Hết hạn chứng chỉ Khởi động an toàn Windows
Quan trọng: Chứng chỉ Khởi động an toàn được hầu hết các thiết bị Windows sử dụng sẽ hết hạn vào tháng 6 năm 2026. Điều này có thể ảnh hưởng đến khả năng khởi động an toàn của một số thiết bị cá nhân và doanh nghiệp nếu không được cập nhật đúng hạn. Để tránh gián đoạn, bạn nên xem lại hướng dẫn và thực hiện hành động để cập nhật chứng chỉ trước.
Để biết chi tiết và các bước chuẩn bị cho các thiết bị Windows, hãy xem Hết hạn chứng chỉ Khởi động an toàn của Windows và các bản cập nhật CA.
Để biết thêm chi tiết và các bước chuẩn bị cho máy chủ Windows, hãy tham khảo các nguồn tài liệu sau:
Tóm tắt
Bài viết này liệt kê các sự cố bảo mật và những cải tiến về chất lượng được bao gồm trong bản cập nhật bảo mật tích lũy này.
Áp dụng cho: Windows 10 ESU
Quan trọng: Sử dụng EKB KB5015684 cập nhật lên phiên Windows 10, phiên bản 22H2.
Bản cập nhật bảo mật này bao gồm các bản sửa lỗi và cải tiến chất lượng là một phần của các bản cập nhật sau:
Sau đây là bản tóm tắt các sự cố mà bản cập nhật này khắc phục khi bạn cài đặt bản cập nhật này. Nếu có tính năng mới, ứng dụng cũng sẽ liệt kê các tính năng đó. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc khu vực của thay đổi mà chúng tôi đang ghi lại.
-
[Cảnh báo bảo mật Máy tính Từ xa (sự cố đã biết)] Đã khắc phục: Hộp thoại cảnh báo bảo mật Kết nối Máy tính Từ xa có thể hiển thị không chính xác trong các cấu hình nhiều màn hình với các cài đặt điều chỉnh tỷ lệ màn hình khác nhau. Sự cố này có thể xảy ra sau khi cài đặt bản cập nhật bảo mật Windows được phát hành vào ngày 14 tháng 4 năm 2026 (KB5082200).
-
[Khởi động An toàn]
-
Bản cập nhật này cho phép báo cáo trạng thái động cho trạng thái Khởi động An toàn trong ứng Bảo mật Windows động.
-
Với bản cập nhật này, các bản cập nhật chất lượng Windows bao gồm dữ liệu nhắm mục tiêu thiết bị có độ tin cậy cao bổ sung, làm tăng phạm vi bảo hành của các thiết bị đủ điều kiện để tự động nhận được chứng chỉ Khởi động An toàn mới. Thiết bị nhận chứng chỉ mới chỉ sau khi thể hiện đủ tín hiệu cập nhật thành công, duy trì triển khai có kiểm soát và theo giai đoạn.
-
-
[Giờ mùa hè] Cập nhật cho Cộng hòa Ả Rập Ai Cập để hỗ trợ thứ tự thay đổi DST của chính phủ trong năm 2023.
Nếu bạn đã cài đặt các bản cập nhật cũ hơn, thì chỉ các bản cập nhật mới có trong gói này mới được tải xuống và cài đặt trên thiết bị của bạn.
Để biết thêm thông tin về các lỗ hổng bảo mật, vui lòng tham khảo trang web Hướng dẫn Cập nhật Bảo mật mới và bản cập nhật Bảo mật tháng 5 năm 2026 Cập nhật.
Để biết thông tin về thuật ngữ cập nhật Windows, hãy xem bài viết về các loại bản cập nhật Windows và các loại bản cập nhật chất lượng hàng tháng. Để biết tổng quan về bản Windows 10, phiên bản 22H2, hãy xem trang lịch sử cập nhật.
Những sự cố đã biết trong bản cập nhật này
-
Các thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker Triệu chứng
Một số thiết bị có cấu hình Chính sách Nhóm BitLocker không được khuyến nghị có thể yêu cầu nhập khóa khôi phục BitLocker trong lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.
Sự cố này chỉ ảnh hưởng đến một số lượng hạn chế các hệ thống đáp ứng ĐẦY ĐỦ các điều kiện sau đây. Những điều kiện này khó có thể tìm thấy trên các thiết bị cá nhân không do bộ phận CNTT quản lý.
-
BitLocker đã được bật trên ổ đĩa hệ điều hành.
-
Chính sách nhóm "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" đã được thiết lập và PCR7 được bao gồm trong hồ sơ xác thực (hoặc khóa đăng ký tương đương được thiết lập thủ công).
-
Thông tin hệ thống (msinfo32.exe) báo cáo Trạng thái Khởi động An toàn PCR7 Binding là "Không thể".
-
Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu chữ ký khởi động an toàn (DB) của thiết bị, cho phép thiết bị sử dụng Trình quản lý khởi động Windows được ký năm 2023 làm mặc định.
-
Thiết bị này hiện chưa chạy Trình quản lý khởi động Windows được ký số năm 2023.
Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần duy nhất -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình khôi phục BitLocker, miễn là cấu hình chính sách nhóm không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker của bạn, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.
Các doanh nghiệp nên kiểm tra lại chính sách nhóm BitLocker của mình để đảm bảo bao gồm PCR7 một cách rõ ràng và kiểm tra trạng thái liên kết PCR7 của msinfo32.exe trước khi cài đặt bản cập nhật này.
Giải pháp
Chúng tôi đang tìm giải pháp và sẽ cung cấp thêm thông tin khi có sẵn.
Để tạm thời khắc phục sự cố này, hãy gỡ bỏ cấu hình Chính sách Nhóm trước khi cài đặt bản cập nhật (Khuyến nghị)
-
Mở Trình chỉnh sửa Chính sách Nhóm (gpedit.msc) hoặc Bảng điều khiển Quản lý Chính sách Nhóm của bạn.
-
Dẫn hướng đến: Cấu hình máy tính > Mẫu quản trị > Thành phần Windows > Mã hóa ổ đĩa BitLocker > Ổ đĩa hệ điều hành.
-
Đặt "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" thành "Chưa được cấu hình".
-
Chạy lệnh sau trên các thiết bị bị ảnh hưởng để phát tán thay đổi chính sách: gpupdate /force
-
Chạy lệnh sau để tạm dừng BitLocker (nếu BitLocker được bật trên ổ C:): manage-bde -protectors -disable C:
-
Chạy lệnh sau để khôi phục BitLocker (nếu BitLocker đã được bật trên ổ C:): manage-bde -protectors -enable C:
-
Thao tác này cập nhật các liên kết BitLocker để sử dụng cấu hình PCR mặc định do Windows lựa chọn.
-
Áp dụng cho: Windows 10 Enterprise LTSC 2021 và Windows 10 IoT Enterprise LTSC 2021
Quan trọng: Sử dụng EKB KB5003791 cập nhật lên phiên bản Windows 10, phiên bản 21H2 trên các phiên bản được hỗ trợ.
Bản cập nhật bảo mật này bao gồm các bản sửa lỗi và cải tiến chất lượng là một phần của các bản cập nhật sau:
Sau đây là bản tóm tắt các sự cố mà bản cập nhật này khắc phục khi bạn cài đặt bản cập nhật này. Nếu có tính năng mới, ứng dụng cũng sẽ liệt kê các tính năng đó. Văn bản in đậm bên trong dấu ngoặc đơn cho biết mục hoặc khu vực của thay đổi mà chúng tôi đang ghi lại.
-
[Cảnh báo bảo mật Máy tính Từ xa (sự cố đã biết)] Đã khắc phục: Hộp thoại cảnh báo bảo mật Kết nối Máy tính Từ xa có thể hiển thị không chính xác trong các cấu hình nhiều màn hình với các cài đặt điều chỉnh tỷ lệ màn hình khác nhau. Sự cố này có thể xảy ra sau khi cài đặt bản cập nhật bảo mật Windows được phát hành vào ngày 14 tháng 4 năm 2026 (KB5082200).
