Câu hỏi thường gặp về quy trình cập nhật Khởi động An toàn

Tốt nhất bạn nên cập nhật chứng chỉ Khởi động An toàn trước ngày hết hạn tháng 6 năm 2026. 

Nếu thiết bị của bạn do Microsoft quản lý và chia sẻ dữ liệu chẩn đoán với Microsoft, thì Microsoft sẽ tự động cập nhật chứng chỉ Khởi động An toàn trong hầu hết các trường hợp. Mặc dù Microsoft sẽ cố hết sức để cập nhật Khởi động An toàn, nhưng sẽ có một số trường hợp trong đó bản cập nhật không được đảm bảo áp dụng và sẽ cần Hành động của Khách hàng. Khách hàng cuối cùng chịu trách nhiệm cập nhật Chứng chỉ Khởi động An toàn. 

Một số trường hợp ví dụ trong đó các thiết bị được Quản lý của Microsoft có dữ liệu chẩn đoán được chia sẻ không được cập nhật là như sau: 

• Các bản cập nhật Khởi động An toàn của Microsoft chỉ hoạt động trên một số phiên bản Windows được hỗ trợ.

• Dữ liệu chẩn đoán được bật trên thiết bị của bạn có thể bị chặn bởi tường lửa trong tổ chức của bạn và không tiếp cận Microsoft.

• Có thể đã xảy ra sự cố với Vi chương trình trên thiết bị.

Lưu ý "Được Microsoft quản lý" có nghĩa là gì? Hệ thống chia sẻ dữ liệu chẩn đoán và được quản lý bởi Microsoft Cloud hoặc Intune. 

Nếu thiết bị của bạn không chia sẻ dữ liệu chẩn đoán với Microsoft và do bộ phận CNTT của tổ chức hoặc khách hàng quản lý, thì bộ phận CNTT có thể cập nhật các hệ thống theo hướng dẫn của Microsoft trong hết hạn chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA.

Nếu máy tính do Microsoft quản lý, chứng chỉ Khởi động An toàn sẽ được cập nhật thông qua Windows Update.  

Nếu máy tính do người quản trị CNTT tổ chức hoặc doanh nghiệp của bạn quản lý thì bộ phận CNTT có các phương pháp để cập nhật hệ thống bằng cách sử dụng hướng dẫn trong chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA. 

Windows 10 Hỗ trợ sẽ kết thúc vào ngày 14 tháng 10 năm 2025. Để biết thêm thông tin, hãy Windows 10 hỗ trợ kết thúc vào ngày 14 tháng 10 năm 2025. 

Để tiếp tục nhận được bảo mật Cập nhật sau ngày này, khách hàng còn lại trên Windows 10 có thể đăng ký: 

• Chương Windows 10 Bảo mật Mở Cập nhật Mở rộng (ESU), hãy xem Windows 10 Chương trình Cập nhật Bảo mật Mở rộng (ESU)

• Hoặc nếu bạn có phiên bản LTSC được hỗ trợ của Windows 10, phiên bản này sẽ tiếp tục nhận được Cập nhật bảo mật cho đến ngày hết hạn LTSC. Ví dụ: xem Chương trình Bảo mật Mở Cập nhật (ESU) dành cho doanh Windows 10

Ghi chú

• Windows 10 Enterprise LTSC có sẵn để mua dưới dạng SKU độc lập hoặc như một phần của đăng ký Windows Enterprise E3.

• Windows IoT Enterprise LTSC có thể được mua trực tiếp từ một OEM hoặc thông qua Giấy phép Nhà cung cấp dưới dạng một SKU độc lập.

Thiết bị sẽ tiếp tục khởi động và hoạt động bình thường. Tuy nhiên, ứng dụng này sẽ không còn nhận được các bản sửa lỗi bảo mật trong tương lai cho các bản cập nhật trình quản lý khởi động Windows hoặc Khởi động An toàn, làm ảnh hưởng đến tính bảo mật của thiết bị.

Chứng chỉ Khởi động An toàn cho phép vi chương trình xác minh rằng các cấu phần quan trọng—chẳng hạn như trình quản lý khởi động, ROM tùy chọn (trình điều khiển vi chương trình) và phần mềm dựa trên vi chương trình khác—được tin cậy và chưa bị can t cơ. Microsoft sử dụng các chứng chỉ này để ký trình quản lý khởi động và các cấu phần khác cần được tin cậy, cũng như các bản cập nhật Khởi động An toàn. Khi chứng chỉ cũ hơn hết hạn, họ không còn có thể được sử dụng để ký các cấu phần mới hoặc cập nhật.

Thiết bị bị tắt Khởi động An toàn sẽ không nhận được chứng chỉ Khởi động An toàn mới trong vi chương trình. Do đó, chúng vẫn dễ bị phần mềm có hại ở mức khởi động, chẳng hạn như bootkit, vì không thực thi tính năng bảo vệ Khởi động An toàn. 

Đối với các thiết bị đủ điều kiện—chẳng hạn như những thiết bị nhận được bản cập nhật tích lũy thông qua triển khai dựa trên độ tin cậy hoặc đã đăng ký trong Bản tổng hợp Tính năng có Kiểm soát (CFR) có bật dữ liệu chẩn đoán—Microsoft sẽ cố gắng cập nhật tất cả các chứng chỉ được áp dụng. Tuy nhiên, các bản cập nhật này được cung cấp dưới dạng hỗ trợ, không đảm bảo. Người quản trị CNTT vẫn chịu trách nhiệm đảm bảo toàn bộ đội tàu của họ được cập nhật, bằng cách sử dụng CFR tự động của Microsoft và các phương pháp triển khai được ghi nhận khác.

