Câu hỏi thường gặp về quy trình cập nhật Khởi động An toàn

Sau khi chứng chỉ Khởi động An toàn hết hạn, các thiết bị chưa nhận được chứng chỉ 2023 mới hơn sẽ tiếp tục khởi động và hoạt động bình thường và các bản cập nhật Windows tiêu chuẩn sẽ tiếp tục cài đặt. Tuy nhiên, các thiết bị này sẽ không còn có thể nhận được các biện pháp bảo vệ bảo mật mới cho quá trình khởi động sớm, bao gồm các bản cập nhật cho Trình quản lý Khởi động Windows, cơ sở dữ liệu Khởi động An toàn, danh sách thu hồi hoặc biện pháp giảm nhẹ cho các lỗ hổng mức khởi động mới được phát hiện. 

Theo thời gian, điều này sẽ giới hạn khả năng bảo vệ của thiết bị trước các mối đe dọa đang xuất hiện và có thể ảnh hưởng đến các trường hợp dựa trên độ tin cậy Khởi động An toàn, chẳng hạn như khóa cứng BitLocker hoặc trình tải khởi động của bên thứ ba. Hầu hết các thiết bị Windows sẽ tự động nhận được chứng chỉ được cập nhật và nhiều OEM đã cung cấp bản cập nhật vi chương trình khi cần. Việc duy trì cập nhật cho thiết bị của bạn với các bản cập nhật này sẽ giúp đảm bảo thiết bị có thể tiếp tục nhận được toàn bộ các biện pháp bảo vệ bảo mật mà Khởi động An toàn được thiết kế để cung cấp.

Tốt nhất bạn nên cập nhật chứng chỉ Khởi động An toàn trước ngày hết hạn tháng 6 năm 2026. 

Nếu thiết bị của bạn do Microsoft quản lý và chia sẻ dữ liệu chẩn đoán với Microsoft, thì Microsoft sẽ tự động cập nhật chứng chỉ Khởi động An toàn trong hầu hết các trường hợp. Mặc dù Microsoft sẽ cố hết sức để cập nhật Khởi động An toàn, nhưng sẽ có một số trường hợp trong đó bản cập nhật không được đảm bảo áp dụng và sẽ cần hành động của khách hàng. Khách hàng cuối cùng chịu trách nhiệm cập nhật chứng chỉ Khởi động An toàn. 

Ví dụ về các tình huống trong đó các thiết bị do Microsoft quản lý có bật dữ liệu chẩn đoán có thể không nhận được các bản cập nhật bao gồm:

• Bản cập nhật Khởi động An toàn của Microsoft chỉ áp dụng cho một số phiên bản Windows được hỗ trợ.

• Dữ liệu chẩn đoán được bật trên thiết bị của bạn có thể bị chặn bởi tường lửa trong tổ chức của bạn và không tiếp cận Microsoft.

• Có thể đã xảy ra sự cố với vi chương trình trên thiết bị.

Lưu ý "Được Microsoft quản lý" có nghĩa là gì? Hệ thống chia sẻ dữ liệu chẩn đoán và được quản lý bởi Microsoft Cloud hoặc Intune. 

Nếu thiết bị của bạn không chia sẻ dữ liệu chẩn đoán với Microsoft và do bộ phận CNTT của tổ chức hoặc khách hàng quản lý, thì bộ phận CNTT có thể cập nhật các hệ thống theo hướng dẫn của Microsoft trong hết hạn chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA.

Nếu máy tính do Microsoft quản lý, chứng chỉ Khởi động An toàn sẽ được cập nhật thông qua Windows Update.  

Nếu máy tính do người quản trị CNTT tổ chức hoặc doanh nghiệp của bạn quản lý thì bộ phận CNTT có các phương pháp để cập nhật hệ thống bằng cách sử dụng hướng dẫn trong chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA. 

Windows 10 Hỗ trợ sẽ kết thúc vào ngày 14 tháng 10 năm 2025. Để biết thêm thông tin, hãy Windows 10 hỗ trợ kết thúc vào ngày 14 tháng 10 năm 2025. 

Để tiếp tục nhận được bảo mật Cập nhật sau ngày này, khách hàng còn lại trên Windows 10 có thể đăng ký: 

• Chương Windows 10 Bảo mật Mở Cập nhật Mở rộng (ESU), hãy xem Windows 10 Chương trình Cập nhật Bảo mật Mở rộng (ESU)

• Hoặc nếu bạn có phiên bản LTSC được hỗ trợ của Windows 10, phiên bản này sẽ tiếp tục nhận được Cập nhật bảo mật cho đến ngày hết hạn LTSC. Ví dụ: xem Chương trình Bảo mật Mở Cập nhật (ESU) dành cho doanh Windows 10

Ghi chú

• Windows 10 Enterprise LTSC có sẵn để mua dưới dạng SKU độc lập hoặc như một phần của đăng ký Windows Enterprise E3.

