Nếu máy tính Windows của bạn đã vài năm tuổi, hãy chuẩn bị tinh thần. Chứng chỉ Secure Boot mà nó đang dựa vào—cụ thể là Microsoft Corporation UEFI CA 2011—sẽ hết hạn vào tháng 6 năm 2026. Đây không chỉ là một sự bất tiện nhỏ; đó là một quả bom hẹn giờ có thể chặn các bản cập nhật Windows, khiến hệ thống của bạn gặp rủi ro bảo mật nghiêm trọng và thậm chí có thể gây ra lỗi khởi động.
Mặc dù Microsoft đang dần triển khai các chứng chỉ mới thông qua Windows Update, việc phụ thuộc vào lộ trình triển khai theo từng giai đoạn có thể khiến bạn gặp rủi ro. Tại sao phải chờ đợi? Hướng dẫn này sẽ chỉ cho bạn quy trình cập nhật chứng chỉ Secure Boot ngay bây giờ, đảm bảo hệ thống của bạn vẫn an toàn và hoạt động tốt trong tương lai.
Hiểu Về Windows Secure Boot: "Bảo Vệ" Kỹ Thuật Số Của PC
Về cơ bản, Secure Boot là một tính năng bảo mật quan trọng được tích hợp trong UEFI (Unified Extensible Firmware Interface) của PC. Nhiệm vụ chính của nó là đảm bảo rằng hệ thống của bạn chỉ khởi động bằng phần mềm đã được ký số bởi các nhà sản xuất đáng tin cậy. Hãy hình dung nó như một người bảo vệ ở câu lạc bộ, kiểm tra ID trước khi cho bất kỳ ai vào.
Quá trình xác thực này có nhiều lớp. Bước đầu tiên và quan trọng nhất là sử dụng các chứng chỉ công khai để xác minh tính hợp pháp của các nhà sản xuất phần mềm trước khi bất kỳ dòng mã nào được thực thi. Phần mềm UEFI của PC duy trì một cơ sở dữ liệu các chứng chỉ của nhà sản xuất, về cơ bản hoạt động như "thẻ căn cước" kỹ thuật số để xác nhận phần mềm khởi động đến từ một nguồn đáng tin cậy. Cơ chế này rất quan trọng để bảo vệ chống lại phần mềm độc hại cấp thấp như bootkit và rootkit, những loại phần mềm này sẽ không thể chạy nếu không có chứng chỉ hợp lệ, đã đăng ký.
Tại Sao Chứng Chỉ Secure Boot Hết Hạn Lại Là Một Vấn Đề Lớn
Giống như mọi chứng chỉ kỹ thuật số khác, chứng chỉ Secure Boot cũng có ngày hết hạn. Chứng chỉ Microsoft Corporation UEFI CA 2011, phổ biến trong hầu hết các PC được sản xuất trước năm 2024, dự kiến sẽ hết hạn vào tháng 6 năm 2026. Khi điều này xảy ra, hệ thống của bạn sẽ đối mặt với một số vấn đề nghiêm trọng:
- Không Còn Bản Cập Nhật Boot Manager Được Ký: PC của bạn sẽ ngừng nhận các bản cập nhật thiết yếu cho Windows Boot Manager. Điều này khiến hệ thống của bạn dễ bị tấn công bởi các lỗ hổng mới được phát hiện nhắm vào quá trình khởi động.
- Tăng Rủi Ro Bảo Mật: Chứng chỉ lỗi thời đồng nghĩa với việc PC của bạn ít được trang bị để chống lại phần mềm độc hại cấp độ boot tinh vi. Các mối đe dọa mới được thiết kế để vượt qua các biện pháp bảo mật cũ có thể xâm phạm hệ thống của bạn trước khi Windows tải hoàn chỉnh.
- Không Tương Thích Phần Cứng và Hệ Điều Hành: Các tính năng phần cứng hoặc hệ điều hành trong tương lai có thể dựa vào phần mềm được ký bằng các chứng chỉ mới hơn. Chứng chỉ hết hạn có thể ngăn bạn sử dụng các thành phần mới hoặc thậm chí nâng cấp hệ điều hành một cách liền mạch.
- Khả Năng Lỗi Khởi Động: Trong một số trường hợp, chứng chỉ hết hạn có thể dẫn đến lỗi khởi động hoặc mất ổn định hệ thống, khiến PC của bạn không thể sử dụng được cho đến khi vấn đề được khắc phục.
Chủ động cập nhật lên chứng chỉ Windows UEFI CA 2023, có hiệu lực đến năm 2038, là động thái thông minh để tránh những rắc rối này.
Kiểm Tra Trạng Thái Chứng Chỉ Secure Boot Hiện Tại Của Bạn
Rất có thể Microsoft đã đẩy chứng chỉ mới đến PC của bạn, ngay cả khi nó chưa được kích hoạt. Một lệnh PowerShell nhanh chóng sẽ xác nhận điều này:
Đầu tiên, mở PowerShell với quyền quản trị. Tìm kiếm "powershell" trong Windows Search, nhấp chuột phải vào "Windows PowerShell" và chọn "Run as administrator."
Bây giờ, thực thi lệnh sau:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nếu kết quả hiển thị là "True", xin chúc mừng! Hệ thống của bạn đã có chứng chỉ mới nhất đang hoạt động và bạn không cần làm gì thêm. Nếu hiển thị là "False", bạn sẽ cần tiếp tục với các bước kích hoạt bên dưới.
Kích Hoạt Chứng Chỉ Windows UEFI CA 2023 Trên PC Của Bạn
Ngay cả khi kiểm tra trước đó trả về "False", chứng chỉ Windows UEFI CA 2023 rất có thể đã có trên PC của bạn. Microsoft đã bao gồm các chứng chỉ này trong tất cả các hệ thống Windows 11 với bản cập nhật tháng 2 năm 2024, nhưng chúng chưa được kích hoạt ngay lập tức cho tất cả mọi người. Nếu máy tính của bạn đã nhận được ít nhất một bản cập nhật Windows 11 kể từ tháng 2 năm 2024, bạn có thể làm theo các bước sau để triển khai và kích hoạt chứng chỉ:
Mở PowerShell với quyền quản trị một lần nữa và chạy lệnh này:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Lệnh này sẽ chỉnh sửa Registry của Windows, cụ thể là đặt các cờ chuẩn bị hệ thống của bạn cho việc triển khai chứng chỉ 2023. Bitmask 0x5944 là một giá trị thập lục phân mà nội bộ kích hoạt một loạt sáu hướng dẫn cập nhật khác nhau, về cơ bản là chuẩn bị cho việc cài đặt Windows UEFI CA 2023.
Tiếp theo, để khởi động các hướng dẫn đã được chuẩn bị bởi lệnh trước đó, hãy thực thi lệnh này trong PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Lệnh này sẽ khởi chạy một tác vụ đã lên lịch chịu trách nhiệm điều phối việc cài đặt chứng chỉ trong chu kỳ khởi động tiếp theo. Nó xử lý các hoạt động nền quan trọng như kiểm tra khả năng tương thích và di chuyển các chứng chỉ mới từ thư mục WinSxS đến khu vực lưu trữ tạm thời. Bạn có thể nhận thấy một chút tạm dừng hoặc hệ thống phản hồi chậm nhẹ khi tác vụ này đang chạy.
Bước quan trọng nhất để hoàn tất cập nhật là thực hiện hai lần khởi động lại hoàn chỉnh Windows. Điều quan trọng là bạn phải chọn "Restart" (Khởi động lại) chứ không phải "Shut down" (Tắt máy) rồi bật lại. Nếu bạn đã bật Fast Startup, việc tắt máy đơn giản sẽ không xóa bộ nhớ kernel, điều này cần thiết để các thay đổi có hiệu lực hoàn toàn. Hai lần khởi động lại đầy đủ đảm bảo firmware UEFI và Windows tích hợp đúng cách chứng chỉ mới.
Sau khi bạn đã hoàn thành các bước này và thực hiện hai lần khởi động lại, PC của bạn sẽ chạy với chứng chỉ Secure Boot mới nhất, có hiệu lực đến năm 2038. Biện pháp chủ động này đảm bảo hệ thống của bạn được bảo mật mạnh mẽ chống lại các mối đe dọa trong tương lai và tương thích với các bản cập nhật Windows và phần cứng sắp tới. Mặc dù các vấn đề hiếm khi xảy ra, nếu bạn gặp bất kỳ sự cố khởi động nào, hãy tham khảo các hướng dẫn khắc phục sự cố khởi động Windows tiêu chuẩn.
