TECHFIXBK BLOG
Hết hạn Secure Boot: Khủng hoảng chứng chỉ tháng 6 năm 2026
Hết hạn Secure Boot: Khủng hoảng chứng chỉ tháng 6 năm 2026
Microsoft phát báo động: Các chứng chỉ Secure Boot sẽ hết hạn vào tháng 6 năm 2026. Khám phá tầm ảnh hưởng đến PC Windows của bạn và các bước cần thiết để duy trì bảo mật.
Hàng triệu PC đang dựa vào các chứng chỉ bảo mật từ kỷ nguyên 2011. Hãy tìm hiểu cách cập nhật hệ thống của bạn trước thời hạn năm 2026 để tránh tình trạng suy giảm bảo mật.
Lời dẫn & Đối tượng bài viết
Hàng triệu PC được sản xuất từ năm 2012 đang dựa vào các chứng chỉ bảo mật từ năm 2011 vốn đang đi đến cuối vòng đời [8][16]. Hướng dẫn này giải thích cách đảm bảo thiết bị của bạn vẫn an toàn và có thể khởi động được trước thời hạn năm 2026.
Lời dẫn & Đối tượng bài viết
Kể từ năm 2011, nền tảng của Secure Boot đã dựa trên cùng một bộ chứng chỉ số để xác minh rằng hệ điều hành của bạn không bị can thiệp [3][4]. Tuy nhiên, các chứng chỉ gốc từ kỷ nguyên 2011 này dự kiến sẽ bắt đầu hết hạn vào tháng 6 năm 2026 [3][8][16]. Nếu một hệ thống không được cập nhật các chứng chỉ mới của kỷ nguyên 2023 trước thời hạn này, nó có thể mất khả năng khởi động các hệ điều hành mới hơn hoặc không nhận được các biện pháp giảm thiểu bảo mật quan trọng [3][4][13].
Quá trình chuyển đổi này là một đợt "làm mới thế hệ" đáng kể cho hệ sinh thái Windows, ảnh hưởng đến gần như mọi PC hiện đại [15]. Mặc dù hầu hết các hệ thống tự động sẽ xử lý bản cập nhật này ở chế độ nền, việc hiểu rõ lộ trình là rất quan trọng để duy trì tính toàn vẹn và tuân thủ của hệ thống [8][18].
Đối tượng bài viết
Bài viết này dành cho:
- Người dùng gia đình Windows 10 và Windows 11 muốn đảm bảo phần cứng của họ tiếp tục được hỗ trợ [14][16].
- Quản trị viên IT quản lý các đội máy vật lý hoặc máy ảo yêu cầu giám sát cập nhật thủ công [18].
- Người dùng lo ngại về sự ổn định hệ thống lâu dài và bảo vệ chống lại các mối đe dọa cấp độ khởi động như bootkit BlackLotus [15][16].
Những gì không được đề cập
Hướng dẫn này tập trung cụ thể vào việc triển khai chứng chỉ do Microsoft dẫn dắt cho hệ sinh thái Windows [14]. Nó không bao gồm:
- Phần cứng chỉ chạy Linux: Các thiết bị chỉ chạy các bản phân phối Linux nằm ngoài phạm vi này, mặc dù Windows sẽ cập nhật chứng chỉ cho các hệ thống dual-boot [16].
- Phần cứng Apple: Mặc dù macOS về mặt kỹ thuật bị ảnh hưởng bởi các CA Secure Boot trong một số cấu hình, nhưng nó nằm ngoài phạm vi hỗ trợ của Microsoft [16].
- Bios cũ (Legacy): Chỉ các hệ thống sử dụng UEFI có bật Secure Boot mới bị ảnh hưởng [3][6].
Tóm tắt / Điều này có ý nghĩa gì với bạn
Microsoft hiện đang thay thế các chứng chỉ Secure Boot gốc, vốn là nền tảng tin cậy khi khởi động PC kể từ năm 2011 [3][15]. Các chứng chỉ 15 năm tuổi này sẽ bắt đầu hết hạn từ tháng 6 năm 2026, yêu cầu chuyển đổi sang các phiên bản 2023 đã cập nhật để duy trì bảo mật và chức năng của hệ thống [2][10][18].
Đối với hầu hết người dùng, quá trình chuyển đổi này dự kiến sẽ được xử lý tự động thông qua Windows Update và các bản cập nhật firmware của nhà sản xuất [4][8]. Tuy nhiên, việc xác minh chủ động được khuyến nghị để đảm bảo phần cứng của bạn vẫn tương thích với các bản vá bảo mật và phiên bản hệ điều hành trong tương lai [13][14].
Các thông tin chính
- Lộ trình hết hạn: Các chứng chỉ Microsoft gốc (KEK và DB) bắt đầu hết hạn vào tháng 6 năm 2026, các chứng chỉ khác sẽ hết hạn vào tháng 10 năm 2026 [1][10][16].
- Các hệ thống bị ảnh hưởng: Gần như tất cả các thiết bị chạy Windows được sản xuất từ năm 2012 đều có khả năng bị ảnh hưởng, bao gồm cả phần cứng vật lý và máy ảo [10][12][18].
- Rủi ro bảo mật: Việc không cập nhật có thể khiến thiết bị dễ bị tấn công bởi mã độc bootkit, chẳng hạn như BlackLotus, và ngăn cản việc cài đặt các biện pháp giảm thiểu bảo mật trong tương lai [2][5][15].
- Triển khai tự động: Các thiết bị Windows được quản lý và những thiết bị nhận cập nhật thường xuyên có khả năng sẽ nhận được các chứng chỉ mới mà không cần sự can thiệp của người dùng [4][11][15].
Các hành động được khuyến nghị
- Luôn cập nhật Windows: Đảm bảo hệ thống của bạn đang nhận các bản cập nhật tích lũy mới nhất, vì Microsoft đang sử dụng chúng để phân phối các tổ chức chứng thực (CA) 2023 mới [8][11][16].
- Cài đặt bản cập nhật Firmware: Kiểm tra trang web của nhà sản xuất PC hoặc ứng dụng hỗ trợ để tìm các bản cập nhật BIOS/UEFI, vì chúng thường chứa các nền tảng chứng chỉ cần thiết [11][14][15].
- Xác minh trạng thái Secure Boot: Sử dụng lệnh
msinfo32để xác nhận rằng Secure Boot đang ở trạng thái "On" nhằm đảm bảo thiết bị của bạn có thể nhận và xử lý các bản cập nhật này [13]. - Kiểm tra phần cứng cũ: Các hệ thống từ năm 2019 trở về trước có thể yêu cầu xác minh thủ công để xác nhận chúng có đủ bộ nhớ (NVRAM) để lưu trữ các chứng chỉ mới [4][14].
