Áp dụng cho
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ngày phát hành ban đầu: ngày 26 tháng 6 năm 2025

KB ID: 5062713

Bài viết này có hướng dẫn về:

Các tổ chức (doanh nghiệp, doanh nghiệp nhỏ và giáo dục) có các thiết bị và bản cập nhật Windows được quản lý bởi bộ phận CNTT.

Lưu ý: Nếu bạn là cá nhân sở hữu thiết bị Windows cá nhân, vui lòng đi tới bài viết Thiết bị Windows dành cho người dùng gia đình, doanh nghiệp và trường học có bản cập nhật do Microsoft quản lý.

Ngày Thay đổi

Thay đổi Mô tả

Ngày 5 tháng 5 năm 2026

  • Đã thay thế nội dung trong phần Khắc phục sự cố bằng liên kết dẫn tới bài viết Khắc phục sự cố.

  • Đã loại bỏ các mục "Hết hạn chứng chỉ Khởi động An toàn", "Điều gì đang thay đổi" và "Tài nguyên Hỗ trợ Khách hàng Microsoft" khi chúng trùng lặp với thông tin chung được cung cấp trong các bài viết liên quan, chẳng hạn như hết hạn chứng chỉ Khởi động Bảo mật của Windows và các bản cập nhật CA.

Ngày 30 tháng 3 năm 2026

  • Đã giải quyết sự cố đã biết, "Bản cập nhật chứng chỉ Khởi động An toàn có thể không thành công với ID Sự kiện 1795 trên máy ảo Hyper-V"

Ngày 24 tháng 3 năm 2026

  • Cập nhật sự cố đã biết, "Các bản cập nhật chứng chỉ Khởi động An toàn có thể không thành công với ID Sự kiện 1795 trên máy ảo Hyper-V"

Ngày 16 tháng 3 năm 2026

  • Đã loại bỏ phần "Dữ liệu tin cậy mẫu" bên dưới "Mẫu mã lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn" vì nó đã lỗi thời.

Ngày 3 tháng 3 năm 2026

  • Định dạng lại đầu ra mẫu bên dưới mục "Chuẩn bị" để nó nằm trong hộp.

Ngày 24 tháng 2 năm 2026

  • Đã cập nhật nội dung cho "Tập lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn Mẫu" trong phần "Chuẩn bị". 

  • Thêm mục mới "Đầu ra mẫu" trong phần "Chuẩn bị".

Ngày 23 tháng 2 năm 2026

  • Đã cập nhật nội dung cho "Tập lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn Mẫu" trong phần "Chuẩn bị".

Ngày 13 tháng 2 năm 2026

  • Đã thêm các mục "Dữ liệu tin cậy mẫu" vào phần "Chuẩn bị". 

  • Đã loại bỏ "tập lệnh thu thập cho các sự kiện đang chờ xử lý 1801 và 1808" khỏi phần "Chuẩn bị" vì nó không còn cần thiết. 

Ngày 3 tháng 2 năm 2026

  • Đã di chuyển và định dạng lại các sự cố thường gặp trong phần Khắc phục sự cố.

  • Đã thêm một sự cố phổ biến mới: "Các bản cập nhật chứng chỉ Khởi động An toàn có thể không thành công với ID Sự kiện 1795 trên máy ảo Hyper-V".

Ngày 26 tháng 1 năm 2026

  • Đã cập nhật văn bản trong "Hỗ trợ triển khai tự động" từ "Cả hai hỗ trợ đều yêu cầu dữ liệu chẩn đoán". thành "Chỉ hỗ trợ Triển khai Tính năng có Kiểm soát mới yêu cầu dữ liệu chẩn đoán.

Ngày 11 tháng 11 năm 2025

Sửa hai lỗi đánh máy bên dưới "Hỗ trợ triển khai chứng chỉ Khởi động An toàn".

  • 0x0800 - Tên chứng chỉ đã được thay đổi từ "Microsoft UEFI CA 2023" thành "Microsoft Option ROM UEFI CA 2023".​​​​​​​

  • 0x1000 - Đã thay đổi "Microsoft Option ROM CA 2023" thành "Microsoft UEFI CA 2023".

Ngày 10 tháng 11 năm 2025

  • Sửa hai lỗi đánh máy dưới "Chứng chỉ mới": từ "Microsoft Corporation KEK CA 2023" thành "Microsoft Corporation KEK 2K CA 2023" và từ "Microsoft Option ROM CA 2023" thành "Microsoft Option ROM UEFI CA 2023".

  • Tập lệnh PowerShell mới đã được thêm vào dưới tiêu đề "Xác minh trạng thái Khởi động An toàn trên toàn đội tàu của bạn: Khởi động An toàn có được bật không? " và "Chuẩn bị".

Trong bài viết này:

Tổng quan

Bài viết này dành cho các tổ chức có các chuyên gia CNTT chuyên dụng tích cực quản lý các bản cập nhật trên toàn bộ đội máy thiết bị của họ. Hầu hết bài viết này sẽ tập trung vào các hoạt động cần thiết để bộ phận CNTT của tổ chức triển khai thành công chứng chỉ Khởi động An toàn mới. Các hoạt động này bao gồm kiểm tra vi chương trình, giám sát bản cập nhật thiết bị, bắt đầu triển khai và chẩn đoán sự cố khi phát sinh. Trình bày nhiều phương pháp triển khai và giám sát. Ngoài các hoạt động cốt lõi này, chúng tôi còn cung cấp một số hỗ trợ triển khai, bao gồm tùy chọn chọn tham gia vào Triển khai Tính năng có Kiểm soát (CFR) dành riêng cho việc triển khai chứng chỉ.

Sách giải trí triển khai dành cho chuyên gia CNTT 

Lập kế hoạch và thực hiện các bản cập nhật chứng chỉ Khởi động An toàn trên toàn đội máy của thiết bị thông qua việc chuẩn bị, giám sát, triển khai và khắc phục.

Xác minh trạng thái Khởi động An toàn trên toàn đội tàu của bạn: Khởi động An toàn có được bật không? 

Hầu hết các thiết bị được sản xuất từ năm 2012 đều có hỗ trợ Khởi động An toàn và được cung cấp tính năng Khởi động An toàn được bật. Để xác minh rằng thiết bị đã bật Khởi động An toàn, hãy thực hiện một trong các thao tác sau: 

  • Phương pháp GUI: Chuyển đến Bắt đầu Cài > thiết >quyền & mật và > Bảo mật Windows > Mật Thiết bị. Trong Bảo mật thiết bị, mục Khởi động an toàn sẽ cho biết Khởi động An toàn đang bật.

  • Phương pháp Dòng Lệnh: Tại dấu nhắc lệnh mức cao trong PowerShell, nhập Confirm-SecureBootUEFI, rồi nhấn Enter. Lệnh sẽ trả về True cho biết Khởi động An toàn đang bật.

Trong các triển khai quy mô lớn cho một đội thiết bị, phần mềm quản lý đang được các chuyên gia CNTT sử dụng sẽ cần phải cung cấp kiểm tra bật Khởi động An toàn. 

Ví dụ: phương pháp để kiểm tra trạng thái Khởi động An toàn trên thiết bị do Microsoft Intune quản lý là tạo và triển khai tập lệnh tuân Intune tùy chỉnh. Intune cài đặt tuân thủ được đề cập trong mục Sử dụng cài đặt tuân thủ tùy chỉnh cho thiết Linux và thiết bị Windows với Microsoft Intune.  

Tập lệnh Powershell ví dụ để kiểm tra xem Khởi động An toàn đã được bật hay không:

# Initialize result object in preparation for checking Secure Boot state 

$result = [PSCustomObject]@{ 

   SecureBootEnabled = $null 

  

try { 

   $result.SecureBootEnabled = Confirm-SecureBootUEFI -ErrorAction Stop 

   Write-Verbose "Secure Boot enabled: $($result.SecureBootEnabled)" 

} catch { 

   $result.SecureBootEnabled = $null 

   Write-Warning "Unable to determine Secure Boot status: $_" 

Nếu Khởi động An toàn không được bật, bạn có thể bỏ qua các bước cập nhật bên dưới vì các bước này không áp dụng.

