Áp dụng cho
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ngày Phát hành Ban đầu: Ngày 29 tháng 6 năm 2026

ID KB: 5105943

Giới thiệu 

Microsoft đang triển khai các chứng chỉ Khởi động An toàn được cập nhật cho các thiết bị Windows để duy trì khả năng bảo vệ chống lại các mối đe dọa đang phát triển ở cấp độ khởi động. Hầu hết các thiết bị nhận được các bản cập nhật này tự động Windows Update. Bài viết này giải thích lý do tại sao một số thiết bị bị chặn cập nhật chứng chỉ Khởi động An toàn, điều này có nghĩa là gì và bạn có thể xem xét những hành động gì. 

Lưu ý: Để biết hướng dẫn khắc phục sự cố Khởi động An toàn chung dành cho chuyên gia CNTT, hãy xem Hướng dẫn khắc phục sự cố Khởi động An toàn.

Tóm tắt khởi động an toàn nhanh chóng 

Khởi động An toàn là một tính năng của Windows giúp kiểm tra PC mỗi lần khởi động. Trước khi Windows tải, Khởi động An toàn xác minh rằng phần mềm sắp chạy được ký bởi một nguồn đáng tin cậy. Nếu không nhận ra chữ ký, PC sẽ không khởi động phần mềm đó. Điều này chặn một loại phần mềm độc hại chính có thể tìm cách tải trước khi Windows khởi động. 

Để bảo vệ thiết bị của bạn, Khởi động An toàn được thiết kế để chỉ nhà sản xuất thiết bị gốc (OEM) mới có thể ủy quyền thay đổi cho PC của bạn ở cấp độ gốc này.  

Tại sao bạn có thể chưa nhận được bản cập nhật đầy đủ 

Ứng Bảo mật Windows là cách dễ nhất để kiểm tra xem trạng thái Khởi động An toàn của thiết bị có được cập nhật hay không hoặc liệu có bắt buộc phải có bản cập nhật vi chương trình từ nhà sản xuất hay không. 

Trên phần lớn các PC, toàn bộ bộ chứng chỉ Khởi động An toàn sẽ tự động cài đặt thông qua Windows Update. Một số thiết bị yêu cầu bản cập nhật vi chương trình từ nhà sản xuất PC trước khi bạn có thể cài đặt bản cập nhật Khởi động An toàn cần thiết. Nhiều OEM đang tích cực phát hành các bản cập nhật vi chương trình này thông qua các kênh cập nhật tiêu chuẩn của họ. Nếu cần cập nhật vi chương trình, hãy kiểm tra trang hỗ trợ Khởi động An toàn của OEM để biết các bước tiếp theo. 

Trong một số trường hợp, Bảo mật Windows thể chỉ ra rằng các bản cập nhật chứng chỉ Khởi động An toàn đang tạm thời tạm dừng hoặc bị chặn bằng cách hiển thị một trong các thông báo sau: 

Ảnh chụp màn hình Bảo mật Windows báo rằng bản cập nhật chứng chỉ Khởi động An toàn đang tạm dừng

Thư

Yêu cầu Hành động

Các thiết bị trong nhóm này bị ảnh hưởng bởi sự cố đã biết. Để giảm thiểu rủi ro, các bản cập nhật chứng chỉ Khởi động An toàn tạm thời bị tạm dừng trong khi Microsoft và các đối tác tìm cách giải quyết sự cố được hỗ trợ. Hãy liên hệ với nhà sản xuất thiết bị của bạn để được trợ giúp. 

Cần có bản cập nhật vi chương trình nhưng có thể chưa khả dụng. Khi có sẵn, bản cập nhật vi chương trình sẽ được phát hành và cài đặt thông qua kênh cập nhật tiêu chuẩn của OEM. Kiểm tra trang hỗ trợ Khởi động An toàn của nhà sản xuất thiết bị để biết các bước tiếp theo.

Ảnh chụp màn hình Bảo mật Windows báo rằng bản cập nhật chứng chỉ Khởi động An toàn bị chặn

Thư

Yêu cầu Hành động

Khởi động An toàn đang bật nhưng thiết bị của bạn không hỗ trợ bản cập nhật chứng chỉ Khởi động An toàn tự động do giới hạn phần cứng hoặc vi chương trình. Hãy liên hệ với nhà sản xuất thiết bị của bạn để được trợ giúp. 

Kiểu PC của bạn có thể không còn được OEM hỗ trợ hoặc OEM có thể không còn cung cấp bản cập nhật vi chương trình cần thiết để cập nhật cấu hình tin cậy Khởi động An toàn của thiết bị nữa. Kiểm tra trang hỗ trợ Khởi động An toàn của OEM để xác nhận xem thiết bị của bạn không được hỗ trợ hay có bản cập nhật vi chương trình hay không.

Điều gì sẽ xảy ra nếu bạn không thể cài đặt chứng chỉ Khởi động An toàn mới?

Nếu thiết bị của bạn đến ngày hết hạn mà không có chứng chỉ mới, thiết bị sẽ tiếp tục khởi động và hoạt động bình thường. Standard cập nhật Windows sẽ vẫn được cài đặt. Tuy nhiên, khi các bản cập nhật bảo mật mới được phát hành để giải quyết các mối đe dọa cho quá trình khởi động sớm, thiết bị của bạn sẽ không thể nhận được các bản cập nhật đó và sẽ không nhận được các tùy chọn bảo vệ mới nhất. 

Theo thời gian, khi các mối đe dọa mới xuất hiện, thiết bị ở trạng thái hết hạn này dần dần trở nên ít được bảo vệ hơn.  Các tính năng dựa vào Khởi động An toàn—chẳng hạn như mã hóa thiết bị hoặc phần mềm khởi động nhất định—cũng có thể ngừng hoạt động bình thường nếu chúng yêu cầu bảo vệ bảo mật được cập nhật. 

Tính năng nào tiếp tục hoạt động 

  • Thiết bị tiếp tục khởi động bình thường.

  • Các bản cập nhật Windows—các bản cập nhật tính năng và chất lượng, bao gồm các bản cập nhật bảo mật hàng tháng—tiếp tục cài đặt, ngoại trừ các cấu phần bảo mật liên quan đến khởi động yêu cầu chứng chỉ được cập nhật (xem danh sách bên dưới).

  • Các tác vụ hàng ngày như sử dụng ứng dụng, kết nối mạng và duyệt web không thay đổi.

  • Khởi động An toàn vẫn bật và tiếp tục cung cấp bảo vệ khỏi các mối đe dọa đã biết trước đây.

Những gì không còn hoạt động 

  • Không thể áp dụng các tùy chọn bảo vệ Trình quản lý Khởi động và Khởi động An toàn mới.

  • Trình tải khởi động độc hại hoặc dễ bị tấn công mới phát hiện có thể không bị chặn. Tính năng bảo vệ khỏi các mối đe dọa trong tương lai có thể dần khác với các thiết bị được cập nhật đầy đủ.

  • Một số cấu phần không phải của Microsoft dựa vào độ tin cậy Khởi động An toàn của Microsoft có thể không cập nhật được nếu chúng yêu cầu các mục nhập chứng chỉ mới hơn.

Nếu thiết bị của bạn không thể cài đặt chứng chỉ Khởi động An toàn mới, điều này sẽ làm giảm dần độ bảo mật lâu dài—chứ không phải là rủi ro ngay lập tức hoặc lỗi hệ thống. Tiếp tục tuân thủ các biện pháp bảo mật tiêu chuẩn, bao gồm luôn cập nhật các bản cập nhật Windows.

Quan trọng: Bạn không nên tắt Khởi động An toàn. Làm như vậy sẽ làm giảm mức độ bảo vệ và dẫn đến trạng thái ít an toàn hơn là không thay đổi cấu hình hiện tại.

Tài nguyên

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.