Lưu ý rủi ro: Mặc dù PC của bạn có thể sẽ tiếp tục khởi động phần mềm hiện có sau khi chứng chỉ hết hạn, nó sẽ rơi vào "trạng thái bảo mật bị suy giảm", điều này cuối cùng có thể ngăn cản việc tải các hệ điều hành mới hơn hoặc các bản sửa lỗi bảo mật quan trọng [4][15].
Nguồn chính (Liên kết nhanh)
- Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog [1]
- Building a safer digital future, together [2]
- Windows' original Secure Boot certificates expire in June—here's wh... [3]
Bối cảnh / Kiến thức cơ bản
Secure Boot là một tiêu chuẩn bảo mật của ngành được thiết kế để đảm bảo rằng máy tính chỉ khởi động bằng phần mềm được nhà sản xuất thiết bị gốc (OEM) tin tưởng [1][16]. Quá trình này bắt đầu trong quá trình khởi tạo nền tảng, nơi firmware xác thực các mô-đun cụ thể—bao gồm trình điều khiển UEFI, option ROM và trình nạp khởi động (boot loader)—trước khi chúng được phép thực thi [1][5]. Bằng cách chặn mã không đáng tin cậy hoặc độc hại ở giai đoạn sớm nhất này, hệ thống giảm thiểu đáng kể rủi ro từ các cuộc tấn công tinh vi như bootkit, vốn khó bị phát hiện bởi phần mềm diệt virus tiêu chuẩn [3][12].
Nền tảng của sự tin cậy này là một hệ thống phân cấp các khóa và chứng chỉ mã hóa được lưu trữ trực tiếp trong firmware của thiết bị [1][9]. Các thành phần này đóng vai trò là các "chìa khóa" kỹ thuật số mà firmware sử dụng để xác minh chữ ký của bất kỳ phần mềm nào đang cố gắng tải [3][5]. Hệ thống phân cấp này thường bao gồm các yếu tố sau:
- Platform Key (PK): Thường do nhà sản xuất phần cứng sở hữu, đóng vai trò là gốc tin cậy cho toàn bộ hệ thống [1][9].
- Key Enrollment Key (KEK): Khóa này cho phép cập nhật các cơ sở dữ liệu chữ ký và thường bao gồm các khóa từ cả Microsoft và OEM [1][6].
- Allowed Signature Database (DB): Chứa các chứng chỉ và mã băm cụ thể cho các trình nạp khởi động và trình điều khiển được ủy quyền [1][18].
- Disallowed Signature Database (DBX): Một danh sách thu hồi được sử dụng để chặn các phần mềm độc hại hoặc có lỗ hổng đã biết không được khởi động [1][9].
Vai trò của thời hạn chứng chỉ
Việc các chứng chỉ bảo mật có thời hạn cố định là một thông lệ tiêu chuẩn trong ngành để đảm bảo rằng các biện pháp bảo vệ mã hóa vẫn mạnh mẽ theo thời gian [3][5]. Các chứng chỉ này không phải là vĩnh viễn; chúng được thiết kế để được làm mới định kỳ nhằm ngăn chặn các thông tin xác thực cũ kỹ trở thành một lỗ hổng [3]. Dữ liệu hiện tại cho thấy bộ chứng chỉ Secure Boot gốc đã được sử dụng liên tục trong khoảng 15 năm [3][16].
Vì các thông tin xác thực này có ngày hết hạn, chúng phải được thay thế trước khi trở nên vô hiệu [2][12]. Các chứng chỉ chính được cấp vào năm 2011 dự kiến sẽ bắt đầu hết hạn vào tháng 6 năm 2026 [1][6]. Nếu các "chìa khóa" này không được cập nhật lên các phiên bản 2023 mới hơn trước ngày hết hạn, chuỗi tin cậy có thể bị xâm phạm, có khả năng khiến thiết bị không thể nhận được các biện pháp giảm thiểu bảo mật trong tương lai cho quá trình khởi động [1][8].
Giải thích vấn đề
Hạ tầng Secure Boot, vốn hầu như không thay đổi kể từ khi phát hành Windows 8 vào năm 2012, đang tiến tới một điểm chuyển đổi quan trọng [4][18]. Các chứng chỉ số tạo nên "gốc tin cậy" cho hàng triệu PC sắp hết hạn, bắt đầu một giai đoạn kết thúc vòng đời có tác động đến cách các thiết bị xác minh phần mềm trong trình tự khởi động [12][15].
Bắt đầu từ tháng 6 năm 2026, các Tổ chức chứng thực (CA) gốc được cấp vào năm 2011 sẽ không còn giá trị để ký các bản cập nhật hoặc thành phần mới [1][18]. Mặc dù đây là một thông lệ tiêu chuẩn của ngành để duy trì sức mạnh mã hóa, nhưng quy mô của đợt gia hạn cụ thể này là rất lớn vì các chứng chỉ này đã là nền tảng của bảo mật khởi động PC trong khoảng 15 năm [8][12].
Điều gì xảy ra khi chứng chỉ hết hạn?
Nếu một thiết bị không chuyển sang các chứng chỉ kỷ nguyên 2023 mới trước thời hạn, nó sẽ không đột ngột ngừng hoạt động. Tài liệu ngành xác nhận rằng các PC bị ảnh hưởng sẽ tiếp tục khởi động và chạy phần mềm hiện có một cách bình thường [3][13]. Tuy nhiên, hệ thống sẽ rơi vào trạng thái được mô tả là trạng thái bảo mật bị suy giảm [3][4].
Trong trạng thái này, các vấn đề sau dự kiến sẽ xuất hiện:
- Mất các bản vá bảo mật: Hệ thống sẽ mất khả năng cài đặt các bản cập nhật bảo mật mới cho Windows Boot Manager và các thành phần Secure Boot khác [1][18].
- Lỗi tin cậy: PC có thể không tin tưởng phần mềm của bên thứ ba, chẳng hạn như trình điều khiển phần cứng hoặc trình nạp khởi động, được ký bằng các chứng chỉ mới hơn sau tháng 6 năm 2026 [1][9].
- Phơi nhiễm lỗ hổng: Khi các mối đe dọa cấp độ khởi động mới được phát hiện, các thiết bị bị ảnh hưởng sẽ vẫn bị phơi nhiễm vì chúng không còn có thể áp dụng các biện pháp giảm thiểu cần thiết hoặc các danh sách thu hồi (DBX) đã cập nhật [5][13].
- Rủi ro tương thích: Theo thời gian, các hệ điều hành mới hơn hoặc các bản cập nhật firmware có thể không tải được vì phần cứng không còn sở hữu các khóa hợp lệ để xác minh chúng [3][13].
So sánh chứng chỉ sắp hết hạn và chứng chỉ mới
Bản cập nhật bao gồm việc thay thế ba chứng chỉ cốt lõi được lưu trữ trong các biến firmware của hệ thống, cụ thể là Key Exchange Key (KEK) và Signature Database (DB) [1][6].
| Chứng chỉ hết hạn (2011) | Chứng chỉ mới (2023) | Ngày hết hạn | Vị trí lưu trữ |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Tháng 6, 2026 | KEK |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 / Option ROM CA 2023 | Tháng 6, 2026 | DB |
| Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Tháng 10, 2026 | DB |
Lưu ý: Việc gia hạn chứng chỉ UEFI CA 2011 thực tế được chia thành hai chứng chỉ riêng biệt (UEFI CA 2023 và Option ROM CA 2023) để cho phép kiểm soát chi tiết hơn đối với sự tin cậy của hệ thống [2][15].
Mối đe dọa từ mã độc Bootkit
Rủi ro chính của việc không cập nhật là khả năng dễ bị tấn công bởi các bootkit, chẳng hạn như BlackLotus UEFI bootkit [1]. Bootkit đặc biệt nguy hiểm vì chúng chạy trước cả khi hệ điều hành bắt đầu, khiến phần mềm diệt virus tiêu chuẩn khó hoặc không thể phát hiện được [1][12].
Nếu không có các chứng chỉ hợp lệ và hiện hành, một hệ thống có thể không cập nhật được Danh sách chữ ký bị cấm (DBX), đây là danh sách Microsoft sử dụng để chặn các trình nạp khởi động độc hại hoặc bị xâm nhập đã biết [5][15]. Điều này có khả năng để lại một "cánh cửa mở" vĩnh viễn cho các cuộc tấn công mạng tinh vi nhắm vào các giai đoạn sớm nhất của trình tự khởi động thiết bị [1][13].
Nguyên nhân gốc rễ / Phân tích
Việc hết hạn chứng chỉ Secure Boot sắp tới không phải là một lỗi kỹ thuật, mà là một quá trình chuyển đổi bảo mật đã được lên kế hoạch. Vì Secure Boot hoạt động ở cấp độ firmware để đảm bảo chỉ phần mềm đáng tin cậy mới được thực thi khi khởi động, "gốc tin cậy" bên dưới phải được làm mới định kỳ để duy trì các tiêu chuẩn bảo mật cao [6][7].
1. Vòng đời tự nhiên của chứng chỉ
Các chứng chỉ số bị giới hạn thời gian theo thiết kế để ngăn chặn các thông tin xác thực mã hóa cũ kỹ trở thành điểm yếu bảo mật [7][12]. Các chứng chỉ gốc hiện đang cung cấp năng lượng cho hệ sinh thái Secure Boot được cấp vào năm 2011 trong quá trình phát triển Windows 8 [8][18]. Sau khoảng 15 năm phục vụ liên tục, các chứng chỉ này đang đi đến cuối vòng đời đã định và dự kiến hết hạn từ tháng 6 đến tháng 10 năm 2026 [4][10][11].
2. Sự xuất hiện của các Bootkit tiên tiến
Các mối đe dọa mạng hiện đại đã phát triển đáng kể kể từ khi các tiêu chuẩn năm 2011 được thiết lập. Các mã độc bootkit tinh vi, chẳng hạn như BlackLotus (CVE-2023-24932), đã chứng minh khả năng khai thác các lỗ hổng trong quá trình khởi động sớm mà phần mềm diệt virus tiêu chuẩn không thể dễ dàng phát hiện [1][16]. Việc cập nhật lên các phiên bản Tổ chức chứng thực (CA) 2023 cho phép Microsoft và các đối tác phần cứng triển khai các tiêu chuẩn mã hóa mạnh mẽ hơn và các kiểm soát tin cậy chi tiết hơn [1][2][5].
3. Chuyển đổi phối hợp trong toàn ngành
Làm mới chuỗi chứng chỉ là một nỗ lực bảo trì khổng lồ liên quan đến Microsoft và các Nhà sản xuất thiết bị gốc (OEM) trên toàn thế giới [4][7]. Quá trình chuyển đổi này là một bước đi phối hợp giữa các đối tác hệ sinh thái, bao gồm Dell, HP, và Lenovo, để thay thế chuỗi 2011 bằng chuỗi 2023 mới: KEK CA 2023, UEFI CA 2023, và Windows UEFI CA 2023 [4][13]. Sự thay đổi này nhằm đảm bảo rằng các thiết bị vẫn tương thích với các bản cập nhật phần cứng và phần mềm trong tương lai [3][9].
4. Loại bỏ các tiêu chuẩn lỗi thời
Các chứng chỉ 2011 hiện tại đang dần bị loại bỏ vì chúng không còn có thể hỗ trợ thế hệ tiếp theo của các biện pháp giảm thiểu bảo mật [6][14]. Các chuyên gia trong ngành cho rằng việc duy trì các tiêu chuẩn cũ kỹ này sẽ khiến hệ thống bị phơi nhiễm với các lỗ hổng mới nổi khi các mối đe dọa cấp độ khởi động mới được phát hiện [6][9]. Bằng cách loại bỏ các phiên bản 2011, ngành công nghiệp đặt mục tiêu đưa tất cả các thiết bị Windows được hỗ trợ phù hợp với các kỳ vọng bảo mật hiện đại [7][18].
| Tính năng | Chứng chỉ 2011 (Sắp hết hạn) | Chứng chỉ 2023 (Mới) |
|---|---|---|
| Giới thiệu | Windows 8 / Server 2012 [18] | Cuối 2023 / 2024 [1][12] |
| Hết hạn | Tháng 6 – 10, 2026 [1][4] | Vòng đời kéo dài (Ước tính 15+ năm) |
| Mức độ tin cậy | Ký bởi bên thứ ba cơ bản [1] | Kiểm soát chi tiết (Option ROM so với Bootloader) [2][5] |
| Trạng thái rủi ro | Dễ bị tấn công bởi bootkit hiện đại [16] | Hỗ trợ các biện pháp giảm thiểu bảo mật mới nhất [6][12] |
Bằng chứng & Kiểm chứng thực tế
Các nhà cung cấp phần cứng lớn và tài liệu chính thức của Microsoft xác nhận rằng quá trình chuyển đổi này là một thông lệ tiêu chuẩn của ngành [7][12]. Các báo cáo từ các nhà sản xuất như Dell và Lenovo cho thấy họ đã bắt đầu cung cấp chứng chỉ kép trên các nền tảng mới hơn để đảm bảo quá trình bàn giao diễn ra liền mạch [11][13]. Hướng dẫn chính thức của Windows IT Pro nhấn mạnh rằng các bản cập nhật này là cần thiết để ngăn hệ thống rơi vào "trạng thái bảo mật bị suy giảm", nơi chúng không còn có thể nhận được các biện pháp bảo vệ cấp độ khởi động quan trọng [1][3][10].