Cách triển khai các bản cập nhật

Có nhiều cách để nhắm mục tiêu thiết bị cho các bản cập nhật chứng chỉ Khởi động An toàn. Chi tiết triển khai, bao gồm các thiết đặt và sự kiện, sẽ được thảo luận ở phần sau trong tài liệu này. Khi bạn nhắm mục tiêu một thiết bị để cập nhật, một cài đặt được thực hiện trên thiết bị để cho biết rằng thiết bị sẽ bắt đầu quá trình áp dụng các chứng chỉ mới. Một tác vụ đã lên lịch chạy trên thiết bị cứ 12 giờ một lần và phát hiện ra rằng thiết bị đã được nhắm mục tiêu cho các bản cập nhật. Đại cương của tác vụ như sau:

  1. Windows UEFI CA 2023 được áp dụng cho DB.

  2. Nếu thiết bị có Microsoft Corporation UEFI CA 2011 trong DB thì tác vụ áp dụng Microsoft Option ROM UEFI CA 2023Microsoft UEFI CA 2023 cho DB.

  3. Nhiệm vụ sau đó thêm Microsoft Corporation KEK 2K CA 2023.

  4. Cuối cùng, tác vụ đã lên lịch sẽ cập nhật trình quản lý khởi động Windows thành trình quản lý khởi động được ký bởi Windows UEFI CA 2023. Windows sẽ phát hiện thấy cần khởi động lại trước khi có thể áp dụng trình quản lý khởi động. Bản cập nhật trình quản lý khởi động sẽ bị trì hoãn cho đến khi quá trình khởi động lại diễn ra một cách tự nhiên (chẳng hạn như khi các bản cập nhật hàng tháng được áp dụng), sau đó Windows sẽ lại tìm cách áp dụng bản cập nhật trình quản lý khởi động.

Mỗi bước ở trên phải được hoàn thành thành công trước khi tác vụ đã lên lịch di chuyển đến bước tiếp theo. Trong quá trình này, nhật ký sự kiện và các trạng thái khác sẽ sẵn dùng để hỗ trợ việc giám sát việc triển khai. Dưới đây là thông tin chi tiết về việc giám sát và nhật ký sự kiện.  

Việc cập nhật Chứng chỉ Khởi động An toàn cho phép cập nhật trong tương lai cho Trình quản lý Khởi động 2023, an toàn hơn. Các bản cập nhật cụ thể trên Trình quản lý Khởi động sẽ có trong các bản phát hành trong tương lai.

Các bước triển khai 

  • Chuẩn bị: Kiểm kê và kiểm tra thiết bị.

  • Những điều cần cân nhắc về vi chương trình

  • Giám sát: Xác minh công việc giám sát và định tuyến đội tàu của bạn.

  • Triển khai: Nhắm mục tiêu thiết bị cho các bản cập nhật, bắt đầu với các tập hợp con nhỏ và mở rộng dựa trên các thử nghiệm thành công.

  • Khắc phục: Điều tra và giải quyết mọi sự cố bằng nhật ký và hỗ trợ nhà cung cấp.

Chuẩn bị 

Kiểm kê phần cứng và vi chương trình. Xây dựng mẫu thiết bị tiêu biểu dựa trên Nhà sản xuất Hệ thống, Kiểu Hệ thống, Phiên bản/Ngày BIOS, Phiên bản Sản phẩm BaseBoard, v.v., và kiểm tra các bản cập nhật trên các thiết bị đó trước khi triển khai rộng rãi.  Các tham số này thường có sẵn trong thông tin hệ thống (MSINFO32). Sử dụng các lệnh PowerShell mẫu đi kèm để kiểm tra trạng thái cập nhật Khởi động An toàn và tới các thiết bị kiểm kê trong tổ chức của bạn.

Lưu ý: 

  • Các lệnh này áp dụng nếu trạng thái Khởi động An toàn được bật.

  • Nhiều lệnh trong số này cần có đặc quyền quản trị để hoạt động.

Tập lệnh Thu thập Dữ liệu Kiểm kê Khởi động An toàn Mẫu

Sao chép và dán tập lệnh mẫu này và sửa đổi khi cần thiết cho môi trường của bạn: Tập lệnh Thu thập dữ liệu kiểm kê khởi động an toàn mẫu.

