не пов'язані з безпекою, які можуть містити нові довірчі дані. Інсталювавши ці оновлення, користувачі зможуть залишатися ближче до останніх довірчих даних, залишаючись у стандартному обслуговуванні Windows.

догори

Повторне використання даних високої достовірності у версіях Windows

У деяких середовищах адміністратори можуть розгорнути базу даних високої достовірності для підтримуваних версій Windows, старіших за Windows 11 версії 24H2 або 25H2.

У цьому сценарії база даних надходить з Windows 11 версії 24H2 або 25H2, які отримують нові довірчі дані за допомогою необов'язкових оновлень для попереднього перегляду, не пов'язаних із безпекою. Розгортання цієї бази даних дає змогу оцінити нові оцінки достовірності в старіших підтримуваних версіях Windows раніше, ніж за щомісячними оновленнями безпеки. Це не змінить спосіб обчислення достовірності або застосування оновлень сертифіката безпечного завантаження.

догори

Розгортання бази даних високої достовірності в інших версіях Windows

Щоб розгорнути BucketConfidenceData.cab, скористайтеся процесом, узгодженим із інструментами та практиками розгортання організації.

  1. Отримайте BucketConfidenceData.cab з системи Windows 11 версії 24H2 або 25H2 з останніми оновленнями, не захищеними. Файл розташовано за адресою:

    %SystemRoot%\System32\SecureBootUpdates\

  2. На цільових пристроях із правами адміністратора створіть такий каталог, якщо він ще не існує: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. Розгорніть BucketConfidenceData.cab до цього каталогу.

Під час наступного виконання запланованого завдання, зазвичай протягом 12 годин, Windows використовуватиме цей файл, якщо він новіший за версію, що входить до складу оновлень обслуговування.

догори

Вибір довірчих даних у Windows

Пристрій може містити кілька копій бази даних високої достовірності. Для забезпечення узгодженої поведінки Windows застосовує визначену модель пріоритету під час оцінки довірчих даних.

Якщо підписаний файл довірчих даних входить до сукупного пакета оновлень, ця копія обслуговування використовується за замовчуванням. Якщо є кілька копій, Windows вибирає останню застосовувану версію на основі метаданих версії та позначки часу.

догори

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей