Microsoft đã đẩy Cập nhật chứng chỉ Secure Boot 2023 cho tất cả các PC chạy Windows 11 và Windows 10 đủ điều kiện, vài giờ trước khi đến hạn chót hết hạn đầu tiên vào ngày 24 tháng 6 năm 2026. Chúng tôi đã nhận được tuyên bố từ Microsoft xác nhận việc triển khai rộng rãi hơn: “Với bản cập nhật này, các bản cập nhật chất lượng của Windows bao gồm dữ liệu nhắm mục tiêu thiết bị có độ tin cậy cao bổ sung, tăng phạm vi phủ sóng của các thiết bị đủ điều kiện tự động nhận chứng chỉ Khởi động an toàn mới. Các thiết bị chỉ nhận được chứng chỉ mới sau khi chứng minh đủ tín hiệu cập nhật thành công, duy trì triển khai có kiểm soát và theo từng giai đoạn.”
Nếu PC của bạn nhận được bản cập nhật Patch Tuesday tháng 6 năm 2026, rất có thể chứng chỉ Secure Boot 2023 đã có trên thiết bị của bạn mà bạn không cần phải làm gì. Dưới đây là cách kiểm tra và những việc cần làm nếu PC của bạn hiển thị cảnh báo.
Cập nhật chứng chỉ khởi động an toàn là gì?
Khởi động an toàn là một tính năng bảo mật cấp chương trình cơ sở chạy trước khi Windows bắt đầu tải. Nó xác minh chữ ký số của mọi thành phần khởi động, chặn rootkit và bootkit tự chèn vào chuỗi khởi động. Các chứng chỉ hỗ trợ hệ thống này được cấp vào năm 2011 và Microsoft Corporation KEK CA 2011 hết hạn vào ngày 24 tháng 6 năm 2026, tiếp theo là Microsoft UEFI CA 2011 vào ngày 27 tháng 6 và Microsoft Windows Production PCA 2011 vào ngày 19 tháng 10 năm 2026.
Để duy trì chức năng Khởi động an toàn cho các bản cập nhật bảo mật trong tương lai sau những ngày đó, Microsoft đã triển khai các chứng chỉ thay thế 2023 thông qua Windows Update kể từ năm 2024. Bản cập nhật tháng 6 năm 2026 đã mở rộng đáng kể nhóm thiết bị đủ điều kiện, chuyển đại đa số PC được hỗ trợ sang loại mà Microsoft gọi là danh mục “có độ tin cậy cao”, nơi bản cập nhật có thể được áp dụng tự động và an toàn.
Cách kiểm tra xem PC của bạn có Chứng chỉ Secure Boot 2023 hay không
Cách nhanh nhất để xác minh là thông qua ứng dụng Windows Security, một tính năng được Microsoft bổ sung trong bản cập nhật Windows 11 tháng 4 năm 2026. Mở Windows Security, nhấp vào Device Security từ menu bên trái, sau đó cuộn đến phần Secure Boot. Bạn sẽ thấy một trong ba chỉ báo trạng thái.
Dấu kiểm màu xanh lục có thông báo rằng tất cả các bản cập nhật chứng chỉ bắt buộc đã được áp dụng có nghĩa là PC của bạn đã được cập nhật đầy đủ và không cần thực hiện hành động nào.
Cảnh báo màu vàng có nghĩa là bản cập nhật đang chờ xử lý. Thiết bị của bạn có thể cần thêm dữ liệu tương thích hoặc có thể cần bản cập nhật BIOS từ nhà sản xuất PC trước khi có thể cài đặt chứng chỉ. Microsoft sẽ tiếp tục cố gắng đẩy nó một cách tự động.
Cảnh báo màu đỏ cho biết sự cố cụ thể đang chặn bản cập nhật, thường là lỗi không tương thích với chương trình cơ sở. Tại thời điểm đó, hãy kiểm tra trang hỗ trợ của nhà sản xuất PC của bạn để biết bản cập nhật BIOS.
Đặc biệt đối với người dùng HP, bản cập nhật BIOS bị lỗi của HP hồi đầu năm nay đã gây ra vòng lặp khôi phục BitLocker, vì vậy hãy kiểm tra phiên bản BIOS đã sửa thay vì cho rằng phiên bản mới nhất là an toàn.
Nếu phần Khởi động an toàn bị thiếu trong Bảo mật thiết bị thì PC của bạn có thể đã tắt Khởi động an toàn hoặc đã được cài đặt bằng cách bỏ qua đăng ký trên phần cứng không được hỗ trợ. Chúng tôi đã trình bày chi tiết ý nghĩa của điều này đối với Khởi động an toàn trên các PC cũ hơn và không được hỗ trợ.
Nếu bạn thích cách truyền thống hơn để kiểm tra Trạng thái khởi động an toàn, hãy mở Thông tin hệ thống (nhấn Win + R, nhập msinfo32, nhấn Enter) và tìm dòng Trạng thái khởi động an toàn trong Tóm tắt hệ thống. Để kiểm tra cấp đăng ký hoặc cấp PowerShell, chúng tôi đã xuất bản hướng dẫn xác minh Khởi động an toàn đầy đủ vào đầu năm nay.
Điều gì sẽ xảy ra nếu PC của bạn không nhận được bản cập nhật Khởi động an toàn?
Mặc dù hiếm gặp nhưng việc thiếu bản cập nhật chứng chỉ Khởi động an toàn không có nghĩa là PC của bạn ngừng hoạt động. Microsoft đã xác nhận rằng các thiết bị không có chứng chỉ 2023 sẽ tiếp tục khởi động bình thường và nhận được các bản cập nhật Windows thường xuyên. Điều dừng lại là khả năng nhận các bản cập nhật bảo mật cấp khởi động trong tương lai, bao gồm cả việc thu hồi các bộ tải khởi động độc hại mới được phát hiện và các bản sửa lỗi cho các lỗ hổng như bộ khởi động BlackLotus. Sự suy thoái an ninh là dần dần, không phải ngay lập tức.
Đối với hầu hết người dùng gia đình sử dụng phần cứng hiện đại, bản cập nhật sẽ tự động đến và không cần phải làm gì. Nếu PC của bạn hiển thị cảnh báo màu vàng, bạn chỉ cần đợi chu kỳ Windows Update tiếp theo là đủ. Microsoft tiếp tục mở rộng phạm vi phủ sóng thiết bị với mỗi bản cập nhật hàng tháng.
Nếu bạn đang nghĩ đến Secure Boot trên một PC cũ hơn mà nhà sản xuất đã ngừng tung ra các bản cập nhật BIOS thì cơ hội nhận được chứng chỉ năm 2023 là khá mong manh.
Các bản cập nhật Secure Boot 2023 đã không hoạt động trên một số PC do sự không tương thích của chương trình cơ sở và đối với những thiết bị đó, có thể không có cách khắc phục đơn giản. Ưu tiên của những người dùng đó là kiểm tra xem có bản cập nhật BIOS hay không trước khi thử bất kỳ biện pháp can thiệp thủ công nào.
PC của bạn có thể khởi động lại hai lần sau khi cập nhật và điều đó là bình thường
Một số người dùng nhận thấy PC của họ khởi động lại hai hoặc ba lần sau các bản cập nhật Windows gần đây và cho rằng đã xảy ra sự cố. Microsoft xác nhận đây là hành vi được mong đợi, đặc biệt là do quy trình chứng chỉ Khởi động an toàn. Viết các chứng chỉ mới vào chương trình cơ sở, sau đó áp dụng trình quản lý khởi động đã cập nhật, sau đó khởi động Windows bằng chuỗi mới, mỗi chứng chỉ yêu cầu khởi động lại riêng biệt. Nếu PC của bạn khởi động lại nhiều lần sau bản cập nhật tháng 6 thì nó đã hoạt động bình thường.
Thư mục SecureBoot trong Windows không phải là Virus
Vào khoảng thời gian cập nhật tháng 5 năm 2026, rất nhiều người dùng nhận thấy một thư mục mới tại C:\Windows\SecureBoot và lo ngại vì cho rằng đó là phần mềm độc hại. Microsoft khẳng định đây không phải lỗi và bạn không nên xóa nó. Windows sử dụng thư mục này để sắp xếp các tệp chứng chỉ mật mã trước khi ghi chúng vào chương trình cơ sở.
Người dùng Windows 10 cũng nhận được bản cập nhật Secure Boot
Việc Windows 10, đã hết tuổi thọ, vẫn nhận được các bản cập nhật Secure Boot là bằng chứng đủ cho tầm quan trọng của sự thay đổi này. Người dùng Windows 10 đã đăng ký chương trình Cập nhật bảo mật mở rộng bắt đầu nhận được báo cáo trạng thái Khởi động an toàn từ bản cập nhật tháng 5 năm 2026 KB5087544. Cơ chế cập nhật giống hệt nhau trên cả hai hệ điều hành. Nếu bạn đang dùng Windows 10 và không còn nhận được bản cập nhật vì bạn không tham gia chương trình ESU thì bản cập nhật chứng chỉ sẽ không đến thông qua Windows Update.
Tất nhiên, đăng ký ESU có nghĩa là bạn sẽ phải chuyển từ tài khoản cục bộ sang tài khoản Microsoft trên PC chạy Windows 10 của mình.
Người dùng Windows 11 cũng nên biết rằng Windows mới nhất đã thử nghiệm và bao gồm mọi thứ mới trong bản cập nhật tháng 6 năm 2026, đây là bản cập nhật mang lại sự triển khai rộng rãi nhất cho chứng chỉ Khởi động an toàn.
Dành cho quản trị viên CNTT: Hạn chót có ý nghĩa gì kể từ ngày 24 tháng 6
Việc Microsoft Corporation KEK CA 2011 hết hạn vào ngày 24 tháng 6 có nghĩa là Microsoft mất khả năng ký các tải trọng thu hồi Khởi động an toàn mới (bản cập nhật DBX) bằng khóa cũ. Tất cả các tải trọng đã ký hiện có và các phương thức triển khai thủ công vẫn tiếp tục hoạt động. Khóa DB không hết hạn cho đến ngày 19 tháng 10, vì vậy Microsoft vẫn có thể ký các trình quản lý khởi động mới cho đến lúc đó. Microsoft đã tổ chức hai phiên AMA chi tiết với các kỹ sư dành riêng cho quản trị viên CNTT về các nhóm độ tin cậy của thiết bị, giám sát Intune, kịch bản khởi động PXE và cảnh báo với máy ảo. Đối với việc quản lý nhóm doanh nghiệp, aka.ms/GetSecureBoot vẫn là tài nguyên trung tâm.
Đối với các thiết bị trong nhóm bị tạm dừng tạm thời, đường dẫn tiếp theo là bản cập nhật BIOS từ OEM. Không nên buộc cập nhật thông qua các khóa đăng ký trên thiết bị bị tạm dừng mà không có bản cập nhật chương trình cơ sở trước và có thể gây ra lỗi khởi động hoặc khôi phục BitLocker.