Đầu ra Mẫu:

{"UEFICA2023Status":"Đã cập nhật","UEFICA2023Error":null,"UEFICA2023ErrorEvent":null, "AvailableUpdates":"0x0","AvailableUpdatesPolicy":null,"Hostname":"LAPTOP-FEDU3LOS", "CollectionTime":"2026-02-23T08:40:36.5498322-08:00","SecureBootEnabled":true, "HighConfidenceOptOut":null,"MicrosoftUpdateManagedOptIn":null,"OEMManufacturerName": "Microsoft Corporation","OEMModelSystemFamily":"Surface","OEMModelNumber": "Surface Laptop 4","FirmwareVersion":32.101.143","FirmwareReleaseDate":"03/11/2025", "OSArchitecture":"AMD64","CanAttemptUpdateAfter":"2026-02-20T16:11:15.5890000Z","LatestEventId": 1808,"BucketId":"04b339674931caf378feadaa64c64f0613227f70a7cd7258be63bb9e2d81767f", "Confidence":"UpdateType:Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager(2023)","SkipReasonKnownIssue":null, "Event1801Count":0,"Event1808Count":5,"Event1795Count":0,"Event1795ErrorCode":null, "Event1796Count":0,"Event1796ErrorCode":null,"Event1800Count":0,"RebootPending":false, "Event1802Count":0,"KnownIssueId":null,"Event1803Count":0,"MissingKEK":false,"OSVersion": "10.0.26200","LastBootTime":"2026-02-19T04:28:00.5000000-08:00","BaseBoardManufacturer": "Microsoft Corporation","BaseBoardProduct":"Surface Laptop 4","SecureBootTaskEnabled":true, "SecureBootTaskStatus":"Ready","WinCSKeyApplied":true,"WinCSKeyStatus":"Applied"}

Mức Tin cậy Khởi động An toàn

Mức Tin cậy

Ý nghĩa

Yêu cầu Hành động

Độ tin cậy Cao

Microsoft đã xác thực lớp thiết bị này là an toàn để cập nhật

An toàn để triển khai các bản cập nhật chứng chỉ

Dưới Quan sát - Cần Thêm Dữ liệu

Microsoft vẫn đang thu thập dữ liệu Chẩn đoán của Khởi động An toàn về các thiết bị này

Đợi phân loại Microsoft

Không quan sát được Dữ liệu - Yêu cầu Hành động

Microsoft chưa xác định lớp thiết bị

Doanh nghiệp phải kiểm tra và lập kế hoạch triển khai

Tạm dừng

Các vấn đề về tương thích đã biết

Kiểm tra Bản cập nhật BIOS của OEM; Đợi Microsoft giải quyết

Không hỗ trợ - Giới hạn đã biết

Các giới hạn về nền tảng hoặc phần cứng

Tài liệu dưới dạng ngoại lệ

Bước đầu tiên nếu khởi động an toàn được bật là kiểm tra xem có sự kiện đang chờ xử lý đã được cập nhật gần đây hoặc trong quá trình cập nhật chứng chỉ Khởi động An toàn. Quan tâm cụ thể là các sự kiện gần đây nhất trong 1801 và 1808. Các sự kiện này được mô tả chi tiết trong các sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX. Vui lòng cũng kiểm tra phần Giám sát và triển khai để biết các sự kiện có thể hiển thị trạng thái của các bản cập nhật đang chờ xử lý như thế nào.  

Bước tiếp theo là kiểm kê thiết bị trong tổ chức của bạn. Thu thập các chi tiết sau đây với các lệnh PowerShell để xây dựng mẫu đại diện: 

Mã định danh Cơ bản (2 giá trị)

      1. HostName - tên $env: COMPUTERNAME 

      2. CollectionTime - Thời gian Get-Date 

Sổ đăng ký: Khóa Chính Khởi động An toàn (3 giá trị) 

     3. SecureBootEnabled - Confirm-SecureBootUEFI lệnh ghép ngắn hoặc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     4. HighConfidenceOptOut - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

     5. AvailableUpdates - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

Đăng ký: Khóa Cung cấp Dịch vụ (3 giá trị) 

     6. UEFICA2023Status -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     7. WindowsUEFICA2023Capable - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