-
[Khởi động An toàn]
-
Bản cập nhật này cho phép báo cáo trạng thái động cho trạng thái Khởi động An toàn trong ứng Bảo mật Windows động.
-
Với bản cập nhật này, các bản cập nhật chất lượng Windows bao gồm dữ liệu nhắm mục tiêu thiết bị có độ tin cậy cao bổ sung, làm tăng phạm vi bảo hành của các thiết bị đủ điều kiện để tự động nhận được chứng chỉ Khởi động An toàn mới. Thiết bị nhận chứng chỉ mới chỉ sau khi thể hiện đủ tín hiệu cập nhật thành công, duy trì triển khai có kiểm soát và theo giai đoạn.
-
-
[Giờ mùa hè] Cập nhật cho Cộng hòa Ả Rập Ai Cập để hỗ trợ thứ tự thay đổi DST của chính phủ trong năm 2023.
Nếu bạn đã cài đặt các bản cập nhật cũ hơn, thì chỉ các bản cập nhật mới có trong gói này mới được tải xuống và cài đặt trên thiết bị của bạn.
Để biết thêm thông tin về các lỗ hổng bảo mật, vui lòng tham khảo trang web Hướng dẫn Cập nhật Bảo mật mới và bản cập nhật Bảo mật tháng 5 năm 2026 Cập nhật.
Để biết thông tin về thuật ngữ cập nhật Windows, hãy xem bài viết về các loại bản cập nhật Windows và các loại bản cập nhật chất lượng hàng tháng. Để biết tổng quan về bản Windows 10, phiên bản 22H2, hãy xem trang lịch sử cập nhật.
Những sự cố đã biết trong bản cập nhật này
-
Các thiết bị có cấu hình chính sách nhóm BitLocker không được yêu cầu có thể phải nhập khóa khôi phục BitLocker Triệu chứng
Một số thiết bị có cấu hình Chính sách Nhóm BitLocker không được khuyến nghị có thể yêu cầu nhập khóa khôi phục BitLocker trong lần khởi động lại đầu tiên sau khi cài đặt bản cập nhật này.
Sự cố này chỉ ảnh hưởng đến một số lượng hạn chế các hệ thống đáp ứng ĐẦY ĐỦ các điều kiện sau đây. Những điều kiện này khó có thể tìm thấy trên các thiết bị cá nhân không do bộ phận CNTT quản lý.
-
BitLocker đã được bật trên ổ đĩa hệ điều hành.
-
Chính sách nhóm "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" đã được thiết lập và PCR7 được bao gồm trong hồ sơ xác thực (hoặc khóa đăng ký tương đương được thiết lập thủ công).
-
Thông tin hệ thống (msinfo32.exe) báo cáo Trạng thái Khởi động An toàn PCR7 Binding là "Không thể".
-
Chứng chỉ Windows UEFI CA 2023 có trong Cơ sở dữ liệu chữ ký khởi động an toàn (DB) của thiết bị, cho phép thiết bị sử dụng Trình quản lý khởi động Windows được ký năm 2023 làm mặc định.
-
Thiết bị này hiện chưa chạy Trình quản lý khởi động Windows được ký số năm 2023.
Trong trường hợp này, chỉ cần nhập khóa khôi phục BitLocker một lần duy nhất -- các lần khởi động lại sau đó sẽ không kích hoạt màn hình khôi phục BitLocker, miễn là cấu hình chính sách nhóm không thay đổi. Để được trợ giúp tìm khóa khôi phục BitLocker của bạn, hãy xem bài viết Tìm khóa khôi phục BitLocker của bạn.
Các doanh nghiệp nên kiểm tra lại chính sách nhóm BitLocker của mình để đảm bảo bao gồm PCR7 một cách rõ ràng và kiểm tra trạng thái liên kết PCR7 của msinfo32.exe trước khi cài đặt bản cập nhật này.
Giải pháp
Chúng tôi đang tìm giải pháp và sẽ cung cấp thêm thông tin khi có sẵn.