Các chứng chỉ đã được bao gồm trong ngày 13 tháng 5 năm 2025, các bản cập nhật tích lũy (LCU) và sau đó. Tuy nhiên, chúng không được áp dụng tự động các bước bổ sung là bắt buộc. Để biết hướng dẫn triển khai, hãy xem https://aka.ms/getsecureboot.

Có hai cách có thể thực hiện: 

• Nếu máy tính được quản lý bởi Microsoft với dữ liệu chẩn đoán được chia sẻ và HĐH được hỗ trợ, Microsoft sẽ cố gắng cập nhật.

• Nếu thiết bị là do người quản trị CNTT quản lý hoặc quản lý, thì bộ phận CNTT có thể áp dụng các bản cập nhật trên tập hợp máy tính được xác thực một cách an toàn có thể nhận bản cập nhật theo hướng dẫn Microsoft trong quá trình hết hạn chứng chỉ Khởi động An toàn của Windows và các bản cập nhật CA.

Các bước này dự kiến sẽ giải quyết hầu hết khách hàng mà không cần bản cập nhật Vi chương trình từ OEM. Tuy nhiên, sẽ có một số trường hợp không áp dụng các bản cập nhật do sự cố đã biết hoặc chưa biết trong vi chương trình thiết bị. Trong những trường hợp như vậy, hãy làm theo hướng dẫn OEM về bản cập nhật vi chương trình. 

Lưu ý Quy trình ở trên áp dụng các Biến Động Khởi động An toàn thông qua HĐH. Giá trị Mặc định Khởi động An toàn được duy trì trong Phần mềm điều khiển do OEM phát hành. Hướng dẫn không thay đổi hoặc cập nhật cấu hình Khởi động An toàn trừ khi OEM đã phát hành bản cập nhật để thay đổi mặc định Vi chương trình thành chứng chỉ mới.

 Nếu chứng chỉ hết hạn, bảo vệ khởi động an toàn bị xuống cấp. Nếu hệ thống đáp ứng các yêu cầu cho một HĐH mới hơn như Windows 11, hệ thống sẽ có thể nâng cấp lên phiên bản hệ điều hành mới hơn của hệ Windows 11.  

Nếu Khởi động An toàn không được bật trên thiết bị Windows 10 LTSC của bạn, chúng sẽ không được bao gồm trong bản triển khai hiện tại cho chứng chỉ Khởi động An toàn mới. Khi bắt đầu nâng cấp lên Windows 11 LTSC, bạn sẽ cần thực hiện theo các bước di chuyển cụ thể liên quan vào thời điểm đó để đảm bảo các chứng chỉ 2023 mới được bao gồm.

Chỉ các phiên bản HĐH Windows được hỗ trợ mới nhận được chứng chỉ. 

Đối với Windows chạy trong môi trường ảo, có hai phương pháp để thêm chứng chỉ mới vào các biến phần mềm khởi động an toàn: 

• Người tạo ra môi trường ảo (AWS, Azure, Hyper-V, VMware, v.v.) có thể cung cấp bản cập nhật cho môi trường và bao gồm các chứng chỉ mới trong vi chương trình ảo hóa. Điều này sẽ hiệu quả với các thiết bị ảo hóa mới.

• Đối với Windows chạy lâu dài trong máy ảo, các bản cập nhật có thể được áp dụng thông qua Windows như bất kỳ thiết bị nào khác, nếu vi chương trình ảo hỗ trợ các bản cập nhật Khởi động An toàn.

Các môi trường do Khách hàng/CNTT quản lý này thường thiếu đủ dữ liệu chẩn đoán để Microsoft tự tin triển khai các tính năng mới một cách tự tin và an toàn. Ngoài ra, bộ phận CNTT thường thích duy trì toàn quyền kiểm soát cập nhật thời gian và nội dung để đảm bảo tuân thủ, ổn định và tương thích với các công cụ và dòng công việc nội bộ. Nhiều thiết bị doanh nghiệp cũng hoạt động trong các môi trường nhạy cảm hoặc bị hạn chế trong đó quyền truy nhập hoặc quản lý bên ngoài—được ngụ ý bởi CFR—có thể không mong muốn hoặc bị cấm.

Nếu Windows đã sử dụng trình quản lý khởi động đã ký năm 2023 nhưng vi chương trình được đặt lại về mặc định không bao gồm chứng chỉ Windows UEFI CA 2023, khởi động an toàn sẽ chặn quá trình khởi động. 

Để khắc phục điều này, bạn cần áp dụng lại chứng chỉ 2023 cho DB của vi chương trình bằng cách sử dụng ứng dụng phục hồi. Điều này được thực hiện bằng cách tạo usb phục hồi, sau đó khởi động thiết bị bị ảnh hưởng từ USB đó để khôi phục chứng chỉ bị thiếu. 

Để biết hướng dẫn từng bước, hãy xem hướng dẫn chính thức của Microsoft về cách cập nhật phương tiện cài đặt Windows.