Bằng chứng & Kiểm chứng thực tế
Tài liệu chính thức từ Microsoft xác nhận rằng các chứng chỉ Secure Boot gốc, vốn đã được sử dụng từ năm 2012, đang đi đến cuối vòng đời đã định [15][18]. Các chứng chỉ này dự kiến sẽ bắt đầu hết hạn vào tháng 6 năm 2026, với việc hết hạn hoàn toàn của Windows Production PCA 2011 xảy ra vào tháng 10 năm 2026 [4][16]. Để duy trì bảo mật hệ thống, Microsoft đã chính thức thông báo triển khai chứng chỉ Windows UEFI CA 2023 thông qua các bản cập nhật Windows tiêu chuẩn [15][16].
Sự hợp tác trong ngành hiện đang được tiến hành để tạo điều kiện cho quá trình chuyển đổi này trên hàng triệu cấu hình phần cứng duy nhất [4][9]. Các báo cáo chỉ ra rằng Microsoft đang cung cấp các chứng chỉ cập nhật này như một phần của các bản cập nhật hàng tháng thường xuyên cho các thiết bị Windows được hỗ trợ [4][17]. Nỗ lực bảo trì bảo mật quy mô lớn này được thiết kế để đảm bảo rằng các thiết bị có thể tiếp tục xác minh phần mềm khởi động đáng tin cậy và nhận các bản sửa lỗi bảo mật quan trọng cho Windows Boot Manager [4][16].
Các nhà sản xuất phần cứng lớn cũng đã phát hành hướng dẫn cụ thể và các bản cập nhật firmware để hỗ trợ các tiêu chuẩn chứng chỉ mới:
| Nhà sản xuất | Hành động đã thực hiện | Nguồn |
|---|---|---|
| MSI | Phát hành các bản cập nhật BIOS bao gồm Windows UEFI CA 2023; cung cấp các đường dẫn cập nhật registry thủ công cho quản trị viên IT. | [28][29] |
| Dell | Công bố danh sách cụ thể theo nền tảng cho các bản cập nhật BIOS và xác thực các hệ thống nội bộ về tính tương thích. | [26] |
| HP | Xác nhận các bản cập nhật firmware đang được phát triển cho tất cả các PC chạy Windows 11 được hỗ trợ để áp dụng chứng chỉ 2023. | [15] |
Nhiều thiết bị được sản xuất vào năm 2024 hoặc muộn hơn có thể đã chứa các chứng chỉ 2023 đã cập nhật trong firmware của chúng, không yêu cầu thêm hành động nào từ người dùng [6][15]. Tuy nhiên, đối với các hệ thống cũ hơn, việc tích hợp các khóa này thường yêu cầu sự kết hợp giữa các bản cập nhật hệ điều hành và các bản cập nhật firmware (BIOS) cụ thể của OEM để đảm bảo phần cứng có thể nhận dạng và lưu trữ các khóa mã hóa mới [1][11].
Lưu ý: Mặc dù Microsoft dự định quản lý quá trình cập nhật cho một phần đáng kể các thiết bị Windows một cách tự động, một số hệ thống chuyên dụng nhất định—chẳng hạn như các cấu hình máy chủ hoặc IoT cụ thể—có thể yêu cầu can thiệp thủ công hoặc các kế hoạch triển khai tùy chỉnh [11][15].
Cách tiếp cận triển khai theo từng giai đoạn được dựa trên việc thử nghiệm rộng rãi để giảm thiểu khả năng gián đoạn khởi động [4][11]. Dữ liệu hiện tại cho thấy mặc dù các thiết bị không có chứng chỉ 2023 sẽ tiếp tục hoạt động bình thường sau thời hạn năm 2026, chúng sẽ có khả năng mất khả năng cài đặt các biện pháp bảo vệ bảo mật mới cho quá trình khởi động sớm, khiến chúng dễ bị tổn thương trước các mối đe dọa mới nổi như mã độc bootkit [15][16].
Tự kiểm tra / Chẩn đoán
Việc xác định xem một hệ thống đã sẵn sàng cho việc hết hạn chứng chỉ Secure Boot sắp tới hay chưa bao gồm việc xác minh trạng thái khởi động hiện tại và kiểm tra sự hiện diện của các chứng chỉ 2023 đã cập nhật. Thực hiện theo các bước sau có thể giúp xác định xem thiết bị có yêu cầu can thiệp thủ công hoặc cập nhật firmware hay không [3][15].
Bước 1: Xác minh trạng thái Secure Boot
Yêu cầu đầu tiên là đảm bảo Secure Boot hiện đang hoạt động. Nếu Secure Boot bị tắt, hệ thống không thể cập nhật các biến chứng chỉ đang hoạt động [10][13].
- Phương pháp GUI: Nhấn
Windows + R, nhậpmsinfo32, và nhấn Enter [3][10]. Trong cửa sổ System Information, tìm Secure Boot State. Nó phải được đặt thành On [3][10][18]. - Phương pháp PowerShell: Mở PowerShell với quyền Administrator và nhập
Confirm-SecureBootUEFI[18]. Nếu lệnh trả vềTrue, Secure Boot đã được bật [18].
Bước 2: Kiểm tra các chứng chỉ 2023
Sau khi xác nhận Secure Boot đang hoạt động, bạn phải kiểm tra xem chứng chỉ Windows UEFI CA 2023 có hiện diện trong cơ sở dữ liệu chữ ký (db) hay không.
- Nhấp chuột phải vào ứng dụng PowerShell hoặc Terminal và chọn Run as Administrator [3].
- Nhập lệnh sau:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')[2][3][6]. - Phân tích kết quả:
Bước 3: Kiểm tra tích hợp Firmware (BIOS)
Ngay cả khi lệnh ở Bước 2 trả về True, các chứng chỉ có thể chỉ được lưu trữ trong NVRAM chứ không được "đúc" vào firmware của phần cứng [1][3]. Để kiểm tra xem bản thân BIOS/UEFI có bao gồm các chứng chỉ mới hay không, hãy chạy lệnh này:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023') [2].
Nếu lệnh này trả về False, điều này là bình thường đối với các PC cũ, nhưng nó cho thấy rằng có thể cần một bản cập nhật BIOS từ nhà sản xuất để tích hợp vĩnh viễn các chứng chỉ [1][2][3]. Các hệ thống mới hơn được sản xuất từ năm 2024 hoặc 2025 thường trả về True tại đây [2].
Bước 4: Kiểm tra lịch sử Windows Update
Microsoft đã tích hợp các chứng chỉ UEFI CA được làm mới vào các bản cập nhật tích lũy để tạo điều kiện cho quá trình chuyển đổi này [6]. Người dùng nên kiểm tra lịch sử cập nhật của mình để tìm các bản vá cụ thể được phát hành sau tháng 6 năm 2025, chẳng hạn như KB5062710 [6][8].
Việc cài đặt thành công bản cập nhật này (hoặc các phiên bản tích lũy sau đó) nhằm mục đích triển khai các chứng chỉ một cách tự động, miễn là firmware của hệ thống hỗ trợ việc chèn chứng chỉ và Secure Boot được bật [6]. Nếu các bản cập nhật đã được cài đặt nhưng việc kiểm tra PowerShell ở Bước 2 vẫn trả về False, bộ nhớ NVRAM của hệ thống có thể đã đầy hoặc bị phân mảnh, có khả năng yêu cầu khôi phục cài đặt gốc của các khóa Secure Boot trong cài đặt BIOS [1][3].