     8. UEFICA2023Error - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Sổ đăng ký: Thuộc tính Thiết bị (7 giá trị) 

      9. OEMManufacturerName - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     10. OEMModelSystemFamily - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     11. OEMModelNumber - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     12. FirmwareVersion - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     13. FirmwareReleaseDate - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     14. OSArchitecture - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

     15. CanAttemptUpdateAfter - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\DeviceAttributes

Nhật ký Sự kiện: Nhật ký Hệ thống (5 giá trị) 

     16. LatestEventId - Sự kiện Khởi động An toàn gần đây nhất 

     17. BucketID - Trích xuất từ sự kiện 1801/1808 

     18. Sự tự tin - Trích xuất từ sự kiện 1801/1808 

     19. Sự kiện1801Count - Số lượng sự kiện 

     20. Sự kiện1808Count - Số lượng sự kiện 

Truy vấn WMI/CIM (4 giá trị) 

     21. OSVersion - Get-CimInstance Win32_OperatingSystem 

     22. LastBootTime - Get-CimInstance Win32_OperatingSystem 

     23. BaseBoardManufacturer - Get-CimInstance Win32_BaseBoard 

     24. Sản phẩm BaseBoard - Get-CimInstance Win32_BaseBoard 

     25. (Get-CIMInstance Win32_ComputerSystem). Nhà sản xuất  

     26. (Get-CIMInstance Win32_ComputerSystem). Mô hình  

    27. (Get-CIMInstance Win32_BIOS). Mô tả + ", " + (Get-CIMInstance Win32_BIOS). ReleaseDate.ToString("MM/dd/yyyy")  

    28. (Get-CIMInstance Win32_BaseBoard). Sản phẩm  

Những điều cần cân nhắc về vi chương trình

Việc triển khai chứng chỉ Khởi động An toàn mới cho đội máy bay thiết bị của bạn yêu cầu vi chương trình thiết bị đóng vai trò trong việc hoàn tất bản cập nhật. Mặc dù Microsoft hy vọng rằng hầu hết các vi chương trình thiết bị sẽ hoạt động như mong đợi, nhưng cần phải kiểm tra cẩn thận trước khi triển khai các chứng chỉ mới.

Kiểm tra hàng tồn kho phần cứng của bạn và xây dựng mẫu thiết bị nhỏ, đại diện dựa trên các tiêu chí duy nhất sau đây như: 

  • Nhà sản xuất

  • Số Kiểu

  • Phiên bản Vi chương trình

  • Phiên bản Baseboard của OEM, v.v.

Trước khi triển khai rộng rãi cho các thiết bị trong đội máy bay của bạn, chúng tôi khuyên bạn nên kiểm tra các bản cập nhật chứng chỉ trên các thiết bị mẫu tiêu biểu (được xác định theo các yếu tố như nhà sản xuất, kiểu máy, phiên bản vi chương trình) để đảm bảo các bản cập nhật được xử lý thành công. Hướng dẫn được đề xuất về số lượng thiết bị mẫu để kiểm tra cho mỗi danh mục duy nhất là từ 4 trở lên.

Điều này sẽ hỗ trợ xây dựng sự tự tin trong quá trình triển khai của bạn và giúp tránh các tác động ngoài dự đoán đến hạm đội rộng hơn của bạn. 

Trong một số trường hợp, có thể cần có bản cập nhật vi chương trình để cập nhật thành công chứng chỉ Khởi động An toàn. Trong những trường hợp này, chúng tôi khuyên bạn nên kiểm tra với OEM thiết bị của mình để xem đã có vi chương trình cập nhật hay không.

Windows trong môi trường ảo hóa

Đối với Windows chạy trong môi trường ảo, có hai phương pháp để thêm chứng chỉ mới vào các biến phần mềm khởi động an toàn:  

  • Người tạo ra môi trường ảo (AWS, Azure, Hyper-V, VMware, v.v.) có thể cung cấp bản cập nhật cho môi trường và bao gồm các chứng chỉ mới trong vi chương trình ảo hóa. Điều này sẽ hiệu quả với các thiết bị ảo hóa mới.

