Bản cập nhật Windows 11 tháng 4 bổ sung hiển thị trạng thái chứng chỉ Khởi động an toàn

Trong bản cập nhật Windows 11 April 2026, ngoài việc cho phép người dùng bật hoặc tắt Smart App Control mà không cần cài đặt lại hệ thống, Microsoft còn âm thầm bổ sung thêm một cải tiến quan trọng liên quan đến bảo mật khởi động: Windows Security Center giờ đây có thể hiển thị trực tiếp trạng thái của chứng chỉ Secure Boot (Khởi động an toàn), cho phép người dùng xác nhận xem máy tính của họ đã áp dụng phiên bản 2023 của chứng chỉ Secure Boot hay chưa.

Chứng chỉ khởi động an toàn được sử dụng để xác minh xem phần mềm chạy trong quá trình khởi động hệ thống có đáng tin cậy hay không. Nếu chứng chỉ hết hạn, về mặt lý thuyết, nó có thể bị phần mềm độc hại cấp khởi động (bootkit) khai thác hoặc các sửa đổi trái phép để cấy mã tấn công trước khi hệ thống được khởi động hoàn toàn. Chứng chỉ Secure Boot được biết đến sớm nhất được cấp vào năm 2011 sẽ hết hạn vào tháng 6 năm 2026 và trước đó Microsoft đã xác nhận rằng các chứng chỉ cũ này sẽ được thay thế bằng chứng chỉ Secure Boot 2023 mới thông qua Windows Update. Tuy nhiên, đối với người dùng thông thường, vẫn còn thiếu những phương pháp trực quan và dễ sử dụng để xác định xem máy tính của họ có được thay thế bằng chứng chỉ mới hay không.

Trước đây, người dùng muốn xác nhận xem chứng chỉ Secure Boot 2023 đã được áp dụng hay chưa chỉ có thể dựa vào các phương pháp chuyên nghiệp hơn như lệnh PowerShell hoặc nhật ký xem sự kiện. Những phương pháp này rõ ràng là không phù hợp với hoạt động hàng ngày của hầu hết người dùng không rành về kỹ thuật. Sau bản cập nhật tháng 4, Windows Security Center lần đầu tiên hiển thị trực tiếp trạng thái chứng chỉ Secure Boot trong giao diện, giải quyết vấn đề "hộp đen thông tin" này. Lấy thiết bị của chính tác giả làm ví dụ, Trung tâm bảo mật Windows đã chỉ ra rằng chứng chỉ Secure Boot 2023 đã được áp dụng và đưa ra lời nhắc "Không cần thực hiện thêm hành động nào".

Trước khi cập nhật, Trung tâm bảo mật Windows chỉ hiển thị thông tin về việc chức năng Khởi động an toàn có được bật trên trang "Bảo mật thiết bị" hay không. Sau khi cập nhật, người dùng không chỉ có thể xem liệu Secure Boot có được bật hay không mà còn xem chứng chỉ đã được cập nhật lên phiên bản mới nhất hay chưa. Trạng thái này nằm trong khu vực "Khởi động an toàn" trong "Bảo mật thiết bị". Sau khi hoàn thành cập nhật tương ứng, giao diện sẽ đưa ra phản hồi trạng thái bảo mật chi tiết hơn.

Theo Microsoft, tính năng hiển thị trạng thái Khởi động an toàn này được đẩy qua bản cập nhật tích lũy Windows 11 KB5083769 và có thể áp dụng cho Bản dựng 26200.8246 / 26100.8246 hoặc phiên bản mới hơn của hệ thống, nhưng không phải tất cả các thiết bị sẽ thấy tính năng này cùng một lúc và dự kiến là toàn bộ push sẽ dần dần áp dụng cho tất cả các thiết bị được hỗ trợ trước cuối tháng 4 năm 2026. Microsoft lưu ý trong tài liệu hỗ trợ rằng chứng chỉ phiên bản 2023 đang được cấp tự động thông qua Windows Update và màn hình hiển thị trạng thái trong Trung tâm Bảo mật Windows sẽ cho người dùng biết liệu thiết bị có nhận được các bản cập nhật này hay không, trạng thái hiện tại của thiết bị và liệu có cần thực hiện hành động bổ sung hay không.