Cảnh báo: Trước khi đặt lại các khóa Secure Boot trong BIOS, hãy đảm bảo bạn đã có sẵn khóa khôi phục BitLocker, vì quá trình này có thể kích hoạt yêu cầu khôi phục [2][3].
Giải pháp / Những việc cần làm
Quá trình cập nhật chứng chỉ Secure Boot khác nhau tùy thuộc vào việc bạn là người dùng gia đình hay đang quản lý một đội ngũ thiết bị doanh nghiệp. Đối với hầu hết các hệ thống hiện đại, các bản cập nhật này dự kiến sẽ diễn ra tự động thông qua các chu kỳ bảo trì tiêu chuẩn [6][10].
Các bước thân thiện với người mới bắt đầu
Đối với hầu hết người dùng, con đường đơn giản nhất để duy trì bảo mật hệ thống là đảm bảo hệ điều hành luôn được cập nhật. Microsoft thường quản lý quá trình cập nhật chứng chỉ cho một phần đáng kể các thiết bị Windows một cách tự động [10][12].
- Bật Cập nhật tự động: Đảm bảo Windows Update đang hoạt động. Nhiều thiết bị sẽ nhận được các chứng chỉ cập nhật như một phần của quá trình cập nhật hàng tháng thường xuyên mà không cần thực hiện thêm hành động nào [6][16].
- Kiểm tra các bản cập nhật tùy chọn: Định kỳ kiểm tra "Optional Updates" trong menu Windows Update. Một số hệ thống có thể yêu cầu các bản cập nhật firmware hoặc "driver" cụ thể để hỗ trợ cơ sở dữ liệu chứng chỉ mới [15].
- Xác minh các bản cập nhật BIOS/UEFI: Kiểm tra trang hỗ trợ của nhà sản xuất PC (OEM) để tìm các bản cập nhật BIOS hoặc UEFI mới nhất. Firmware được cập nhật thường là nền tảng để đảm bảo các chứng chỉ Secure Boot mới được chấp nhận chính xác [16][17].
- Theo dõi Windows Security: Trong những tháng tới, Ứng dụng Windows Security dự kiến sẽ cung cấp các thông báo liên quan đến trạng thái cập nhật chứng chỉ để giúp người dùng theo dõi tiến trình [6].
Cảnh báo: Nếu bạn chọn đặt lại thủ công các khóa Secure Boot trong BIOS để giải phóng không gian cho các chứng chỉ mới, hãy đảm bảo bạn có sẵn khóa khôi phục BitLocker. Nếu không làm như vậy có khả năng dẫn đến mất quyền truy cập dữ liệu [1][3].
Giải pháp nâng cao
Nếu một thiết bị không tự động cập nhật hoặc trả về giá trị false khi kiểm tra chứng chỉ Windows UEFI CA 2023, có thể cần phải can thiệp thủ công [3].
1. Xác minh thủ công qua PowerShell
Để xác định xem hệ thống của bạn đã sử dụng các chứng chỉ mới hay chưa, hãy chạy PowerShell với quyền Administrator và sử dụng lệnh sau:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Nếu lệnh này trả về True, cơ sở dữ liệu đang hoạt động đã được cập nhật [1][3]. Để kiểm tra xem các chứng chỉ có được "đúc vào" firmware hay không (cho phép chúng tồn tại ngay cả sau khi đặt lại BIOS), hãy thay thế db bằng dbdefault trong lệnh [3].
2. Các công cụ triển khai chuyên dụng
Các chuyên gia IT có thể sử dụng CLI Windows Configuration System (WinCS) hoặc Microsoft Intune để buộc triển khai các chứng chỉ [17][20].
| Phương pháp | Đối tượng mục tiêu | Yêu cầu |
|---|---|---|
| Microsoft Intune | Các tổ chức được quản lý | Các tập lệnh tuân thủ tùy chỉnh [9][17] |
| WinCS CLI | Người dùng nâng cao/IT | Công cụ WinCsFlags.exe [13][20] |
| Khóa Registry | Người dùng am hiểu | Khóa MicrosoftUpdateManagedOptIn [15][16] |
| Group Policy | Quản trị viên Domain | Triển khai trên toàn doanh nghiệp [11][17] |
3. Xóa NVRAM
Trên các PC cũ hơn (được xuất xưởng khoảng năm 2019–2020), bộ nhớ NVRAM có thể bị đầy hoặc phân mảnh, ngăn cản việc lưu trữ các chứng chỉ mới [3][4]. Trong những trường hợp này, việc thực hiện "khôi phục cài đặt gốc" cho các khóa Secure Boot trong cài đặt BIOS có thể giúp đảm bảo có đủ không gian trống cho các chứng chỉ 2023 [1][3].
Rủi ro và Hạn chế
Việc thao tác chứng chỉ thủ công tiềm ẩn những rủi ro cố hữu. Mặc dù các bản cập nhật này được thiết kế để cải thiện "gốc tin cậy", việc triển khai không đúng cách có thể dẫn đến lỗi khởi động [12][15].
- Tính tương thích khi khởi động: Nếu các chứng chỉ được cập nhật nhưng Windows Boot Manager không được căn chỉnh chính xác, hệ thống có thể không tin tưởng trình nạp khởi động [10][16].
- Phần cứng không được hỗ trợ: Các hệ thống cũ hơn (trước năm 2019) có thể không nhận được các bản cập nhật firmware từ nhà sản xuất, có khả năng hạn chế khả năng nhận các bản sửa lỗi bảo mật cho Boot Manager vào tháng 10 năm 2026 [3][16].
- Dữ liệu chẩn đoán: Đối với các hệ thống doanh nghiệp, việc quản lý tự động của Microsoft thường yêu cầu dữ liệu chẩn đoán ở mức "Required" phải được bật. Nếu tường lửa chặn dữ liệu này, bản cập nhật tự động có thể không được kích hoạt [7][16].
Các chuyên gia khuyên rằng nếu một hệ thống đang hoạt động bình thường và hiển thị là "đã cập nhật" trong registry hoặc PowerShell, người dùng nên tránh thực hiện thêm các thay đổi thủ công đối với các biến Secure Boot [17][20].
Rủi ro, Giới hạn và Khi nào nên dừng lại
Mặc dù việc cập nhật chứng chỉ Secure Boot là điều cần thiết cho bảo mật lâu dài, quá trình này liên quan đến việc sửa đổi các biến firmware nhạy cảm. Nếu xử lý không đúng cách, các bản cập nhật này có thể dẫn đến mất ổn định hệ thống hoặc lỗi khởi động [11][12].
