Các PC Windows 11 đời cũ cần cập nhật Secure Boot ngay lập tức

Các chứng chỉ bảo mật quan trọng cho Windows 11 sẽ sớm hết hạn đối với nhiều người dùng. Trong một số trường hợp, bạn sẽ cần phải hành động để ngăn điều này xảy ra. Dưới đây là những gì bạn cần làm và lý do vì sao.

PCWorld đưa tin rằng Microsoft đang triển khai các bản cập nhật chứng chỉ Secure Boot quan trọng cho các hệ thống Windows 11 nhằm thay thế các chứng chỉ sẽ hết hạn vào tháng 6 năm 2026.

Nếu không có các bản cập nhật này, những PC Windows 11 đời cũ có thể gặp lỗ hổng bảo mật, không nhận được các bản cập nhật trong tương lai hoặc gặp sự cố khi tin cậy các boot loader mới.

Microsoft gần đây đã bắt đầu thay thế các chứng chỉ Secure Boot sắp hết hạn trên các hệ thống Windows 11 đủ điều kiện chạy phiên bản 24H2 và 25H2, theo một báo cáo của BleepingComputer. Cập nhật: Vào ngày 10 tháng 2, Microsoft xác nhận kế hoạch cập nhật các chứng chỉ Secure Boot thông qua quy trình Windows Update thông thường.

Secure Boot là một tính năng bảo mật quan trọng giúp ngăn phần mềm độc hại chạy trong quá trình khởi động hệ thống. Nó là một phần của UEFI/BIOS của Windows và so sánh chữ ký số của phần mềm với các khóa cụ thể được lưu trong hệ thống.

Microsoft đã cảnh báo từ tháng 11 rằng các chứng chỉ Secure Boot trên phần lớn thiết bị Windows hiện đang sử dụng sẽ hết hạn vào tháng 6 năm 2026. Vì vậy, đặc biệt là các quản trị viên CNTT cần sớm hành động để tránh các vấn đề với những thiết bị bị ảnh hưởng.

“Nếu không cập nhật, các thiết bị Windows bật Secure Boot có nguy cơ không nhận được các bản cập nhật bảo mật hoặc không tin cậy các boot loader mới, điều này ảnh hưởng đến cả khả năng bảo trì và bảo mật,” Microsoft giải thích.

---

Những ai bị ảnh hưởng?

Theo Microsoft, các thiết bị được sản xuất trước năm 2024 bị ảnh hưởng nhiều nhất. Những PC Windows mới hơn đã có sẵn các chứng chỉ mới nhất.

Ngoài ra, chỉ những người dùng có thiết bị khởi động ở chế độ Secure Boot mới bị ảnh hưởng. Nếu không, sẽ không có vấn đề gì.

Bạn có thể kiểm tra xem PC của mình có khởi động bằng Secure Boot hay không bằng cách nhấn Win + R, nhập “msinfo32” và kiểm tra giá trị Secure Boot Status. Nếu hiển thị On, Secure Boot đang hoạt động.

---

Bạn có thể làm gì?

Để kiểm tra trạng thái của chứng chỉ hiện đang sử dụng, hãy làm như sau:

Mở Windows PowerShell với quyền quản trị.

Nhập lệnh sau:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes)

Trong trường hợp tốt nhất, bạn sẽ thấy ít nhất một chứng chỉ hiện tại với dấu thời gian năm 2023, ví dụ:
MicrosoftUEFICertificateAuthority_2023.cer

Mẹo: Với việc thêm

-match 'Windows UEFI CA 2023', bạn cũng có thể lọc trực tiếp chứng chỉ đang tìm và nhận kết quả True hoặc False.

Ngược lại, nếu các chứng chỉ cũ hơn, khả năng cao là sẽ phát sinh vấn đề chậm nhất vào tháng 6. Vì vậy, bạn nên cài đặt các chứng chỉ mới trước thời điểm đó.

Nếu cách này không hoạt động, bạn có thể mở Registry Editor và kiểm tra tại:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Giá trị WindowsUEFICA2023Capable không được bằng 0, nếu không chứng chỉ sẽ không có sẵn.

Theo Microsoft, việc cài đặt một loạt các bản cập nhật chất lượng của Windows là đủ. Khi có đủ số lượng “tín hiệu cập nhật thành công”, Microsoft có thể “đảm bảo triển khai an toàn và dần dần”. Bạn cũng nên cho phép PC gửi dữ liệu chẩn đoán tới Microsoft.

---

Giải pháp cho doanh nghiệp

Ngoài ra, các công ty cũng có thể nhận chứng chỉ Secure Boot thông qua các khóa registry đặc biệt hoặc Windows Configuration System (WinCS). Để biết thêm thông tin, hãy tham khảo hướng dẫn chính thức của Microsoft.