Theo thiết kế mới, người dùng có thể kiểm tra trạng thái Khởi động an toàn thông qua một đường dẫn đơn giản: mở Trung tâm bảo mật Windows, nhập "Device Security" - "Secure Boot" để xem logo và văn bản nhắc nhở trên giao diện. Mô-đun này sử dụng sơ đồ đánh dấu ba màu tương tự như đèn giao thông: màu xanh lá cây có nghĩa là "được cập nhật đầy đủ, không cần thực hiện hành động nào"; màu vàng có nghĩa là "có lời khuyên bảo mật" và bạn có thể cần liên hệ với nhà sản xuất máy tính để cập nhật chương trình cơ sở; màu đỏ có nghĩa là "cần chú ý ngay lập tức", điều này thường có nghĩa là do hạn chế về phần cứng hoặc chương trình cơ sở, Microsoft đang gặp khó khăn khi áp dụng chứng chỉ mới nhất cho thiết bị.

Cụ thể, khi phần Khởi động an toàn hiển thị dấu tích màu xanh lá cây, lời nhắc sẽ cho biết "Thiết bị được bảo vệ và tất cả các cập nhật chứng chỉ bắt buộc đã được hoàn thành, không cần thay đổi gì thêm". Khi hiển thị biểu tượng cảnh báo màu vàng có nghĩa là hệ thống vẫn có thể chạy nhưng có những khuyến nghị về bảo mật, chẳng hạn như cần xem lại nội dung nhắc nhở và cập nhật firmware của thiết bị hoặc các thành phần liên quan theo hướng dẫn. Nếu biểu tượng màu đỏ xuất hiện nghĩa là hệ thống cần xử lý Secure Boot ngay lập tức. Tình trạng này thường xảy ra trên các thiết bị có điều kiện phần cứng không thể đáp ứng yêu cầu cập nhật chứng chỉ hoặc khi bản thân Secure Boot không được bật.

Cần lưu ý rằng Khởi động an toàn là một trong những yêu cầu phần cứng bắt buộc để cài đặt và chạy Windows 11 chính thức. Đối với người dùng nâng cấp từ Windows 10 lên Windows 11 bằng cách bỏ qua việc kiểm tra phần cứng thông qua các phương tiện không chính thức, Trung tâm Bảo mật Windows có nhiều khả năng hiển thị cảnh báo màu đỏ cho biết rằng Khởi động an toàn chưa được bật và chứng chỉ mới nhất bị thiếu. Microsoft nhắc nhở rằng khi gặp phải tình huống này, người dùng nên kiểm tra cài đặt BIOS/UEFI theo lời nhắc hoặc liên hệ với nhà sản xuất thiết bị càng sớm càng tốt.

Microsoft cho biết hầu hết người dùng không cần quá lo lắng về vấn đề chứng chỉ Secure Boot, vì hệ thống sẽ tự động cấp và áp dụng phiên bản 2023 của chứng chỉ cho hầu hết các thiết bị tương thích thông qua Windows Update. Tuy nhiên, quan sát của Windows mới nhất cho thấy các bản cập nhật chứng chỉ Secure Boot trên một số thiết bị không thành công do giới hạn phần sụn, điều đó có nghĩa là các thiết bị này có thể không nhận được chứng chỉ mới trong một thời gian dài và trạng thái Windows Security Center tương ứng sẽ tiếp tục hiển thị cảnh báo màu vàng hoặc đỏ.

Điều đó nói lên rằng, việc không bao giờ nhận được chứng chỉ Secure Boot 2023 không có nghĩa là thiết bị nhất thiết sẽ trở nên không ổn định hoặc ngay lập tức gặp phải các rủi ro bảo mật nghiêm trọng. Báo cáo chỉ ra rằng đối với hầu hết người tiêu dùng thông thường, khả năng gặp phải các cuộc tấn công thực tế chỉ vì chứng chỉ Secure Boot chưa được cập nhật vẫn còn thấp. Tuy nhiên, từ góc độ bảo trì và tuân thủ lâu dài, đảm bảo có thể cập nhật chương trình cơ sở, Khởi động an toàn được bật bình thường và lấy chứng chỉ mới nhất càng nhiều càng tốt vẫn là một bước quan trọng để cải thiện tính bảo mật của toàn bộ máy.