Nếu PC của bạn đã hơn hai năm tuổi, chứng chỉ Khởi động an toàn Windows của bạn sẽ hết hạn vào tháng 6 năm 2026. Bạn sẽ ngừng nhận các bản cập nhật Khởi động an toàn và cuối cùng điều này có thể gây ra sự cố khởi động. Trong khi Microsoft đang dần dần triển khai các chứng chỉ mới thông qua Windows Update, bạn có thể tránh tình trạng không chắc chắn khi triển khai theo từng giai đoạn bằng cách làm theo hướng dẫn này để cập nhật chứng chỉ Khởi động an toàn ngay bây giờ.
Mục lục
Chứng chỉ khởi động an toàn là gì
Tính năng Khởi động an toàn trong PC UEFI đảm bảo rằng PC chỉ khởi động với phần mềm được ký điện tử từ các nhà sản xuất đáng tin cậy. Quá trình xác thực này có nhiều bước, trong đó bước đầu tiên và quan trọng nhất là sử dụng chứng chỉ công khai để xác định nhà sản xuất phần mềm đáng tin cậy trước cả khi một dòng mã được thực thi.
Đối với điều này, chương trình cơ sở UEFI trên PC của bạn chứa danh sách các chứng chỉ của nhà sản xuất về cơ bản hoạt động như “thẻ ID” để xác nhận phần mềm đến từ một nguồn đáng tin cậy. Điều này giúp bảo vệ chống lại bootkit và rootkit, vì những phần mềm độc hại như vậy sẽ không hoạt động nếu không có chứng chỉ từ nhà sản xuất đã đăng ký.
Tại sao bạn cần cập nhật lên Chứng chỉ khởi động an toàn mới nhất
Chứng chỉ Khởi động an toàn, giống như mọi chứng chỉ khác, đều có ngày hết hạn. Hầu hết các PC được sản xuất trước năm 2024 đều sử dụng Microsoft Corporation UEFI CA 2011 chứng chỉ sẽ hết hạn vào tháng 6 năm 2026. Khi chúng hết hạn, PC của bạn sẽ không nhận được các bản cập nhật Windows Boot Manager, khiến PC của bạn dễ gặp phải các mối đe dọa mới. Bạn cũng sẽ gặp khó khăn khi sử dụng phần cứng mới nhất được ký bằng chứng chỉ mới.
Bạn cần cập nhật lên Windows UEFI CA 2023 mới nhất giấy chứng nhận. Trên thực tế, Microsoft đã làm việc với các OEM để kích hoạt các chứng chỉ này thông qua các bản cập nhật Windows. Tuy nhiên, có nhiều lý do khiến bạn muốn kích hoạt các chứng chỉ này theo cách thủ công ngay bây giờ. Dưới đây là những cái phổ biến nhất:
- Không có gì đảm bảo Microsoft sẽ kích hoạt chứng chỉ trên PC cụ thể của bạn trước ngày hết hạn. Việc triển khai tự động dựa trên tầm quan trọng của thiết bị; bạn có thể phải đợi hàng tháng (hoặc nó không bao giờ kích hoạt).
- Chứng chỉ cũ của năm 2011 dễ bị tấn công bởi bộ khởi động BlackLotus có thể vượt qua quá trình khởi động an toàn. Bằng cách cập nhật ngay bây giờ, bạn sẽ có được sự bảo mật đó ngay lập tức.
- Nếu các bản cập nhật Windows bị tắt trên PC của bạn hoặc bạn muốn tự mình quản lý các bản cập nhật thì có thể cần phải cập nhật chứng chỉ theo cách thủ công.
- Nếu bạn có ổ đĩa khôi phục, nó có thể không hoạt động sau khi cập nhật chứng chỉ. Tốt nhất bạn nên cài đặt chúng theo điều kiện của mình để có thể tạo ổ khôi phục mới kịp thời.
Mặc dù PC của bạn sẽ không bị khóa nếu không cài đặt các chứng chỉ mới nhất nhưng điều đó sẽ ảnh hưởng đến tính bảo mật của PC và khiến việc nâng cấp phần cứng trong tương lai trở nên khó khăn.
Kiểm tra xem PC của bạn có đang chạy Chứng chỉ khởi động an toàn mới nhất hay không
Có khả năng Microsoft đã kích hoạt chứng chỉ trên PC cụ thể của bạn. Bạn có thể chạy lệnh PowerShell để xác nhận điều này.
Tìm kiếm “powershell” trong Windows Search, nhấp chuột phải vào Windows PowerShell và chọn Chạy với tư cách quản trị viên .
Chạy lệnh sau:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nếu đầu ra cho biết Đúng , bạn đã có chứng chỉ mới nhất và bạn không phải làm gì thêm. Nếu nó báo Sai , bạn sẽ phải cập nhật và kích hoạt chúng.
Cài đặt Chứng chỉ khởi động an toàn 2023 trên Windows
Chứng chỉ Windows UEFI CA 2023 rất có thể đã có trên PC của bạn. Microsoft thực sự đã thêm các chứng chỉ này cho tất cả các PC có bản cập nhật tích lũy Windows 11 tháng 2 năm 2024 nhưng không kích hoạt chúng. Nếu PC của bạn được cập nhật ít nhất một lần sau bản cập nhật Windows 11 tháng 2, bạn có thể làm theo các bước sau để triển khai và kích hoạt chứng chỉ:
Mở lại PowerShell với tư cách quản trị viên và chạy lệnh sau:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Lệnh này sẽ chỉnh sửa Sổ đăng ký để triển khai chứng chỉ 2023. 0x5944 Bitmask trong lệnh thực sự chạy sáu hướng dẫn khác nhau để giúp PC của bạn sẵn sàng cài đặt Windows UEFI CA 2023.
Bây giờ, để kích hoạt các hướng dẫn mà lệnh trên đã thực hiện, bạn cần chạy lệnh sau trong PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Lệnh này sẽ chạy các công việc cần thiết để Windows cài đặt chứng chỉ trong lần khởi động tiếp theo, như kiểm tra tính tương thích hoặc di chuyển chứng chỉ mới từ thư mục WinSxS sang khu vực tổ chức. Bạn có thể nhận thấy PC của mình bị treo một chút khi lệnh chạy.
Bước quan trọng nhất là khởi động lại Windows hai lần. Bạn phải khởi động lại PC, không tắt máy và khởi động lại. Nếu bạn đã bật Khởi động nhanh thì việc tắt máy đơn giản sẽ không xóa bộ nhớ. Đây là điều cần thiết để những thay đổi này có hiệu lực.
Thế là xong, PC của bạn giờ đây sẽ có chứng chỉ Khởi động an toàn mới nhất kéo dài đến năm 2038. Mặc dù bạn sẽ không gặp phải bất kỳ sự cố nào nhưng nếu gặp phải sự cố này, hãy làm theo các bước trong hướng dẫn này để khắc phục sự cố Windows không khởi động và khắc phục vòng lặp khởi động lại vô hạn.