原始发布日期: 2026 年 3 月 10 日
KB ID:5084464
本任务的内容
简介和范围
高置信度数据库支持 Windows 如何提供安全启动证书更新,方法是识别已根据观察到的服务和可靠性信号演示了成功更新行为的设备和固件配置。
本文介绍高置信度数据库所代表的内容、确定置信度的方式,以及 Windows 服务如何发布和使用数据。 它适用于 IT 专业人员、安全团队和支持工程师,他们希望了解置信度数据如何为安全启动证书更新决策提供信息,包括如何通过累积更新显示此数据以及如何发布客户可见性。
高置信度数据库表示的内容
高置信度数据库反映了Microsoft根据观察到的服务和可靠性信号,评估哪些设备和固件配置已准备好接收安全启动证书更新。
鉴于 Windows 生态系统中硬件和固件组合的规模和多样性,数据库通过对具有类似特征的设备进行分组并测量实际更新结果,提供了一种评估更新就绪情况的实用方法。 此置信度数据包含在累积更新中,以帮助 Windows 以受控方式交付安全启动证书更新,从而确定成功结果的优先级。
限制和覆盖范围注意事项
高置信度数据库反映Microsoft具有足够的观测到的服务数据来评估安全启动证书更新就绪情况。 大部分数据来自 Windows 客户端设备,其中服务信号广泛且一致。 因此,客户端平台的表示更加频繁。
由于部署模式、遥测可用性和更新工作流的差异,其他设备类型(如 Windows Server 和 Windows IoT)的表示形式较低。 这并不表示对这些平台的支持减少。 它反映,可用于为置信度评估提供信息的观测信号较少。 在这些环境中部署安全启动证书更新的客户应规划部署,并使其部署模型和作要求更加关注和验证。
数据结构和分类
高置信度数据库被组织到设备存储桶中,这些存储桶对共享通用硬件、固件和平台属性的设备进行分组。 此方法允许 Windows 服务在设备类级别而不是按单个系统评估安全启动更新行为。
为每个存储桶分配了一个置信度分类,该分类反映当前对安全启动证书更新就绪情况的评估。 这些分类通过 Windows 事件显示,包括事件 1801、1802、1803 和 1808。 有关详细信息,请参阅 安全启动 DB 和 DBX 变量更新事件。 置信度分类也可通过 ConfidenceLevel 注册表项获得。 有关详细信息 ,请参阅安全启动的注册表项更新:具有 IT 托管更新的 Windows 设备 。
置信度分类
高置信度数据库将设备分组为置信度分类,反映Microsoft当前对安全启动证书更新就绪情况的评估,并用于指导部署决策。
-
高置信度: 此组中的设备通过观察到的数据证明,它们可以使用新的安全启动证书成功更新固件。
-
暂时暂停: 此组中的设备受已知问题的影响。 为了降低风险,安全启动证书更新会暂时暂停,同时Microsoft和合作伙伴努力实现受支持的解决方案。 这可能需要固件更新。 有关更多详细信息,请查找 1802 事件。
-
不支持 - 已知限制: 由于硬件或固件限制,此组中的设备不支持自动安全启动证书更新路径。 此配置当前没有受支持的自动解析可用。
-
在“观察 - 需要更多数据”下: 此组中的设备当前未被阻止,但还没有足够的数据将其分类为高置信度。 安全启动证书更新可能会延迟,直到有足够的数据可用。
-
未观察到数据 - 需要作: Microsoft未在安全启动更新数据中观察到此设备。 因此,无法为此设备评估自动证书更新,并且可能需要管理员作。 此分类不包括在高置信度数据库中,当在数据库中找不到设备时,Windows 会发出此分类。
发布高置信度数据库
高置信度数据库通过两种互补机制发布。 一个支持自动 Windows 维护。 另一个提供对客户和合作伙伴的置信度数据的可见性。
访问 GitHub 上的数据
Microsoft在 GitHub 上发布高置信度数据库的用户可读版本,以提供用于评估安全启动证书更新就绪情况的数据的透明度。 此版本包括用于形成置信桶的设备属性,供人工检查和分析。 Windows 服务不直接使用它。
Microsoft 安全启动对象 GitHub 存储库 中提供了数据,可能对以下受众有用:
-
IT 管理员和安全团队: 评估安全启动部署就绪情况,并了解哪些设备类可能有资格获得通过累积更新提供的证书更新。
-
设备制造商: 查看如何在 Windows 生态系统中表示设备和固件配置。
-
其他作系统供应商,包括 Linux 发行版: 了解如何对设备和固件配置进行分类,并在适用的情况下与Microsoft的分阶段推出方法保持一致。
数据每月更新两次,与每月第二个星期二的每月安全更新和每月第四个星期二的非安全预览版可选更新保持一致。
服务更新中包含的高置信度数据
已签名版本的高置信度数据库包含在 Windows 累积更新中,由 Windows 服务直接用于评估安全启动证书更新就绪情况。 此数据受到完整性保护,并在本地进行评估,即使设备对Microsoft遥测不可见,也允许维护决策。
在设备上,数据存储为 以下BucketConfidenceData.cab :
%SystemRoot%\System32\SecureBootUpdates\
此服务集成版本包含置信度桶的紧凑结构化表示形式。 它仅包括确定存储桶成员身份和关联的置信度分类所需的属性。 版本和时间戳元数据确保使用最新的适用数据。 此版本针对可靠性、大小和安全性进行了优化,不适用于直接检查或修改。
更频繁地接收高置信度数据库更新
与每月安全更新频率相比,运行 Windows 11 版本 24H2 或 25H2 的设备可以更频繁地接收高置信度数据库更新。 除了每月安全更新,这些版本还接收可选的非安全预览更新,其中可能包括更新的置信度数据。 安装这些更新使客户能够更接近最新的置信度数据,同时保留在标准 Windows 服务中。
跨 Windows 版本重用高置信度数据
在某些环境中,管理员可以选择将高置信度数据库部署到支持早于 Windows 11、版本 24H2 或 25H2 的 Windows 版本。
在此方案中,数据库源自 Windows 11 版本 24H2 或 25H2,它们通过可选的非安全预览版更新接收较新的置信度数据。 通过部署此数据库,可以在较旧的受支持的 Windows 版本上更快地通过每月安全更新来评估较新的置信度评估。 这不会更改置信度计算方式或应用安全启动证书更新的方式。
将高置信度数据库部署到其他 Windows 版本
若要部署 BucketConfidenceData.cab,请使用与组织的部署工具和做法一致的流程。
-
从运行最新非安全更新的 Windows 11 版本 24H2 或 25H2 系统获取BucketConfidenceData.cab。 该文件位于:
%SystemRoot%\System32\SecureBootUpdates\
-
在目标设备上,以管理员身份创建以下目录(如果尚不存在):
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
将BucketConfidenceData.cab 部署到该目录。
下次运行计划任务时(通常在 12 小时内),如果该文件比服务更新中包含的版本更新,则 Windows 将使用此文件。
Windows 如何选择置信度数据
一个设备可能包含多个高置信度数据库副本。 为确保行为一致,Windows 在评估置信度数据时应用定义的优先模型。
当已签名的置信度数据文件包含在累积更新中时,默认情况下会使用该服务副本。 如果存在多个副本,Windows 会根据版本和时间戳元数据选择最新的适用版本。
