原始出版日期: 2026年3月10日
KB ID:5084464
本文內容
簡介與範圍
高信心資料庫透過識別已根據觀察到的維護與可靠性訊號,識別已證明成功更新行為的裝置與韌體配置,來支援 Windows 如何提供安全開機憑證更新。
本文說明高信心資料庫的意義、信心度如何判定,以及資料如何被 Windows 服務發布與使用。 此本書旨在為 IT 專業人員、安全團隊及支援工程師設計,了解信心度資料如何影響安全啟動憑證更新決策,包括這些資料如何透過累積更新呈現並公開供客戶參考。
高信心資料庫所代表的意義
高信心資料庫反映 Microsoft 根據觀察到的維修與可靠性訊號,評估哪些裝置與韌體配置已準備好接收安全開機憑證更新。
鑑於 Windows 生態系統中硬體與韌體組合的規模與多樣性,該資料庫提供了一種實用的方式,透過將具有相似特性的裝置分組並衡量實際更新結果,來評估更新準備度。 這些信心數據會被納入累積更新中,幫助 Windows 以受控的方式提供安全開機憑證更新,並優先考量成功成果。
限制與保障考量
高信心資料庫反映 Microsoft 在哪些地方有足夠的觀察到維修資料,以評估安全啟動憑證更新的準備程度。 這些資料大多來自 Windows 用戶端裝置,因為服務訊號廣泛且一致。 因此,客戶平台的代表性更為高。
其他裝置類型,如 Windows Server 和 Windows IoT,因部署模式、遙測可用性及更新工作流程的不同,代表性較低。 這並不代表對這些平台的支持度降低。 反映出可用來輔助信心評估的觀測信號較少。 在這些環境中部署安全啟動憑證更新的客戶,應根據其部署模式與營運需求,規劃部署時更加著重並驗證。
資料結構與分類
高信心資料庫組織成裝置桶,將共享硬體、韌體及平台屬性的裝置分組。 此方法允許 Windows 服務在裝置類別層級評估安全開機更新行為,而非個別系統。
每個桶會被分配一個信心分類,反映目前對安全開機憑證更新準備度的評估。 這些分類透過 Windows 事件呈現,包括事件 1801、1802、1803 和 1808。 欲了解更多資訊,請參閱 安全開機資料庫與 DBX 變數更新事件。 信心分類也可透過 ConfidenceLevel 登錄鍵取得。 詳情請參閱 安全開機的登錄檔金鑰更新:Windows 裝置與 IT 管理 更新。
信心分類
高信心資料庫將裝置歸類於信心分類,反映 Microsoft 目前對安全啟動憑證更新準備度的評估,並用以指導部署決策。
-
高自信: 該組裝置透過觀察到的數據證明,他們能成功使用新的安全開機憑證更新韌體。
-
暫停: 這組裝置會受到已知問題的影響。 為降低風險,安全啟動憑證更新會暫時暫停,等待 Microsoft 與合作夥伴共同尋求支援的解決方案。 這可能需要韌體更新。 想了解更多細節,請查閱1802年的事件。
-
不支援 - 已知限制: 由於硬體或韌體限制,此群組的裝置不支援自動的安全開機憑證更新路徑。 目前此配置尚未支援自動解析度。
-
觀察中-需要更多資料: 這組裝置目前尚未被封鎖,但目前尚無足夠數據將其歸類為高信心等級。 安全開機憑證的更新可能會被延後,直到資料足夠可用。
-
未觀察到資料 - 需採取行動: Microsoft 尚未在安全開機更新資料中觀察到此裝置。 因此,無法評估此裝置的自動憑證更新,可能需要管理員採取行動。 此分類不包含在高信心資料庫中,當裝置未被發現時,Windows 會發出該分類。
發布高信心資料庫
高信心資料庫透過兩種互補機制發佈。 其中一台支援自動化 Windows 服務。 另一個則為客戶與合作夥伴提供信心數據的可視化。
在 GitHub 上存取資料
Microsoft 在 GitHub 上發布了高信度資料庫的可讀版本,以透明化評估安全啟動憑證更新準備度的資料。 此版本包含用於形成信心桶的裝置屬性,供人工檢查與分析使用。 Windows 維護部門並未直接使用此功能。
這些資料可在 Microsoft 安全啟動物件的 GitHub 儲存庫 取得,可能對以下族群有幫助:
-
IT 管理員與資安團隊: 評估安全開機部署準備程度,並了解哪些裝置類別可能符合透過累積更新傳遞的憑證更新資格。
-
裝置製造商: 檢視裝置與韌體配置在 Windows 生態系統中的呈現方式。
-
其他作業系統廠商,包括 Linux 發行版: 了解裝置與韌體配置的分類方式,並在適用情況下,與 Microsoft 分階段推出的策略保持一致。
資料每月更新兩次,與每月第二個星期二的安全更新及第四個星期二的非安全預覽更新相符。
高信心數據包含於維修更新中
高信心資料庫的簽署版本隨 Windows 累積更新一併提供,Windows 服務部門直接使用以評估安全開機憑證更新準備度。 這些資料受到完整性保護,並在本地評估,即使裝置對 Microsoft 遙測資料不透明,也能做出維護決策。
在裝置上,資料儲存方式如下 BucketConfidenceData.cab :
%SystemRoot%\System32\SecureBootUpdates\
此服務整合版本包含一個緊湊且結構化的信心桶表示。 它僅包含判斷桶成員資格及相關信心分類所需的屬性。 版本與時間戳中繼資料確保使用最新的適用資料。 此版本優化可靠性、尺寸與安全性,並非用於直接檢查或改裝。
更頻繁地接收高信心資料庫更新
運行 Windows 11、版本 24H2 或 25H2 的裝置,可能會比每月的安全更新頻率更高,更頻繁地接收高信心資料庫更新。 除了每月的安全更新外,這些版本還會獲得可選的非安全預覽更新,可能包含更新的信心度資料。 安裝這些更新讓客戶能在保持標準 Windows 服務範圍內,更接近最新的信心數據。
在 Windows 版本間重複使用高信度資料
在某些環境中,管理員可選擇將高信心資料庫部署至支援的 Windows 版本,該版本為 Windows 11,為 24H2 或 25H2。
在此情境中,資料庫來源為 Windows 11,版本為 24H2 或 25H2,這些版本透過可選的非安全預覽更新接收較新的信心資料。 部署此資料庫能比單靠每月安全更新更早評估較舊支援的 Windows 版本的信心評估。 這並不改變信心的計算方式或安全啟動憑證更新的應用方式。
將高信心資料庫部署至其他 Windows 版本
要部署 BucketConfidenceData.cab,請使用與貴組織部署工具與實務相符的流程。
-
可從Windows 11版本 24H2 或 25H2 系統取得 BucketConfidenceData.cab,該系統運行最新的非安全更新。 該檔案位於:
%SystemRoot%\System32\SecureBootUpdates\
-
在目標裝置上,作為管理員,若尚未建立以下目錄,請建立:
%ProgramData%\Microsoft\Windows\SecureBootUpdates
-
把 BucketConfidenceData.cab 部署到那個目錄。
下一次排程任務執行時,通常在 12 小時內,Windows 會使用該檔案,前提是該檔案比服務更新附帶的版本更新還要新。
Windows 如何選擇信心資料
一個裝置可能包含多份高信心資料庫副本。 為確保行為一致,Windows 在評估信心資料時會套用定義的優先順序模型。
當累積更新中包含簽署的信心資料檔時,該服務副本預設會被使用。 若存在多個副本,Windows 會根據版本與時間戳中繼資料選擇最新的適用版本。