Rủi ro nghiêm trọng khi can thiệp thủ công
Việc can thiệp thủ công vào các biến UEFI hoặc cài đặt Secure Boot mang lại những rủi ro đáng kể. Việc tắt Secure Boot hoặc đặt lại về mặc định có thể xóa các chứng chỉ 2023 đã cập nhật, có khả năng thay thế chúng bằng các phiên bản 2011 đã hết hạn được lưu trữ trong firmware gốc của nhà máy [14][16].
Trên một số thiết bị nhất định, việc chọn các tùy chọn như Expert Key Mode trong BIOS có thể xóa hoàn toàn các biến đang hoạt động [14]. Hơn nữa, nếu mã hóa BitLocker được bật, bất kỳ thay đổi nào đối với trạng thái Secure Boot có khả năng sẽ kích hoạt yêu cầu nhập khóa khôi phục [6][14]. Nếu không có khóa này, quyền truy cập dữ liệu có thể bị mất vĩnh viễn [6].
Hạn chế về phần cứng và Firmware
Không phải hệ thống nào cũng có thể chấp nhận các bản cập nhật này một cách liền mạch. Các hạn chế kỹ thuật có thể cản trở quá trình bao gồm:
- NVRAM đầy: Các hệ thống dựa trên UEFI sử dụng một lượng nhỏ NVRAM để lưu trữ các biến. Nếu bộ nhớ này đầy hoặc bị phân mảnh, các chứng chỉ mới không thể được lưu lại [3].
- Firmware bị lỗi: Một số phiên bản BIOS/UEFI cũ hơn hoặc chưa được vá lỗi có thể chứa các lỗi ngăn chúng chấp nhận việc bàn giao chứng chỉ từ Windows [3][17].
- Tính không tương thích: Các hệ thống được sản xuất trước năm 2012 thường không hỗ trợ các bản cập nhật Secure Boot cụ thể này, vì chúng có thể không mang các chứng chỉ 2011 gốc cần thiết cho quá trình chuyển đổi [1][18].
| Tình huống | Tác động tiềm tàng | Hành động được khuyến nghị |
|---|---|---|
| NVRAM đầy | Bản cập nhật không áp dụng được | Xóa các khóa Secure Boot cũ trong BIOS (yêu cầu khóa BitLocker) [3][6] |
| Bật/Tắt Secure Boot | Xóa các chứng chỉ 2023 | Để Secure Boot ở trạng thái bật nếu nó đã là "On" [14][16] |
| Event ID 1795 | Lỗi bàn giao firmware | Kiểm tra các bản cập nhật firmware/BIOS của OEM trước [17] |
Khi nào nên dừng lại và tìm kiếm sự trợ giúp chuyên nghiệp
Thông thường, bạn nên dừng việc tự khắc phục sự cố và tìm kiếm sự can thiệp chuyên nghiệp ở cấp độ phần cứng trong các trường hợp sau:
- Vòng lặp khôi phục: Nếu hệ thống rơi vào vòng lặp "Preparing Automatic Repair" hoặc khôi phục BitLocker ngay sau khi cập nhật BIOS hoặc thay đổi chứng chỉ [14][17].
- Giao diện lạ lẫm: Nếu giao diện BIOS/UEFI không quen thuộc, vì việc chọn sai cài đặt "Key Management" có thể khiến hệ điều hành không thể khởi động [14].
- Lỗi Registry dai dẳng: Nếu khóa registry
AvailableUpdateskhông xóa được bit0x0004sau nhiều lần khởi động lại, cho thấy bản cập nhật Key Exchange Key (KEK) bị kẹt [10][17]. - Các hệ thống Air-Gapped: Vì Microsoft không thể quản lý các bản cập nhật cho các môi trường air-gapped hoặc bị hạn chế cao, các hệ thống này thường yêu cầu các chiến lược triển khai thủ công chuyên dụng [13][16].
Cảnh báo: Việc cố gắng ép buộc cập nhật chứng chỉ trên một hệ thống có firmware "lỗi" có thể dẫn đến tình trạng "Không khởi động được" (No Boot), yêu cầu phải nạp lại chip BIOS vật lý hoặc thay thế bo mạch chủ [3][14].
Câu hỏi thường gặp (FAQ)
PC của tôi có ngừng hoạt động vào tháng 6 năm 2026 không?
Không, máy tính của bạn dự kiến sẽ tiếp tục khởi động và hoạt động bình thường sau khi các chứng chỉ Secure Boot 2011 hết hạn [4][15][26]. Tuy nhiên, nếu các chứng chỉ không được làm mới, thiết bị sẽ rơi vào trạng thái bảo mật bị suy giảm [10][15]. Điều này có nghĩa là nó có thể không còn nhận được các bản cập nhật bảo mật quan trọng cho Windows Boot Manager hoặc các thành phần khởi động sớm khác, có khả năng khiến nó dễ bị tổn thương trước các mối đe dọa mới nổi [15][18]. Theo thời gian, bạn cũng có thể gặp phải các vấn đề về tính tương thích với phần cứng, firmware hoặc các phiên bản hệ điều hành mới hơn yêu cầu chứng chỉ 2023 để tải [4][10].
Điều này có ảnh hưởng đến Windows 10 không?
Có, quá trình chuyển đổi này ảnh hưởng đến các thiết bị Windows 10, nhưng tính khả dụng của các bản cập nhật phụ thuộc vào phiên bản cụ thể và trạng thái hỗ trợ của bạn [4][26]. Microsoft đã chỉ ra rằng họ sẽ cung cấp các chứng chỉ 2023 mới cho Windows 10 LTSC 2021 và cho các thiết bị có giấy phép Cập nhật bảo mật mở rộng (ESU) đang hoạt động [26][27]. Các phiên bản Windows 10 tiêu chuẩn đã hết hạn hỗ trợ thường không nhận được các bản cập nhật này thông qua Windows Update, điều này cuối cùng có thể hạn chế khả năng nhận các biện pháp bảo vệ cấp độ khởi động của chúng [4].
Tôi có thể chỉ cần tắt Secure Boot không?
Mặc dù về mặt kỹ thuật là có thể, nhưng việc tắt Secure Boot thường không được khuyến nghị vì nó làm tăng đáng kể rủi ro từ mã độc cấp độ khởi động, chẳng hạn như BlackLotus UEFI bootkit [16][18]. Hơn nữa, việc tắt Secure Boot hoặc sửa đổi một số cài đặt BIOS đôi khi có thể xóa các biến chứng chỉ đang hoạt động, có khả năng yêu cầu khóa khôi phục BitLocker để lấy lại quyền truy cập vào dữ liệu của bạn [26][27]. Nhiều ứng dụng hiện đại và phần mềm phụ thuộc vào bảo mật cũng có thể không tải được hoặc không hoạt động chính xác nếu Secure Boot bị tắt [4][10].
Làm thế nào để biết chứng chỉ của tôi đã được cập nhật chưa?