Để tạm thời khắc phục sự cố này, hãy gỡ bỏ cấu hình Chính sách Nhóm trước khi cài đặt bản cập nhật (Khuyến nghị)
-
Mở Trình chỉnh sửa Chính sách Nhóm (gpedit.msc) hoặc Bảng điều khiển Quản lý Chính sách Nhóm của bạn.
-
Dẫn hướng đến: Cấu hình máy tính > Mẫu quản trị > Thành phần Windows > Mã hóa ổ đĩa BitLocker > Ổ đĩa hệ điều hành.
-
Đặt "Cấu hình hồ sơ xác thực nền tảng TPM cho cấu hình phần mềm UEFI gốc" thành "Chưa được cấu hình".
-
Chạy lệnh sau trên các thiết bị bị ảnh hưởng để phát tán thay đổi chính sách: gpupdate /force
-
Chạy lệnh sau để tạm dừng BitLocker (nếu BitLocker được bật trên ổ C:): manage-bde -protectors -disable C:
-
Chạy lệnh sau để khôi phục BitLocker (nếu BitLocker đã được bật trên ổ C:): manage-bde -protectors -enable C:
-
Thao tác này cập nhật các liên kết BitLocker để sử dụng cấu hình PCR mặc định do Windows lựa chọn.
-
Windows 10 nhật xếp chồng dịch vụ (KB5084130) - phiên bản 19041.7183
Microsoft hiện kết hợp bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất cho hệ điều hành của bạn với bản cập nhật tích lũy mới nhất (LCU). SSU cải thiện độ tin cậy của quá trình cập nhật và bao gồm các bản sửa lỗi cho ngăn xếp cung cấp dịch vụ, cấu phần cài đặt các bản cập nhật Windows.
Lưu ý: Bản cập nhật xếp chồng dịch vụ (SSU) này bao gồm lô-gic nâng cao để xác minh xem thiết bị có được lưu trữ trên Azure hay không, tận dụng chuỗi chứng chỉ được cập nhật để xác thực. Để đảm bảo rằng thiết bị có thể truy nhập vào các miền cập nhật chứng chỉ bắt buộc để tải xuống và cài đặt thành công các bản cập nhật chứng chỉ, hãy xem mục Danh sách tải xuống và thu hồi chứng chỉ Azure tiết về Cơ quan Cấp chứng chỉ. Để tìm hiểu thêm về SSU, hãy xem Bản cập nhật sắp xếp cung cấp dịch vụ.
Cách tải bản cập nhật này
Trước khi bạn cài đặt bản cập nhật này
Quan trọng Bạn phải cài đặt bản cập nhật sắp xếp cung cấp dịch vụ (SSU) mới nhất. Việc không cài đặt SSU mới nhất trước khi áp dụng các bản cập nhật Windows có thể dẫn đến việc không cung cấp bản cập nhật Windows cho đến khi cài đặt SSU mới nhất.
Triển khai
Nếu bạn triển khai bản cập nhật này, hãy chọn một trong các tùy chọn sau dựa trên kịch bản cài đặt của bạn:
Đối với dịch vụ hình ảnh HĐH ngoại tuyến
-
Nếu hình ảnh của bạn không có LCU ngày 25 tháng 7 năm 2023 (KB5028244) trở lên, bạn phải cài đặt SSU độc lập đặc biệt ngày 13 tháng 10 năm 2023 (KB5031539) trước khi cài đặt bản cập nhật này.
Đối với Windows Server triển khai Dịch vụ Cập nhật (WSUS) hoặc khi cài đặt gói độc lập từ Danh mục Microsoft Update
Tải và cài đặt bản cập nhật này
Để tải và cài đặt bản cập nhật này, hãy sử dụng một trong các kênh phát hành sau của Windows và Microsoft.