• Windows IoT Enterprise LTSC có thể được mua trực tiếp từ một OEM hoặc thông qua Giấy phép Nhà cung cấp dưới dạng một SKU độc lập.

Chứng chỉ Khởi động An toàn cho phép vi chương trình xác minh rằng các cấu phần quan trọng—chẳng hạn như trình quản lý khởi động, ROM tùy chọn (trình điều khiển vi chương trình) và phần mềm dựa trên vi chương trình khác—được tin cậy và chưa bị can t cơ. Microsoft sử dụng các chứng chỉ này để ký trình quản lý khởi động và các cấu phần khác cần được tin cậy, cũng như các bản cập nhật Khởi động An toàn. Khi chứng chỉ cũ hơn hết hạn, họ không còn có thể được sử dụng để ký các cấu phần mới hoặc cập nhật.

Thiết bị bị tắt Khởi động An toàn sẽ không nhận được chứng chỉ Khởi động An toàn mới trong vi chương trình. Do đó, chúng vẫn dễ bị phần mềm có hại ở mức khởi động, chẳng hạn như bootkit, vì không thực thi tính năng bảo vệ Khởi động An toàn. 

Đối với các thiết bị đủ điều kiện—chẳng hạn như những thiết bị nhận được bản cập nhật tích lũy thông qua triển khai dựa trên độ tin cậy hoặc đã đăng ký trong Bản tổng hợp Tính năng có Kiểm soát (CFR) có bật dữ liệu chẩn đoán—Microsoft sẽ cố gắng cập nhật tất cả các chứng chỉ được áp dụng. Tuy nhiên, các bản cập nhật này được cung cấp dưới dạng hỗ trợ, không đảm bảo. Người quản trị CNTT vẫn chịu trách nhiệm đảm bảo toàn bộ đội tàu của họ được cập nhật, bằng cách sử dụng CFR tự động của Microsoft và các phương pháp triển khai được ghi nhận khác.

Các chứng chỉ đã được bao gồm trong ngày 13 tháng 5 năm 2025, các bản cập nhật tích lũy (LCU) và sau đó. Tuy nhiên, chúng không được áp dụng tự động các bước bổ sung là bắt buộc. Để biết hướng dẫn triển khai, hãy xem https://aka.ms/getsecureboot.

Chúng phục vụ các mục đích khác nhau.

Bản cập nhật vi chương trình có thể cập nhật các biến Khởi động An toàn mặc định được lưu trữ trong vi chương trình. Điều này chủ yếu hữu ích nếu cài đặt Khởi động An toàn sau đó được đặt lại về mặc định vì mặc định phần mềm điều khiển sẽ xác định chứng chỉ nào được khôi phục trong trường hợp đó.

Windows áp dụng thay đổi cho các biến Khởi động An toàn hiện hoạt được thực thi trong quá trình khởi động bình thường. Các biến hoạt động này là những gì vi chương trình sử dụng để xác thực các cấu phần khởi động và những gì Windows dựa vào để cung cấp các tùy chọn bảo vệ Khởi động An toàn trong tương lai.

Trên thực tế, Windows chịu trách nhiệm duy trì cấu hình Khởi động An toàn hiện hoạt. Bản cập nhật vi chương trình giúp đảm bảo các giá trị mặc định cũng được cập nhật, giúp giảm rủi ro nếu Khởi động An toàn được đặt lại hoặc khởi động lại trong tương lai.

Người quản trị phải đảm bảo rằng các biến Khởi động An toàn hiện hoạt được cập nhật và theo dõi trạng thái triển khai, bất kể các bản cập nhật vi chương trình có khả dụng hay không.

Có hai cách có thể thực hiện: 

• Nếu máy tính được quản lý bởi Microsoft với dữ liệu chẩn đoán được chia sẻ và HĐH được hỗ trợ, Microsoft sẽ cố gắng cập nhật.

• Nếu thiết bị là do người quản trị CNTT quản lý hoặc quản lý, thì bộ phận CNTT có thể áp dụng các bản cập nhật trên tập hợp máy tính được xác thực một cách an toàn có thể nhận bản cập nhật theo hướng dẫn Microsoft trong quá trình hết hạn chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA.