  • Đối với Windows chạy lâu dài trong máy ảo, các bản cập nhật có thể được áp dụng thông qua Windows như bất kỳ thiết bị nào khác, nếu vi chương trình ảo hỗ trợ các bản cập nhật Khởi động An toàn.

Giám sát và triển khai 

Chúng tôi khuyên bạn nên bắt đầu giám sát thiết bị trước khi triển khai để đảm bảo rằng quá trình giám sát hoạt động đúng và bạn có ý thức rõ về tình trạng của hạm đội trước. Các tùy chọn giám sát được thảo luận dưới đây. 

Microsoft cung cấp nhiều phương pháp để triển khai và giám sát các bản cập nhật chứng chỉ Khởi động An toàn.

Hỗ trợ triển khai tự động 

Microsoft đang cung cấp hai hỗ trợ triển khai. Những hỗ trợ này có thể hữu ích trong việc hỗ trợ việc triển khai các chứng chỉ mới cho hạm đội của bạn. Chỉ hỗ trợ Triển khai Tính năng có Kiểm soát mới yêu cầu dữ liệu chẩn đoán.

  • Tùy chọn cho các bản cập nhật tích lũy với bộ chứa tin cậy: Microsoft có thể tự động bao gồm các nhóm thiết bị có độ tin cậy cao trong các bản cập nhật hàng tháng dựa trên dữ liệu chẩn đoán được chia sẻ cho đến nay, để mang lại lợi ích cho các hệ thống và tổ chức không thể chia sẻ dữ liệu chẩn đoán. Bước này không yêu cầu bật dữ liệu chẩn đoán.

    • Đối với các tổ chức và hệ thống có thể chia sẻ dữ liệu chẩn đoán, nó cung cấp cho Microsoft khả năng hiển thị và sự tự tin rằng các thiết bị có thể triển khai thành công các chứng chỉ. Thông tin thêm về cách bật dữ liệu chẩn đoán có trong: Đặt cấu hình dữ liệu chẩn đoán Windows trong tổ chức của bạn. Chúng tôi đang tạo "bộ chứa" cho từng thiết bị duy nhất (như được định nghĩa theo các thuộc tính bao gồm nhà sản xuất, phiên bản bo mạch chủ, nhà sản xuất vi chương trình, phiên bản vi chương trình và các điểm dữ liệu bổ sung). Đối với mỗi bộ chứa, chúng tôi đang giám sát bằng chứng thành công trên nhiều thiết bị. Sau khi đã thấy đủ các bản cập nhật thành công và không gặp lỗi nào, chúng tôi sẽ xem xét bộ chứa "độ tin cậy cao" và đưa dữ liệu đó vào các bản cập nhật tích lũy hàng tháng. Khi các bản cập nhật hàng tháng được áp dụng cho thiết bị trong bộ chứa độ tin cậy cao, Windows sẽ tự động áp dụng các chứng chỉ cho các biến Khởi động An toàn UEFI trong vi chương trình.

    • Bộ chứa độ tin cậy cao bao gồm các thiết bị đang xử lý các bản cập nhật chính xác. Đương nhiên, không phải tất cả các thiết bị đều sẽ cung cấp dữ liệu chẩn đoán và điều này có thể giới hạn sự tự tin của Microsoft về khả năng xử lý chính xác các bản cập nhật của thiết bị.

    • Hỗ trợ này được bật theo mặc định cho các thiết bị có độ tin cậy cao và có thể bị tắt với cài đặt dành riêng cho thiết bị. Thông tin khác sẽ được chia sẻ trong các bản phát hành Windows trong tương lai.

  • Triển khai Tính năng có Kiểm soát (CFR):  Chọn thiết bị để triển khai do Microsoft quản lý nếu dữ liệu chẩn đoán được bật.

    • Có thể sử dụng Triển khai Tính năng có Kiểm soát (CFR) với các thiết bị khách trong đội tàu của tổ chức. Điều này yêu cầu các thiết bị gửi dữ liệu chẩn đoán bắt buộc cho Microsoft và cho biết rằng thiết bị đang chọn tham gia để cho phép CFR trên thiết bị. Chi tiết về cách chọn tham gia được mô tả bên dưới.