Hầu hết các thiết bị Windows dự kiến sẽ nhận được các bản cập nhật chứng chỉ này một cách tự động thông qua quá trình Windows Update tiêu chuẩn [15][16]. Bạn có thể xác minh trạng thái chứng chỉ của mình bằng cách chạy các lệnh PowerShell cụ thể để kiểm tra sự hiện diện của Microsoft Corporation KEK 2K CA 2023 hoặc Windows UEFI CA 2023 [26][27]. Nếu các phiên bản 2023 này hiện diện trong các biến firmware của hệ thống, thì thường không cần thực hiện thêm hành động nào [26].
Có tốn phí cho các chứng chỉ mới này không?
Không có chi phí trực tiếp cho việc nhận các chứng chỉ đã cập nhật thông qua Windows Update cho các hệ thống được hỗ trợ [26][27]. Các Tổ chức chứng thực (CA) 2023 cũng được Microsoft cung cấp miễn phí để quản lý thủ công [26]. Tuy nhiên, nếu thiết bị của bạn đã hết thời gian phục vụ chính thức và yêu cầu cập nhật BIOS thủ công để hỗ trợ chuỗi chứng chỉ mới, một số người dùng có thể phát sinh chi phí liên quan đến các dịch vụ chuyên nghiệp hoặc thỏa thuận hỗ trợ [26][27].
Tóm tắt / Các điểm chính cần lưu ý
Việc chuyển đổi từ các chứng chỉ Secure Boot 2011 sang các phiên bản 2023 mới là một bản cập nhật bảo mật quan trọng cho hệ sinh thái Windows toàn cầu [11][13]. Hầu hết các hệ thống hiện đại dựa vào các chữ ký số này để xác minh tính toàn vẹn của quá trình khởi động trước khi hệ điều hành tải [11][16].
- Thời hạn cố định: Các chứng chỉ Microsoft gốc bắt đầu hết hạn vào tháng 6 năm 2026, với các thành phần cuối cùng dự kiến hết hạn vào tháng 10 năm 2026 [13][15][18].
- Tác động bảo mật: Mặc dù các PC bị ảnh hưởng có khả năng sẽ tiếp tục khởi động, chúng sẽ rơi vào trạng thái bảo mật bị suy giảm [3][4]. Các hệ thống này sẽ mất khả năng nhận các bản sửa lỗi bảo mật quan trọng cho Windows Boot Manager, khiến chúng có khả năng dễ bị tấn công bởi mã độc bootkit như BlackLotus [1][16][26].
- Cập nhật tự động: Hầu hết người dùng cho phép Microsoft quản lý các bản cập nhật của họ sẽ nhận được các chứng chỉ mới một cách tự động thông qua các chu kỳ cập nhật tích lũy tiêu chuẩn [2][14][15].
- Hành động cần thiết: Khuyến nghị xác minh rằng Secure Boot đã được bật thông qua
msinfo32và cài đặt bất kỳ bản cập nhật firmware OEM nào có sẵn, vì chúng thường cung cấp nền tảng cần thiết cho các bản cập nhật chứng chỉ [7][16][27].
| Chứng chỉ | Ngày hết hạn | Phiên bản mới |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | Tháng 6, 2026 | Microsoft Corporation KEK 2K CA 2023 [16][18] |
| Microsoft UEFI CA 2011 | Tháng 6, 2026 | Microsoft UEFI CA 2023 [15][18] |
| Microsoft Windows Production PCA 2011 | Tháng 10, 2026 | Windows UEFI CA 2023 [1][15] |
Nếu bạn không chắc chắn, việc hỏi ý kiến ai đó một lần thường rẻ hơn là phải sửa chữa sai lầm sau này.
Nguồn
[1] Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog
[2] Building a safer digital future, together
[3] Windows' original Secure Boot certificates expire in June—here's wh...
[4] Refreshing the root of trust: industry collaboration on Secure Boot certifica...
[5] builders.intel.com
[6] Introduction to Key Usage in Integrated Firmware Images
[7] cdrdv2-public.intel.com
[8] cdrdv2-public.intel.com
[9] Firmware Interface Table Introduction - 1.6 - ID:599500 | Firmware Interface ...
[10] INTEL-SA-00127
[11] Intel® CSE Secure Boot (Type 0x10) Rules - 1.2 - ID:599500 | Firmware In...
[12] Configuring Secure Boot — Intel® software for general purpose GPU capaba...
[13] community.intel.com
[14] System Setup Guide — Intel® software for general purpose GPU capabiliti...
[15] Windows Secure Boot certificate expiration and CA updates - Microsoft Support
[16] Act now: Secure Boot certificates expire in June 2026 - Windows IT Pro Blog
[17] Secure Boot playbook for certificates expiring in 2026
[18] Secure Boot Certificate updates: Guidance for IT professionals and organizati...
[19] How to verify the Windows Secure boot certificates have been updated. - Micro...
[20] Secure Boot certificates have been updated but are not yet applied - Microsof...
[21] Enable Secure Boot to protect systems from UEFI rootkit ‘CosmicStrand’ | Secu...
[22] ASPEED AST2400 & AST2500 Security Vunerabilities (CVE-2019-6260) | Security &...
[23] Offizieller Support | ASUS Deutschland
[24] Offizieller Support | ASUS Deutschland
[25] zentalk.asus.com
[26] Secure Boot Transition FAQ | Dell US
[27] Secure Boot Transition FAQ | Dell UK
[28] MSI France
[29] MSI Latinoamérica
[30] How to Enable Secure Boot and TPM 2.0 on MSI AM4 Motherboards
[31] storage-asset.msi.com
[32] MSI USA
[33] Enforcement of laws against polluters nearly non-existent in US, analysis finds
[34] Windows 11 KB5077181 & KB5075941 cumulative updates released
[35] Microsoft releases Windows 10 KB5075912 extended security update
[36] Microsoft's February Patch fixes 6 zero-days - but some Windows users sh...
[37] Microsoft rolls out new Secure Boot certificates before June expiration
[38] Your PC's critical security certificates may be about to expire - how to...
[39] February's Windows 11 update is causing startup problems for users
[40] Microsoft warns Secure Boot certificates will expire soon — what to expect
[41] Windows Secure Boot Certificates From 2011 Will Be Expiring Soon. What You Ne...
[42] Microsoft is keeping Secure Boot alive with Windows updates
[43] Microsoft is refreshing Secure Boot certificates to plug security holes befor...
[44] Endlos-Neustarts: Neues Windows 11 Update legt Rechner lahm
[45] Critical Microsoft bug from 2024 under exploitation
[46] You
[47] Microsoft is giving Windows 11’s security settings a big makeover
[48] Windows 11 brings back classic taskbar features and users have thoughts
[49] Windows 11 Notepad flaw let files execute silently via Markdown links
[50] CISA flags critical Microsoft SCCM flaw as exploited in attacks
[51] California's CCPA New Cybersecurity Audit Rules: Applicability Threshold...
[52] Nancy Guthrie Abduction: Potential Subject Pic to Be Released by Law Enforcement
[53] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It
[54] DHS has no immediate plans for sweeping city-specific immigration enforcement...
[55] FAA steps up enforcement against reckless drone pilots
[56] Microsoft Refreshes Secure Boot Certificates via Windows Update
[57] Microsoft Patches Six Zero-Days, Two Critical Flaws
[58] Windows 11 February 2026 Patch: KB5077181 and KB5075941 fix zero-days, shutdo...
[59] Windows 10 users warned to upgrade now or risk a ‘degraded security sta...
[60] Verify Windows UEFI CA 2023 Certificate with PowerShell
[61] How to check if Windows 11 has applied the new Secure Boot 2023 certificates ...
[62] Verify Windows 11’s New 2023 Secure Boot Certificates Installation
[63] Windows Secure Boot 2026: Microsoft issues final warning over expiring certif...
[64] Microsoft begins Secure Boot certificate update for Windows devices - Help Ne...
[65] Microsoft Secure Boot Updates: New Certificates Coming Soon - Weidemann.tech
[66] Windows 11 24H2/25H2: Update KB5077181 verursacht Boot-Schleife
[67] PC Secure Boot Certificates Near Expiration: Check Now
[68] Microsoft sets 2026 deadline for Secure Boot certificate expiration
[69] Windows 11 adds a new secure mode that blocks sketchy apps and drivers
[70] Windows 11 26H1 Latest Build – Technical Deep Dive into OS Build 28000.1575
[71] Microsoft wants Windows 11 “secure by default," could allow only properl...
[72] Alarm: Ihr Windows-PC bekommt ab Sommer echte Probleme – der Grund
[73] Windows 11 Update KB5077181 verursacht Startprobleme: Das können Sie tun
[74] Selbst prüfen: Hat Windows 11 die neuen Secure-Boot-Zertifikate bereits angew...
[75] Windows-11-Februar-Update kann für Bootschleife sorgen
[76] Windows Secure Boot Certificates Issued in 2011 Begin Expiring in June 2026
[77] Microsoft Security Update Summary (10. Februar 2026)
[78] Patchday: Windows 10/11 Updates (10. Februar 2026)
[79] Exchange Server Sicherheitsupdates Februar 2026
[80] KB5077181 Windows 11 25H2 / 24H2 [Manueller Download] Sicherheitsupdate Febru...
[81] Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?
[82] Windows 11 Update KB5077181 - DAP IT-Solutions GmbH
[83] KB5075941 - Details, Issues, & Feedback - NinjaOne
[84] Microsoft veröffentlicht Februar-Sicherheitsupdates mit sechs aktiv ausgenutz...
[85] Windows 11 Februar-Update 2026: KB5077181 liefert Sicherheitsupdates, WLAN-Re...
[86] Windows 11 February Update Triggers Startup Issues for Users
[87] KB5077800 - Details, Issues, & Feedback - NinjaOne
[88] Windows 11 Update KB5077181 Security and AI Features for 24H2 and 25H2 Versio...
[89] Many Reddit users hit with "network security" block error on posts
[90] Microsoft Patches Six Actively Exploited Windows 11 Zero-Day Vulnerabilities
[91] Microsoft to Roll Out New Secure Boot Certificates to Keep Old Windows PCs Se...
[92] Microsoft to Refresh Secure Boot Certificates for Windows 11 and 10 in March
[93] Windows 10 : attention, votre PC pourrait devenir vulnérable si vous ratez ce...
[94] windows event logs cheat sheet
[95] How to Check If Your PC Has the New 2023 Secure Boot Certificates (Before Jun...
[96] How To Access BIOS MSI Motherboard? - AEANET
[97] OpenCore-and-UEFI-Secure-Boot/guide/Windows UEFI CA 2023.md at main · perez98...
[98] Fortnite To Require Additional PC Security Features
[99] KB5007651 Keeps Reinstalling on Windows 11 — What It Is and How to Fix It - S...
[100] Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red...
[101] Enable Secure Boot: Fix Secure Boot certificates expiration - TechDirectArchive
[102] This free Windows 11 debloating script makes every PC better
[103] Windows 11 has a hidden "Cross-Device Resume" feature most people d...
[104] Secure Boot certificate changes in 2026: Guidance for RHEL environments | Red...
[105] This app is Microsoft's apology to power users
[106] From Trust to Trouble: The Supply Chain Implications of a Broken DBX
[107] Was passiert, wenn die Secure Boot-Zertifikate unter Windows 11 und Windows 1...
[108] Windows Patch Tuesday: Notepad RCE Fix, Secure Boot Update & Taskbar Prot...
[109] SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass - Ubuntu Wiki
[110] MOK Manager: what it is, what it
[111] media.defense.gov
[112] Chapter 22. Updating the Secure Boot Revocation List | Managing, monitoring, ...
[113] Secure Boot: Enhancing Linux Security from Firmware to Kernel
[114] Unified Extensible Firmware Interface/Secure Boot - ArchWiki
[115] The Perils of Updating UEFI Secure Boot Revocation List
[116] Thoughts dereferenced from the scratchpad noise. | Automating Firmware Secur...
[117] GRUB2 Secure Boot Bypass 2021 | Ubuntu
[118] How to boot Linux using UEFI with Secure Boot ? — Get Intimate With Cyb...
[119] MSI Global English Forum
[120] MSI Global English Forum
[121] MSI Endanwender-Forum DE
[122] Updating Windows Boot Manager and WinPE with the Windows UEFI CA 2023 Certifi...
[123] media.defense.gov
[124] XFN 1.1 profile
[125] fonts.googleapis.com
[126] BleepingComputer (@[email protected]) - Infosec Exchange
[127] Windows Central
[128] Windows Central (@WindowsCentral) on Flipboard
[129] Windows Central (@windowscentral.com)
Relevant Services
More from the Blog
- Hiệu suất Windows 11: Tại sao chiếc PC mạnh mẽ của bạn lại cảm thấy chậm chạp(1 thg 3, 2026)
- Thiết kế lại Start Menu của Windows 11: Tại sao người dùng lại thất vọng(1 thg 3, 2026)
- Menu Start mới của Windows 11 gợi nhớ về 'Windows 8'(1 thg 3, 2026)
- Microsoft Copilot Tasks: Cách các tác nhân AI tự động hóa công việc(1 thg 3, 2026)
- Trump Ra Lệnh Cho Các Cơ Quan Hoa Kỳ Ngừng Mọi Việc Sử Dụng AI Của Anthropic(28 thg 2, 2026)
- NVIDIA GeForce Driver 595.59: Lỗi Quạt Nghiêm Trọng và Cách Hạ Cấp(28 thg 2, 2026)
- View all blog posts
Brauchen Sie Hilfe?
Wir reparieren Ihren PC oder Laptop schnell und zuverlässig.
Jetzt Reparatur anfragen