Các bước này dự kiến sẽ giải quyết hầu hết khách hàng mà không cần bản cập nhật Vi chương trình từ OEM. Tuy nhiên, sẽ có một số trường hợp không áp dụng các bản cập nhật do sự cố đã biết hoặc chưa biết trong vi chương trình thiết bị. Trong những trường hợp như vậy, hãy làm theo hướng dẫn OEM về bản cập nhật vi chương trình. 

Lưu ý Quy trình ở trên áp dụng các Biến Động Khởi động An toàn thông qua HĐH. Giá trị Mặc định Khởi động An toàn được duy trì trong Phần mềm điều khiển do OEM phát hành. Hướng dẫn không thay đổi hoặc cập nhật cấu hình Khởi động An toàn trừ khi OEM đã phát hành bản cập nhật để thay đổi mặc định Vi chương trình thành chứng chỉ mới.

 Nếu chứng chỉ hết hạn, bảo vệ khởi động an toàn bị xuống cấp. Nếu hệ thống đáp ứng các yêu cầu cho một HĐH mới hơn như Windows 11, hệ thống sẽ có thể nâng cấp lên phiên bản hệ điều hành mới hơn của hệ Windows 11.  

Nếu Khởi động An toàn không được bật trên thiết bị Windows 10 LTSC của bạn, chúng sẽ không được bao gồm trong bản triển khai hiện tại cho chứng chỉ Khởi động An toàn mới. Khi bắt đầu nâng cấp lên Windows 11 LTSC, bạn sẽ cần thực hiện theo các bước di chuyển cụ thể liên quan vào thời điểm đó để đảm bảo các chứng chỉ 2023 mới được bao gồm.

Chỉ các phiên bản HĐH Windows được hỗ trợ mới nhận được chứng chỉ. 

Đối với Windows chạy trong môi trường ảo, có hai phương pháp để thêm chứng chỉ mới vào các biến phần mềm khởi động an toàn: 

• Người tạo ra môi trường ảo (AWS, Azure, Hyper-V, VMware, v.v.) có thể cung cấp bản cập nhật cho môi trường và bao gồm các chứng chỉ mới trong vi chương trình ảo hóa. Điều này sẽ hiệu quả với các thiết bị ảo hóa mới.

• Đối với Windows chạy lâu dài trong máy ảo, các bản cập nhật có thể được áp dụng thông qua Windows như bất kỳ thiết bị nào khác, nếu vi chương trình ảo hỗ trợ các bản cập nhật Khởi động An toàn.

Các môi trường do Khách hàng/CNTT quản lý này thường thiếu đủ dữ liệu chẩn đoán để Microsoft tự tin triển khai các tính năng mới một cách tự tin và an toàn. Ngoài ra, bộ phận CNTT thường thích duy trì toàn quyền kiểm soát cập nhật thời gian và nội dung để đảm bảo tuân thủ, ổn định và tương thích với các công cụ và dòng công việc nội bộ. Nhiều thiết bị doanh nghiệp cũng hoạt động trong các môi trường nhạy cảm hoặc bị hạn chế trong đó quyền truy nhập hoặc quản lý bên ngoài—được ngụ ý bởi CFR—có thể không mong muốn hoặc bị cấm.

Nếu Windows đã sử dụng trình quản lý khởi động đã ký năm 2023 nhưng vi chương trình được đặt lại về mặc định không bao gồm chứng chỉ Windows UEFI CA 2023, khởi động an toàn sẽ chặn quá trình khởi động. 

Để khắc phục điều này, bạn cần áp dụng lại chứng chỉ 2023 cho DB của vi chương trình bằng cách sử dụng ứng dụng phục hồi. Điều này được thực hiện bằng cách tạo usb phục hồi, sau đó khởi động thiết bị bị ảnh hưởng từ USB đó để khôi phục chứng chỉ bị thiếu. 

Để biết hướng dẫn từng bước, hãy xem hướng dẫn chính thức của Microsoft về cách cập nhật phương tiện cài đặt Windows. 

​​​​​​​Có. Các bản cập nhật tích lũy có chứa chứng chỉ Khởi động An toàn mới vẫn có thể được áp dụng ngay cả khi chứng chỉ hiện có đã hết hạn. Nếu thiết bị có thể khởi động Windows và cài đặt bản cập nhật, các chứng chỉ đã cập nhật có thể được ghi vào vi chương trình bằng cách làm theo hướng dẫn triển khai đã phát hành. Hầu hết các thiết bị sẽ tự động nhận được các bản cập nhật này, nhưng một số hệ thống có thể yêu cầu bản cập nhật vi chương trình bổ sung.