    • Microsoft sẽ quản lý quy trình cập nhật cho các chứng chỉ mới này trên các thiết bị Windows có sẵn dữ liệu chẩn đoán và các thiết bị đang tham gia vào Triển khai Tính năng có Kiểm soát (CFR). Mặc dù CFR có thể hỗ trợ triển khai các chứng chỉ mới nhưng các tổ chức sẽ không thể dựa vào CFR để khắc phục đội tàu của mình – CFR sẽ yêu cầu thực hiện theo các bước được nêu trong tài liệu này trong mục về Các phương pháp triển khai không được hỗ trợ tự động bao gồm.

    • Hạn chế: Có một vài lý do khiến CFR có thể không hoạt động trong môi trường của bạn. Ví dụ:

      • Không có dữ liệu chẩn đoán hoặc không thể sử dụng dữ liệu chẩn đoán trong quá trình triển khai CFR.

      • Thiết bị không có trên các phiên bản máy khách được hỗ trợ của Windows 11 và Windows 10 bản cập nhật bảo mật mở rộng (ESU).

Các phương pháp triển khai không được hỗ trợ tự động hóa

Chọn phương pháp phù hợp với môi trường của bạn. Tránh các phương pháp trộn trên cùng một thiết bị: 

  • Khóa đăng ký: Kiểm soát việc triển khai và giám sát kết quả.Có nhiều khóa đăng ký có sẵn để kiểm soát hành vi của việc triển khai các chứng chỉ và để giám sát các kết quả. Ngoài ra, có hai phím để chọn tham gia và không tham gia hỗ trợ triển khai được mô tả ở trên. Để biết thêm thông tin về khóa đăng ký, hãy xem khóa đăng ký Cập nhật Khởi động An toàn - Thiết bị Windows có các bản cập nhật do bộ quản lý CNTT quản lý.

  • chính sách nhóm tượng (GPO): Quản lý cài đặt; giám sát thông qua nhật ký đăng ký và sự kiện.Microsoft sẽ cung cấp hỗ trợ để quản lý các bản cập nhật Khởi động An toàn bằng chính sách nhóm bản cập nhật trong tương lai. Lưu ý rằng vì chính sách nhóm cài đặt, nên việc giám sát trạng thái thiết bị sẽ cần phải được thực hiện bằng cách sử dụng các phương pháp thay thế bao gồm giám sát khóa đăng ký và mục nhật ký sự kiện.

  • WINCS (Hệ thống Cấu hình Windows) CLI: Sử dụng công cụ dòng lệnh cho máy khách tham gia miền.Ngoài ra, người quản trị miền có thể sử dụng Hệ thống Cấu hình Windows (WinCS) có trong các bản cập nhật HĐH Windows để triển khai các bản cập nhật Khởi động An toàn trên các máy khách và máy chủ Windows đã tham gia miền. Nó bao gồm một loạt các tiện ích dòng lệnh (cả một thực thi truyền thống và một mô-đun PowerShell) để truy vấn và áp dụng cấu hình Khởi động An toàn trên máy tính. Để biết thêm thông tin, hãy xem các bài viết sau:

  • Microsoft Intune/Configuration Manager: Triển khai tập lệnh PowerShell. Nhà cung cấp Dịch vụ Cấu hình (CSP) sẽ được cung cấp trong bản cập nhật trong tương lai để cho phép triển khai bằng cách sử dụng Intune.

Giám sát Nhật ký Sự kiện

Hai sự kiện mới đang được cung cấp để hỗ trợ triển khai các bản cập nhật chứng chỉ Khởi động An toàn. Các sự kiện này được mô tả chi tiết trong sự kiện cập nhật biến đổi Khởi động An toàn DB và DBX

  • ID Sự kiện: 1801 Sự kiện này là một sự kiện lỗi cho biết chứng chỉ cập nhật chưa được áp dụng cho thiết bị. Sự kiện này cung cấp một số thông tin chi tiết cụ thể cho thiết bị, bao gồm các thuộc tính của thiết bị, giúp tương quan những thiết bị nào vẫn cần cập nhật.

  • ID Sự kiện: 1808 Sự kiện này là một sự kiện thông tin cho biết rằng thiết bị đã áp dụng chứng chỉ Khởi động An toàn mới bắt buộc cho vi chương trình của thiết bị.

