Windows Secure Boot sắp hết hạn, người dùng cần làm gì để tránh rủi ro bảo mật?

Nếu máy tính của bạn đã hơn 2 năm tuổi, chứng chỉ Windows Secure Boot sẽ hết hạn vào tháng 6 năm 2026. Bạn sẽ ngừng nhận được các bản cập nhật Secure Boot, và điều này cuối cùng có thể gây ra sự cố khởi động. Mặc dù Microsoft đang dần triển khai các chứng chỉ mới thông qua Windows Update, bạn có thể tránh sự không chắc chắn của việc triển khai theo từng giai đoạn bằng cách làm theo hướng dẫn này để cập nhật chứng chỉ Secure Boot ngay bây giờ.

Chứng chỉ Secure Boot là gì?

Tính năng Secure Boot trong UEFI của PC đảm bảo rằng PC chỉ khởi động với phần mềm được ký số từ các nhà sản xuất đáng tin cậy. Quá trình xác thực này có nhiều bước, trong đó bước đầu tiên và quan trọng nhất là sử dụng các chứng chỉ công khai để xác định những nhà sản xuất phần mềm đáng tin cậy trước khi bất kỳ dòng code nào được thực thi.

Để làm được điều này, phần mềm UEFI của PC lưu giữ một danh sách các chứng chỉ của nhà sản xuất, về cơ bản hoạt động như "thẻ căn cước" để xác nhận phần mềm đến từ một nguồn đáng tin cậy. Điều này giúp bảo vệ chống lại bootkit và rootkit, vì các phần mềm độc hại như vậy sẽ không hoạt động nếu không có chứng chỉ từ những nhà sản xuất đã đăng ký.

Tại sao cần cập nhật lên chứng chỉ Secure Boot mới nhất?

Giống như mọi chứng chỉ khác, chứng chỉ Secure Boot cũng có ngày hết hạn. Hầu hết các máy tính cá nhân được sản xuất trước năm 2024 sử dụng chứng chỉ Microsoft Corporation UEFI CA 2011, sẽ hết hạn vào tháng 6 năm 2026. Khi hết hạn, máy tính của bạn sẽ không nhận được các bản cập nhật Windows Boot Manager, khiến máy tính dễ bị tổn thương trước những mối đe dọa mới. Bạn cũng sẽ gặp khó khăn khi sử dụng phần cứng mới nhất được ký bằng chứng chỉ mới.

Kiểm tra xem PC có đang sử dụng chứng chỉ Secure Boot mới nhất hay không

Có khả năng Microsoft đã kích hoạt chứng chỉ trên PC của bạn. Bạn có thể chạy lệnh PowerShell để xác nhận điều này.

Tìm kiếm “powershell” trong Windows Search, nhấp chuột phải vào Windows PowerShell và chọn Run as administrator.

Chạy lệnh sau:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Nếu kết quả hiển thị là True, bạn đã có chứng chỉ mới nhất và không cần làm gì thêm. Nếu hiển thị là False, bạn sẽ phải cập nhật và kích hoạt chúng.

Cài đặt chứng chỉ Secure Boot 2023 trên Windows

Chứng chỉ Windows UEFI CA 2023 rất có thể đã có trên PC của bạn. Microsoft đã thêm các chứng chỉ này vào tất cả các PC bằng bản cập nhật Windows 11 tháng 2 năm 2024, nhưng chưa kích hoạt chúng. Nếu máy tính của bạn đã được cập nhật ít nhất một lần sau bản cập nhật Windows 11 tháng 2, bạn có thể làm theo các bước sau để triển khai và kích hoạt chứng chỉ:

Mở PowerShell với quyền admin một lần nữa và chạy lệnh sau:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Lệnh này sẽ chỉnh sửa Registry để triển khai chứng chỉ năm 2023. Bitmask 0x5944 trong lệnh thực chất chạy 6 lệnh khác nhau để chuẩn bị máy tính của bạn cho việc cài đặt Windows UEFI CA 2023.

Bây giờ, để kích hoạt các hướng dẫn mà lệnh trên đã thực hiện, bạn cần chạy lệnh sau trong PowerShell:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Lệnh này sẽ chạy các tác vụ cần thiết để Windows cài đặt chứng chỉ trong lần khởi động tiếp theo, chẳng hạn như kiểm tra khả năng tương thích hoặc di chuyển những chứng chỉ mới từ thư mục WinSxS đến khu vực lưu trữ tạm thời. Bạn có thể nhận thấy máy tính của mình bị treo một chút khi lệnh đang chạy.

Bước quan trọng nhất là khởi động lại Windows 2 lần. Bạn phải khởi động lại máy tính, không phải tắt máy rồi khởi động lại. Nếu bạn đã bật Fast Startup, việc tắt máy đơn giản sẽ không xóa bộ nhớ, điều này là cần thiết để các thay đổi có hiệu lực.

Vậy là xong, máy tính của bạn giờ đã có chứng chỉ Secure Boot mới nhất, có hiệu lực đến năm 2038. Mặc dù bạn sẽ không gặp bất kỳ vấn đề nào, nhưng nếu có, hãy làm theo các bước trong hướng dẫn này để khắc phục sự cố Windows không khởi động và gặp lỗi khởi động lại liên tục.