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Bản cập nhật này sẽ được tải xuống và cài đặt tự động từ Windows Update. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Bản cập nhật này sẽ được tải xuống và cài đặt tự động Windows Update cho Doanh nghiệp theo các chính sách được đặt cấu hình. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Để tải gói độc lập cho bản cập nhật này, hãy truy cập trang web Danh mục Microsoft Update . Để biết thông tin về cách tải xuống và cài đặt các bản cập nhật từ Danh mục Cập nhật, hãy xem Cách tải xuống các bản cập nhật bao gồm trình điều khiển và cập nhật nóng từ Danh mục Windows Update mục. |
|
Sẵn dùng |
Bước Tiếp theo |
|
|
Bản cập nhật này sẽ tự động đồng bộ Windows Server Dịch vụ Cập nhật Sản phẩm (WSUS) nếu bạn đặt cấu hình Các Sản phẩm và Phân loại như sau:
Để thiết lập máy chủ WSUS của bạn để đồng bộ dựa trên các sản phẩm và phân loại, hãy xem Cập nhật Đồng bộ theo Sản phẩm và Phân loại. Để nhập bản cập nhật vào WSUS theo cách thủ công, hãy xem Nhập bản cập nhật vào WSUS bằng cách sử dụng PowerShell. |
Thông tin tệp
Danh sách các tệp được bao gồm trong bản cập nhật này được cung cấp trong tệp CSV (phân cách bằng dấu phẩy) (*.csv). Bạn có thể mở tệp trong trình soạn thảo văn bản như Notepad hoặc trong Microsoft Excel.
Lưu ý: Phiên bản tiếng Anh (Mỹ) của bản cập nhật phần mềm này có thể chứa các tệp dành cho các ngôn ngữ bổ sung.
Thông tin liên quan
Nếu bạn muốn xóa bản cập nhật này
THẬN TRỌNG Trước khi bạn quyết định xóa bản cập nhật này, vui lòng xem Hiểu các rủi ro: Tại sao bạn không nên gỡ cài đặt bản cập nhật bảo mật.
Để loại bỏ LCU sau khi cài đặt gói SSU và LCU kết hợp, hãy sử dụng tùy chọn dòng lệnh DISM/Remove-Package với tên gói LCU làm đối số. Bạn có thể tìm thấy tên gói bằng cách sử dụng lệnh sau: DISM /online /get-packages.
Chạy Windows Update Cài đặt Độc lập (wusa.exe) bằng công tắc /uninstall trên gói kết hợp sẽ không hoạt động vì gói kết hợp có chứa SSU. Bạn không thể xóa SSU khỏi hệ thống sau khi cài đặt.
Thông báo về các bản cập nhật ứng dụng của Microsoft Store
Các bản cập nhật Windows không cài đặt bản cập nhật ứng dụng Microsoft Store. Nếu bạn là người dùng doanh nghiệp, hãy xem Ứng dụng Microsoft Store - Configuration Manager. Nếu bạn là người dùng tiêu dùng, hãy xem Tải bản cập nhật cho ứng dụng và trò chơi trong Microsoft Store.
Thông tin kết thúc hỗ trợ
Windows 10, phiên bản 21H2/22H2 và Windows 10 Enterprise LTSC 2021 kết thúc hỗ trợ
Microsoft sẽ không còn cung cấp các bản cập nhật phần mềm miễn phí từ Windows Update, hỗ trợ kỹ thuật hoặc bản sửa lỗi bảo mật từ ngày kết thúc sau đây:
♦ Windows 10, phiên bản 21H2: Hỗ trợ đã kết thúc vào ngày 13 tháng 6 năm 2023
♦ Windows 10, phiên bản 22H2: Hỗ trợ đã kết thúc vào ngày 14 tháng 10 năm 2025
♦ Windows 10 Enterprise LTSC 2021: ngày 12 tháng 1 năm 2027
♦ Windows 10 IoT Enterprise LTSC 2021: ngày 13 tháng 1 năm 2032
Lưu ý: Để tiếp tục nhận các bản cập nhật bảo mật quan trọng cho Windows 10, hãy xem Bản cập nhật bảo mật mở rộng (ESU) của Windows 10. Nếu không, chúng tôi khuyên bạn nên nâng cấp lên phiên bản Windows mới hơn.