Chiến lược triển khai 

Để giảm thiểu rủi ro, hãy triển khai các bản cập nhật Khởi động An toàn theo giai đoạn thay vì tất cả cùng một lúc. Bắt đầu với một tập hợp con nhỏ các thiết bị, xác thực kết quả, rồi mở rộng đến các nhóm bổ sung. Chúng tôi khuyên bạn nên bắt đầu với các tập hợp con thiết bị và khi bạn có được sự tự tin trong những triển khai đó, hãy thêm các tập con thiết bị bổ sung. Nhiều yếu tố có thể được sử dụng để xác định những gì đi vào một tập hợp con, bao gồm các kết quả kiểm tra trên các thiết bị mẫu và cấu trúc tổ chức, v.v. 

Quyết định về thiết bị bạn triển khai tùy thuộc vào bạn. Một số chiến lược có thể có được liệt kê ở đây. 

  • Đội tàu thiết bị lớn: bắt đầu bằng cách dựa vào các hỗ trợ được mô tả ở trên cho các thiết bị phổ biến nhất mà bạn quản lý. Song song, hãy tập trung vào các thiết bị ít phổ biến do tổ chức của bạn quản lý. Kiểm tra các thiết bị mẫu nhỏ và nếu việc kiểm tra thành công, hãy triển khai cho các thiết bị khác cùng loại. Nếu kiểm tra sản xuất các vấn đề, điều tra nguyên nhân của vấn đề và xác định các bước khắc phục. Bạn cũng có thể muốn xem xét các lớp thiết bị có giá trị cao hơn trong đội máy bay của bạn và bắt đầu thử nghiệm và triển khai để đảm bảo các thiết bị đó đã cập nhật bảo vệ sớm.

  • Hạm đội nhỏ, đa dạng lớn: Nếu hạm đội bạn đang quản lý chứa một lượng lớn các máy móc mà trong đó việc thử nghiệm các thiết bị riêng lẻ sẽ là cấm, hãy xem xét phụ thuộc rất nhiều vào hai hỗ trợ được mô tả ở trên, đặc biệt là đối với các thiết bị có khả năng là các thiết bị phổ biến trên thị trường. Ban đầu tập trung vào các thiết bị rất quan trọng trong hoạt động hàng ngày, thử nghiệm và sau đó triển khai. Tiếp tục di chuyển xuống danh sách các thiết bị có mức ưu tiên cao, thử nghiệm và triển khai trong khi giám sát đội tàu để xác nhận rằng các hỗ trợ đang giúp phần còn lại của các thiết bị.

Lưu ý 

  • Chú ý đến các thiết bị cũ hơn, đặc biệt là các thiết bị không còn được nhà sản xuất hỗ trợ. Mặc dù vi chương trình sẽ thực hiện các hoạt động cập nhật một cách chính xác, một số có thể không. Trong trường hợp vi chương trình không hoạt động đúng cách và thiết bị không còn được hỗ trợ, hãy cân nhắc việc thay thế thiết bị để đảm bảo bảo vệ Khởi động An toàn trên toàn đội máy của bạn.

  • Các thiết bị mới được sản xuất trong 1-2 năm qua có thể đã có các chứng chỉ cập nhật tại chỗ nhưng có thể không áp dụng trình quản lý khởi động đã ký Windows UEFI CA 2023 cho hệ thống. Áp dụng trình quản lý khởi động này là bước quan trọng cuối cùng trong việc triển khai cho từng thiết bị.

  • Sau khi thiết bị đã được chọn để cập nhật, có thể mất một thời gian trước khi các bản cập nhật hoàn tất. Ước tính 48 giờ và một hoặc nhiều lần khởi động lại để áp dụng chứng chỉ.

Câu hỏi Thường Gặp (Câu hỏi Thường Gặp)

Đối với các câu hỏi thường gặp, hãy xem bài viết Câu hỏi thường gặp về Khởi động An toàn.

Khắc phục sự cố

Xem tài liệu Khắc phục sự cố để biết thêm chi tiết.

Tài nguyên khác

Mẹo: Đánh dấu các tài nguyên bổ sung này.

Facebook LinkedIn Email
ĐĂNG KÝ NGUỒN CẤP DỮ LIỆU RSS

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng