TECHFIXBK BLOG
Bảo mật Windows 11: Microsoft chặn tính năng tự động điền sinh trắc học
Bảo mật Windows 11: Microsoft chặn tính năng tự động điền sinh trắc học
Microsoft thắt chặt bảo mật Windows 11 24H2 & 25H2 để chống lại CVE-2026-20804, chặn tự động điền sinh trắc học và nhập liệu từ xa trong các hộp thoại đăng nhập an toàn. Tìm hiểu ý nghĩa của thay đổi này.
Các bản cập nhật quan trọng năm 2026 vô hiệu hóa tính năng tự động điền thông tin đăng nhập và nhập liệu từ xa cho Windows Hello nhằm ngăn chặn các cuộc tấn công tiêm nhiễm sinh trắc học tinh vi.
Giới thiệu & Đối tượng bài viết
Một bản vá bảo mật quan trọng vào tháng 2 năm 2026 đã thay đổi cách Windows 11 xử lý dữ liệu sinh trắc học và thông tin đăng nhập. Hướng dẫn này giải thích lý do tại sao những thay đổi này là cần thiết để ngăn chặn các lỗ hổng cụ thể và ý nghĩa của chúng đối với việc sử dụng PC hàng ngày của bạn.
Có thể gần đây bạn đã phát hiện ra rằng tính năng sinh trắc học Windows Hello hoặc các công cụ đăng nhập tự động của mình không còn hoạt động như mong đợi, đặc biệt là trong các phiên hỗ trợ từ xa. Đối với nhiều người dùng, sự thay đổi đột ngột này có thể giống như một lỗi hệ thống hoặc hỏng hóc phần cứng. Tuy nhiên, đây có thể là một phản ứng có chủ đích đối với một lỗ hổng bảo mật đáng kể được xác định trong quá trình xác thực Windows [30][38].
Bài viết này dành cho người dùng và quản trị viên IT đang chạy Windows 11 phiên bản 24H2 hoặc 25H2, những người đang gặp phải sự gián đoạn với tính năng tự động điền thông tin đăng nhập hoặc nhận dạng sinh trắc học [30][38]. Chúng tôi sẽ đề cập đến lỗi bảo mật cụ thể được khắc phục bởi các bản cập nhật Patch Tuesday tháng 2 năm 2026 và tác động vận hành của những thay đổi này [30].
Xin lưu ý rằng phạm vi của thông tin này chỉ giới hạn ở các thay đổi bảo mật cấp phần mềm và không bao gồm:
- Hư hỏng phần cứng vật lý đối với đầu đọc dấu vân tay hoặc camera hồng ngoại.
- Các phiên bản Windows cũ đã hết hạn hỗ trợ.
- Các lỗi cập nhật Windows chung không liên quan đến CVE-2026-20804 [30][38].
Bằng cách hiểu các bản cập nhật này, bạn có thể phân biệt tốt hơn giữa một hạn chế hệ thống an toàn và một lỗi kỹ thuật có thể cần sự chú ý chuyên nghiệp.
Tóm tắt / Ý nghĩa đối với bạn
- Chặn tự động điền thông tin đăng nhập: Microsoft đã vô hiệu hóa chức năng tự động điền thông tin đăng nhập trong Windows 11 24H2 và 25H2 để giảm thiểu một lỗi bảo mật nghiêm trọng [30][38].
- Lỗ hổng sinh trắc học: Thay đổi này giải quyết CVE-2026-20804, một lỗ hổng mà kẻ tấn công có thể vượt qua Windows Hello bằng cách tiêm dữ liệu sinh trắc học giả mạo vào quá trình xác thực [30][38].
- Yêu cầu nhập thủ công: Người dùng hiện có thể được yêu cầu nhập mật khẩu thủ công cho các ứng dụng khác nhau và quy trình xác thực tự động mà trước đây dựa vào thông tin đăng nhập đã lưu [30][32].
- Gián đoạn hỗ trợ từ xa: Việc thắt chặt bảo mật mới hạn chế nhập thông tin đăng nhập từ các nguồn cục bộ đáng tin cậy, ngăn chặn hiệu quả các công cụ từ xa như RDP, TeamViewer và AnyDesk tương tác với các lời nhắc đăng nhập an toàn [32].
- Ưu tiên bảo mật: Mặc dù các bản cập nhật này ảnh hưởng đến hiệu quả quy trình làm việc, chúng được thiết kế để cung cấp sự bảo vệ thiết yếu chống lại hành vi trộm cắp thông tin đăng nhập từ xa và truy cập trái phép [30][32].
- Rủi ro khi lách luật: Việc sử dụng quyền quản trị viên nâng cao để bỏ qua các hạn chế này là có thể nhưng tiềm ẩn nguy hiểm, vì nó có thể tái diễn chính các rủi ro bảo mật mà bản cập nhật nhằm khắc phục [30][38].
Nguồn chính (Liên kết nhanh)
- Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog [1]
- Building a safer digital future, together [2]
- Updates 2/10/26 - "Microsoft Tuesday" | DELL Technologies [5]
Bối cảnh / Kiến thức cơ bản
Windows Hello là một hệ thống xác thực sinh trắc học cho phép người dùng truy cập thiết bị của họ bằng nhận dạng khuôn mặt, quét dấu vân tay hoặc mã PIN [10][12]. Không giống như mật khẩu truyền thống, công nghệ này thường dựa trên phần cứng chuyên dụng, chẳng hạn như camera hồng ngoại và cảm biến vân tay, để xác minh danh tính người dùng [12][15]. Để tăng cường bảo mật, Windows có thể lưu trữ dữ liệu sinh trắc học này trong Trusted Platform Module (TPM), một thành phần phần cứng biệt lập giúp thêm một lớp bảo vệ chống truy cập trái phép [9][15].
Một tính năng phụ được gọi là Enhanced Sign-in Security (ESS) giúp củng cố thêm các lần đăng nhập này bằng cách hoạt động ở cấp độ tin cậy ảo của bộ ảo hóa hệ thống [4]. Tuy nhiên, mặc dù ESS được thiết kế để chặn các cuộc tấn công tiêm nhiễm tinh vi, nó thường yêu cầu khả năng tương thích phần cứng cụ thể, chẳng hạn như các bộ xử lý hiện đại có hỗ trợ cảm biến an toàn [4].
Tự động điền thông tin đăng nhập và Nhập liệu từ xa là gì?
Để hiểu những thay đổi bảo mật gần đây, cần phân biệt giữa hai cách chính mà Windows xử lý dữ liệu đăng nhập tự động:
- Tự động điền thông tin đăng nhập (Credential Autofill): Chức năng này cho phép các ứng dụng hoặc hệ điều hành tự động nhập tên người dùng và mật khẩu đã lưu vào các lời nhắc đăng nhập [30][38]. Nó được thiết kế để cải thiện hiệu quả quy trình làm việc bằng cách giảm nhu cầu nhập dữ liệu thủ công trong các tác vụ xác thực lặp đi lặp lại [1][30].
- Nhập liệu từ xa (Remote Input): Điều này đề cập đến khả năng của các công cụ hỗ trợ từ xa—chẳng hạn như Remote Desktop Protocol (RDP), TeamViewer hoặc AnyDesk—để tương tác với giao diện người dùng Windows từ một vị trí khác [5][6]. Đây là yêu cầu tiêu chuẩn đối với các quản trị viên IT cung cấp hỗ trợ kỹ thuật cho người dùng ở xa [32].
Cách các tính năng này tương tác
Trong môi trường tiêu chuẩn, các hệ thống này hoạt động cùng nhau để cung cấp trải nghiệm người dùng liền mạch. Khi hộp thoại "Windows Security" an toàn xuất hiện, tự động điền thông tin đăng nhập có thể điền vào các trường hoặc quản trị viên từ xa có thể sử dụng nhập liệu từ xa để hỗ trợ người dùng nhập thông tin đăng nhập [5][32].
| Tính năng | Lợi ích chính | Trường hợp sử dụng điển hình |
|---|---|---|
| Windows Hello | Bảo mật cao | Đăng nhập cục bộ không mật khẩu [10][12] |
| Tự động điền | Hiệu quả | Đăng nhập tự động cho ứng dụng [30] |
| Nhập liệu từ xa | Hỗ trợ | Khắc phục sự cố Helpdesk [32] |
Bằng chứng gần đây cho thấy rằng mặc dù các tương tác này thuận tiện, chúng đã tạo ra một vấn đề về "ranh giới tin cậy" [32]. Cụ thể, Windows Credential UI trước đây cho phép một số quy trình nâng cao mô phỏng việc nhập liệu vào các hộp thoại an toàn [5]. Các nhà nghiên cứu bảo mật đã xác định rằng khả năng này, mặc dù dành cho tự động hóa hợp pháp, có thể bị phần mềm độc hại khai thác để tiêm thông tin đăng nhập theo chương trình mà không cần sự tương tác trực tiếp của người dùng [5][32].
Rủi ro và Hạn chế
Mặc dù các hệ thống sinh trắc học như Windows Hello giảm thiểu đáng kể các rủi ro liên quan đến mật khẩu bị đánh cắp, chúng không được coi là một giải pháp "hoàn hảo" hoặc "an toàn 100%". Các chuyên gia bảo mật theo dõi các công nghệ này liên tục, vì các cuộc tấn công "tiêm nhiễm" dựa trên phần mềm vẫn có thể nhắm mục tiêu vào các đường truyền thông tin giữa cảm biến sinh trắc học và hệ điều hành [4][30]. Nếu phần cứng cơ bản không hỗ trợ các biện pháp bảo vệ nâng cao như ESS, hệ thống có thể vẫn dễ bị tổn thương trước một số loại can thiệp [4].
Giải thích vấn đề
Người dùng trên toàn hệ sinh thái Windows 11 hiện đang gặp phải một thay đổi đáng kể trong cách thiết bị của họ xử lý mật khẩu đã lưu và đăng nhập sinh trắc học [30][32]. Sau các bản cập nhật bảo mật gần đây, chức năng Tự động điền thông tin đăng nhập—trước đây cho phép các ứng dụng tự động điền chi tiết đăng nhập sau khi quét Windows Hello—đã bị Microsoft chặn một cách có chủ đích [30][38].
Sự thay đổi này tạo ra sự bất tiện tức thì cho những người dùng đã chuyển sang quy trình làm việc chỉ dùng sinh trắc học [30]. Thay vì quá trình chuyển đổi liền mạch mong đợi từ việc quét khuôn mặt hoặc dấu vân tay sang một ứng dụng đã mở khóa, nhiều cá nhân hiện thấy mình bị nhắc nhập mật khẩu thủ công hoặc gặp phải các chu kỳ tự động hóa bị lỗi [32][38]. Điều này có thể dẫn đến sự nhầm lẫn và cảm giác hệ thống xác thực bị "hỏng", mặc dù thay đổi này là một biện pháp thắt chặt bảo mật có chủ ý [30][32].
Tác động thực tế đến quy trình làm việc hàng ngày
Tác động vận hành của thay đổi này được cảm nhận rõ rệt nhất trong môi trường doanh nghiệp và bởi những người dùng dựa vào hỗ trợ từ xa. Bảng sau đây minh họa sự thay đổi trong hành vi hệ thống:
| Tính năng | Hành vi trước đây | Hành vi sau cập nhật |
|---|---|---|
| Tự động điền thông tin đăng nhập | Tự động điền thông tin đăng nhập trong ứng dụng và hộp thoại [30][38]. | Bị hạn chế; yêu cầu nhập thủ công hoặc tương tác cục bộ [30][32]. |
| Hỗ trợ từ xa | Các công cụ như TeamViewer có thể tương tác với lời nhắc đăng nhập [32]. | Nhập liệu từ xa bị chặn đối với các hộp thoại thông tin đăng nhập an toàn [32]. |
| Trải nghiệm người dùng | Tiện lợi cao với truy cập một chạm hoặc một cái nhìn [30]. | Tăng sự bất tiện do tự động hóa bị chặn [32][38]. |
Việc thắt chặt này nhắm mục tiêu cụ thể vào cờ UIACCESS và các cơ chế nâng cao quyền khác được sử dụng bởi phần mềm hỗ trợ từ xa [32]. Vì hệ thống hiện xác thực rằng đầu vào phải bắt nguồn từ một thiết bị được kết nối vật lý hoặc một quy trình cục bộ bị hạn chế cao, các chuyên gia IT không còn có thể hỗ trợ một số lời nhắc xác thực trong các phiên làm việc từ xa [32][30].
Cảnh báo: Mặc dù các biện pháp này nhằm bảo vệ chống trộm cắp thông tin đăng nhập, chúng có thể ảnh hưởng đáng kể đến thời gian phản hồi của bộ phận hỗ trợ (help desk) và các tập lệnh xác thực tự động hiện có [30][32].
Các nhà phân tích trong ngành cho rằng thay đổi này đặt các tổ chức vào một tình thế khó khăn: họ phải lựa chọn giữa việc duy trì hiệu quả vận hành cao hoặc chấp nhận sự gián đoạn quy trình làm việc để giảm thiểu rủi ro của các cuộc tấn công tiêm nhiễm sinh trắc học [30][38]. Đối với người dùng bình thường, điều này có nghĩa là sự tiện lợi của Windows Hello hiện chỉ giới hạn ở việc truy cập hệ thống ban đầu thay vì là một chiếc chìa khóa vạn năng cho tất cả các trường thông tin đăng nhập [30][32].
Nguyên nhân gốc rễ / Phân tích
Quyết định hạn chế chức năng sinh trắc học và thắt chặt các lời nhắc xác thực bắt nguồn từ một loạt các lỗ hổng nghiêm trọng được xác định từ cuối năm 2025 đến đầu năm 2026. Những lỗi này đã để lộ một điểm yếu cơ bản trong cách Windows xác thực các tương tác "cục bộ" so với các đầu vào tự động hoặc từ xa.
Tấn công tiêm nhiễm sinh trắc học (CVE-2026-20804)
Động lực chính cho những thay đổi này là CVE-2026-20804, một lỗ hổng cho phép can thiệp vào dữ liệu Windows Hello [30][38]. Nghiên cứu đã chứng minh rằng một quản trị viên cục bộ có thể tiêm thông tin sinh trắc học trái phép vào cơ sở dữ liệu hệ thống [30].
Trong một buổi trình diễn tại Black Hat 2025, các nhà nghiên cứu bảo mật đã cho thấy cách một bản quét khuôn mặt từ máy này có thể được chèn vào máy khác, cho phép người dùng trái phép mở khóa thiết bị ngay lập tức mà không kích hoạt bất kỳ cảnh báo bảo mật nào [38]. Mặc dù Enhanced Sign-in Security (ESS) có thể giảm thiểu điều này, nhiều máy tính xách tay hiện đại thiếu các cảm biến phần cứng cụ thể cần thiết để hỗ trợ nó, khiến chúng dễ bị tấn công bởi phương pháp tiêm nhiễm này [38].
Khai thác nhập liệu từ xa (CVE-2026-20824)
Microsoft đã xác định rằng Windows Credential UI (hộp thoại "Windows Security") trước đây cho phép các quy trình nâng cao gửi đầu vào mô phỏng đến các lời nhắc an toàn [32]. Khả năng này dành cho hỗ trợ từ xa hợp pháp nhưng đã tạo ra một vectơ tấn công đáng kể [32].
- Vectơ tấn công: Phần mềm độc hại có thể "tiêm" thông tin đăng nhập vào các hộp thoại theo chương trình mà người dùng không hề hay biết [32].
- Biện pháp giảm thiểu: Hệ thống hiện xác thực nghiêm ngặt rằng đầu vào chỉ bắt nguồn từ các thiết bị được kết nối vật lý hoặc các quy trình có đặc quyền bị hạn chế cao [32].
- Kết quả: Các công cụ hỗ trợ từ xa như TeamViewer, AnyDesk và các phiên RDP hiện bị chặn hiệu quả khỏi việc tương tác với các lời nhắc xác thực này [32].
Các lỗ hổng Zero-Day nghiêm trọng
Bản phát hành Patch Tuesday tháng 2 năm 2026 đã giải quyết sáu lỗ hổng zero-day đang bị khai thác tích cực, điều này càng đòi hỏi một tư thế bảo mật thắt chặt hơn [39][65]. Một số lỗi này nhắm mục tiêu cụ thể vào cách Windows xử lý các lời nhắc bảo mật và cấp độ đặc quyền:
| Mã định danh CVE | Thành phần bị ảnh hưởng | Tác động |
|---|---|---|
CVE-2026-21510 |
Windows Shell | Vượt qua SmartScreen và các hộp thoại "Bạn có chắc chắn không?" [39]. |
CVE-2026-21519 |
Desktop Window Manager | Cho phép kẻ tấn công nâng cao đặc quyền lên cấp SYSTEM [65]. |
CVE-2026-21533 |
Remote Desktop Services | Cho phép kẻ tấn công sửa đổi các khóa dịch vụ và thêm quản trị viên mới [65]. |
CVE-2026-21513 |
MSHTML Framework | Vượt qua các biện pháp bảo vệ sandbox và cảnh báo bảo mật [39]. |
Nguyên nhân đã xác nhận so với Giả thuyết
Mặc dù cơ sở kỹ thuật cho các bản cập nhật này được tài liệu hóa tốt trong các bản tin bảo mật, tác động vận hành khác nhau tùy theo tổ chức.
- Đã xác nhận: Microsoft đã chặn tự động điền thông tin đăng nhập trong Windows 11 24H2/25H2 cụ thể để ngăn chặn các cuộc tấn công tiêm nhiễm sinh trắc học [30].
- Đã xác nhận: Bản cập nhật tháng 1 năm 2026 đã thực hiện một ranh giới tin cậy nghiêm ngặt hơn xung quanh cờ
UIACCESSđược sử dụng bởi các công cụ hỗ trợ từ xa [32]. - Giả thuyết: Các nhà phân tích trong ngành cho rằng sự đột ngột của những thay đổi này có thể bắt nguồn từ khoảng cách sáu tháng giữa lần phát hiện ban đầu lỗi Windows Hello vào tháng 8 năm 2025 và việc thực thi cuối cùng vào tháng 2 năm 2026 [38]. Sự chậm trễ này có thể đã làm tăng tính cấp thiết cho một bản sửa lỗi hạn chế, "ưu tiên bảo mật" [38].
Bằng chứng & Kiểm chứng thực tế
Các báo cáo chính thức được công bố vào tháng 2 năm 2026 xác nhận rằng Microsoft hiện đang giải quyết sự gia tăng của các cuộc tấn công mạng tinh vi. Các nhà nghiên cứu bảo mật và các bản tin chính thức chỉ ra rằng ít nhất sáu lỗ hổng zero-day đã bị khai thác tích cực trong thực tế trước khi có các bản vá [39][63]. Những lỗi này cho phép kẻ tấn công vượt qua các tính năng bảo mật quan trọng, thường chỉ yêu cầu một cú nhấp chuột từ người dùng để xâm nhập hệ thống [7][11].
Dữ liệu ngành làm nổi bật quy mô của thách thức bảo mật này. Các nhà phân tích từ Zero Day Initiative lưu ý rằng số lượng lỗi đang bị tấn công tích cực trong tháng này là "cao bất thường", khớp với các mức đỉnh kỷ lục được thấy trong những năm trước [63][8]. Các lỗ hổng này chủ yếu nhắm vào Windows Shell, công cụ MSHTML và Microsoft Office, gây ra rủi ro cao về việc xâm nhập hệ thống sau đó hoặc triển khai mã độc tống tiền [7][39].
Để duy trì sự tin tưởng của khách hàng, Microsoft đã nhấn mạnh triết lý "an toàn ngay từ khâu thiết kế" [2]. Các thông tin liên lạc chính thức cho thấy việc thắt chặt môi trường Windows là ưu tiên liên tục để bảo vệ chống lại các rủi ro đang phát triển, đặc biệt khi 91% người dùng bày tỏ lo ngại về những tác hại do các công nghệ mới nổi như AI gây ra [2][14].
| ID lỗ hổng | Thành phần bị ảnh hưởng | Tác động |
|---|---|---|
CVE-2026-21510 |
Windows Shell | Vượt qua SmartScreen và các lời nhắc bảo mật [11][63] |
CVE-2026-21513 |
MSHTML Framework | Vượt qua các biện pháp bảo vệ sandbox của trình duyệt và Office [39][15] |
CVE-2026-21514 |
Microsoft Word | Vượt qua tính năng bảo mật cục bộ thông qua các tài liệu độc hại [11][15] |
Lưu ý: Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã thêm tất cả sáu lỗi zero-day được xác định vào danh mục các lỗ hổng bị khai thác đã biết tính đến tháng 2 năm 2026 [63][7].
Các báo cáo từ Khảo sát An toàn Trực tuyến Toàn cầu càng xác nhận sự cần thiết của các biện pháp bảo mật này. Mặc dù người dùng cảm thấy được kết nối nhiều hơn, một thập kỷ nghiên cứu cho thấy họ cảm thấy ngày càng kém an toàn hơn khi trực tuyến [2][14]. Thực tế này có thể đã đẩy nhanh việc triển khai các biện pháp bảo vệ giao diện người dùng và xác thực nghiêm ngặt hơn để ngăn chặn việc thực thi mã trái phép [7][63].
Tự kiểm tra / Chẩn đoán
Nếu bạn nhận thấy phần cứng sinh trắc học của mình—chẳng hạn như đầu đọc dấu vân tay hoặc camera nhận dạng khuôn mặt—hoạt động không nhất quán, bạn có thể bị ảnh hưởng bởi những thay đổi bảo mật gần đây [10][14]. Điều quan trọng là phải phân biệt giữa lỗi phần cứng và việc chặn có chủ đích mà Microsoft đã triển khai để giảm thiểu lỗ hổng CVE-2026-20804 [10][30].
Hãy làm theo các bước sau để xác định xem hệ thống của bạn đã nhận được bản cập nhật bảo mật và đang hạn chế chức năng Windows Hello hay chưa.
1. Xác minh phiên bản và bản dựng Windows của bạn
Việc chặn tự động điền thông tin đăng nhập chủ yếu nhắm vào các phiên bản mới hơn của Windows 11. Bạn có thể kiểm tra phiên bản của mình bằng cách nhấn Windows Key + R, nhập winver và nhấn Enter.
Các hệ thống chạy các phiên bản sau có khả năng thấy những thay đổi này:
2. Kiểm tra các bản cập nhật bảo mật cụ thể
Hạn chế này đã được giới thiệu và thực thi thông qua các chu kỳ Patch Tuesday tháng 1 và tháng 2 năm 2026 [10]. Để xem chúng đã được cài đặt chưa, hãy vào Settings > Windows Update > Update history.
Hãy tìm các mã định danh Knowledge Base (KB) sau:
3. Thực hiện kiểm tra chức năng
Việc chặn bảo mật không vô hiệu hóa hoàn toàn Windows Hello; thay vào đó, nó hạn chế nơi các thông tin đăng nhập đó có thể được sử dụng [10]. Bạn có thể kiểm tra hệ thống của mình bằng cách so sánh hành vi đăng nhập:
| Hành động | Kết quả mong đợi nếu bị chặn |
|---|---|
| Đăng nhập hệ thống | Sinh trắc học (Khuôn mặt/Vân tay) vẫn cho phép bạn đăng nhập vào Windows bình thường [11]. |
| Ứng dụng bên thứ ba | Các ứng dụng có thể không tự động điền thông tin đăng nhập hoặc nhắc nhập mật khẩu thủ công thay vì sinh trắc học [10][14]. |
| Hỗ trợ từ xa | Các lời nhắc sinh trắc học bị chặn trong các phiên điều khiển máy tính từ xa hoặc hỗ trợ để ngăn chặn các cuộc tấn công tiêm nhiễm [10][30]. |
Lưu ý: Nếu sinh trắc học không hoạt động ngay cả đối với màn hình đăng nhập Windows ban đầu, vấn đề có thể liên quan đến lỗi phần cứng hoặc xung đột firmware khác, thay vì việc chặn bảo mật cụ thể này [11].
4. Xác định khả năng tương thích phần cứng cho ESS
Lỗ hổng đã đề cập, CVE-2026-20804, được giảm thiểu đáng kể trên các hệ thống sử dụng Enhanced Sign-in Security (ESS) [12]. ESS sử dụng vùng bảo mật dựa trên ảo hóa (VBS) để bảo vệ dữ liệu sinh trắc học [13].
Bạn vẫn có thể gặp phải tình trạng bị chặn nếu phần cứng của bạn không hỗ trợ cảm biến Secure Camera hoặc các yêu cầu xử lý Intel cụ thể cần thiết cho ESS [12]. Nhiều thiết bị cũ hơn hoặc những thiết bị sử dụng cấu hình AMD nhất định có thể vẫn nằm trong danh mục "có rủi ro", kích hoạt việc chặn tự động điền như một biện pháp bảo vệ [12].
Giải pháp / Những việc cần làm
Để giải quyết những thay đổi gần đây trong bảo mật hệ thống và hành vi xác thực, người dùng nên tập trung vào việc duy trì phần mềm cập nhật trong khi thích nghi với các yêu cầu nhập liệu nghiêm ngặt hơn. Các bước sau đây phác thảo các giải pháp tạm thời và chiến lược bảo trì dài hạn.
Các tùy chọn ngắn hạn
Nếu bạn gặp sự cố trong đó các công cụ hỗ trợ từ xa—chẳng hạn như TeamViewer, AnyDesk hoặc RDP—không thể tương tác với các hộp thoại Windows Security, thì cần phải can thiệp thủ công [13]. Vì bản cập nhật tháng 1 năm 2026 hạn chế đầu vào giao diện thông tin đăng nhập từ các nguồn cục bộ đáng tin cậy, giải pháp tạm thời chính cho các lời nhắc xác thực bị chặn là nhập mật khẩu hoặc mã PIN trực tiếp bằng bàn phím được kết nối vật lý [13].
Phân tích ngành cho thấy biện pháp thắt chặt này nhắm mục tiêu cụ thể vào cờ UIACCESS được sử dụng bởi các công cụ từ xa để ngăn chặn việc tiêm thông tin đăng nhập theo chương trình [13]. Nếu một quản trị viên từ xa đang hỗ trợ bạn, họ có thể không nhập được vào các lời nhắc an toàn này; bạn sẽ cần cung cấp đầu vào cục bộ để tiếp tục quá trình xác thực [13].
Bảo trì dài hạn
Để hệ thống ổn định và bảo mật liên tục, điều cần thiết là quản lý việc chuyển đổi sang các chứng chỉ bảo mật và giao thức giao diện mới.
- Cài đặt các bản cập nhật bảo mật hàng tháng: Đảm bảo rằng tất cả các bản vá tháng 2 năm 2026 đã được cài đặt đầy đủ [8][12]. Mặc dù một số bản cập nhật có liên quan đến các sự cố khởi động tiềm ẩn trên các cấu hình cụ thể, các bản vá này chứa các biện pháp giảm thiểu quan trọng cho các lỗ hổng đã phát hiện [1][12].
- Xác minh chứng chỉ Secure Boot: Kiểm tra xem hệ thống của bạn đã nhận được các chứng chỉ kỷ nguyên 2023 mới trước thời hạn tháng 6 năm 2026 hay chưa [6][11]. Bạn có thể xác minh điều này trong PowerShell (chạy với quyền Administrator) bằng lệnh:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')[6]. - Theo dõi các bản cập nhật tính năng: Microsoft dự kiến sẽ tinh chỉnh các hành vi bảo mật này dựa trên phản hồi của người dùng và quản trị viên IT [14]. Việc theo dõi các bản cập nhật "moment" trong tương lai có thể cung cấp các quyền kiểm soát hoặc tính minh bạch được cải thiện cho cách truy cập dữ liệu hệ thống và xác thực [14].
- Cập nhật UEFI Firmware: Kiểm tra trang web của nhà sản xuất để biết các bản cập nhật BIOS/UEFI [6]. Các hệ thống mới hơn được xuất xưởng vào năm 2025 thường bao gồm các chứng chỉ cần thiết được tích hợp sẵn trong firmware, nhưng các thiết bị cũ hơn có thể yêu cầu cập nhật thủ công để đảm bảo chúng có thể khởi động các phiên bản hệ điều hành trong tương lai [6][11].
| Hành động | Tác động | Yêu cầu |
|---|---|---|
| Nhập thông tin đăng nhập cục bộ | Giải quyết việc nhập liệu từ xa bị chặn | Truy cập bàn phím vật lý [13] |
| Windows Update | Cài đặt các chứng chỉ mới | Phiên bản OS được hỗ trợ [6] |
| Cập nhật BIOS | Đảm bảo quá trình khởi động trong tương lai | Firmware cụ thể của nhà sản xuất [6] |
Rủi ro & Hạn chế
Việc cố gắng bỏ qua các biện pháp bảo mật này tiềm ẩn những rủi ro đáng kể. Việc sửa đổi thủ công các khóa Secure Boot trong BIOS/UEFI để giải phóng không gian trong NVRAM có thể dẫn đến lỗi khởi động nếu không được thực hiện đúng cách [6].
Nếu bạn chọn đặt lại các khóa Secure Boot trên một hệ thống đã bật mã hóa BitLocker, hãy đảm bảo bạn có sẵn khóa khôi phục [6]. Không có khóa này, bạn có thể không mở khóa được ổ đĩa của mình sau khi thay đổi firmware [6]. Hơn nữa, mặc dù phần mềm hiện tại sẽ tiếp tục chạy nếu chứng chỉ hết hạn, thiết bị sẽ rơi vào "trạng thái bảo mật bị suy giảm", hạn chế khả năng nhận các biện pháp bảo vệ cấp độ khởi động trong tương lai [6][12].
Rủi ro, Giới hạn và Khi nào nên dừng lại
Việc cố gắng vượt qua các giao thức bảo mật hoặc sửa đổi các chứng chỉ cấp hệ thống tiềm ẩn những rủi ro đáng kể có thể dẫn đến sự mất ổn định vĩnh viễn của phần cứng hoặc phần mềm. Trong khi Microsoft đang chuyển sang các chứng chỉ Secure Boot mới để thay thế những chứng chỉ hết hạn vào năm 2026 [6], việc can thiệp thủ công nên được xử lý thận trọng.
Nguy hiểm từ các công cụ phân phối không chính thức
Những thay đổi gần đây đối với các điểm cuối tải xuống của Microsoft đã ảnh hưởng đáng kể đến độ tin cậy của các tiện ích bên thứ ba. Các công cụ như Rufus, mà hàng triệu người dùng tin tưởng để tạo phương tiện cài đặt, đã được báo cáo là ngừng hoạt động đối với việc tải xuống ISO Windows 11 [34].
Các công cụ này hiện đang nhận được lỗi 403 Forbidden hoặc phản hồi bị từ chối truy cập, cho thấy Microsoft đã triển khai các yêu cầu xác thực mới hoặc lọc tác nhân người dùng (user-agent) [34]. Việc sử dụng các giải pháp lách luật chưa được xác minh để bỏ qua các hạn chế này có thể khiến hệ thống tiếp xúc với các tệp cài đặt bị hỏng hoặc các lỗ hổng bảo mật. Thông thường, bạn nên sử dụng các kênh chính thức, chẳng hạn như Media Creation Tool, để đảm bảo tính toàn vẹn của hệ điều hành [34].
Sự mất ổn định của bản cập nhật và Vòng lặp khởi động lại
Một bản cập nhật bảo mật cụ thể, KB5077181, đã được xác định là nguyên nhân tiềm ẩn gây ra các lỗi khởi động nghiêm trọng cho một số người dùng [16][31]. Các báo cáo chỉ ra rằng bản cập nhật này có thể kích hoạt các chu kỳ khởi động lại vô tận và hiển thị các mã lỗi khác nhau, bao gồm:
- Lỗi SENS (System Event Notification Service) [16][31].
- Lỗi DHCP dẫn đến mất hoàn toàn kết nối internet [16][31].
- Mã lỗi cài đặt
0x800f0983và0x800f0991[16][31].
Nếu một thiết bị rơi vào vòng lặp khởi động vô hạn sau khi cập nhật, thường cần phải dừng việc khắc phục sự cố thủ công và vào Windows Recovery Environment [31]. Từ đó, người dùng có thể cần sử dụng Command Prompt để gỡ cài đặt bản cập nhật có vấn đề theo cách thủ công bằng lệnh wusa /uninstall /kb:5077181 [31].
Hạn chế về phần cứng và Firmware
Không phải tất cả các hệ thống đều có thể áp dụng các chứng chỉ bảo mật mới một cách liền mạch thông qua các bản cập nhật phần mềm. Các PC cũ hơn hoặc những máy có firmware bị lỗi có thể không lưu trữ được các chứng chỉ mới nếu NVRAM đầy hoặc bị phân mảnh [6].
Cảnh báo: Việc thực hiện khôi phục cài đặt gốc các khóa Secure Boot trong BIOS có thể giúp xóa không gian NVRAM, nhưng nó cũng có thể kích hoạt khôi phục BitLocker [6]. Người dùng không bao giờ nên thử điều này mà không có sẵn khóa khôi phục, vì nó có thể dẫn đến mất dữ liệu vĩnh viễn [6].
Nếu các phương pháp khôi phục tiêu chuẩn thất bại hoặc nếu hệ thống tiếp tục gặp lỗi cấp phần cứng trong quá trình khởi động, các nỗ lực cá nhân tiếp theo có thể gây hại nhiều hơn. Trong những trường hợp như vậy, các dịch vụ chẩn đoán chuyên nghiệp thường là cách đáng tin cậy nhất để khôi phục tính toàn vẹn của hệ thống mà không gây rủi ro cho phần cứng cơ bản.
Câu hỏi thường gặp (FAQ)
Đầu đọc dấu vân tay hoặc phần cứng webcam của tôi có bị hỏng không?
Không, phần cứng có khả năng vẫn hoạt động bình thường. Việc không thể sử dụng dữ liệu sinh trắc học để tự động điền thông tin đăng nhập là kết quả của một lệnh chặn cấp phần mềm do Microsoft triển khai [30][38]. Thay đổi này cụ thể hạn chế các ứng dụng tự động điền thông tin đăng nhập trong các quy trình tự động hoặc các phiên hỗ trợ từ xa để ngăn chặn truy cập trái phép [30][39].
Tại sao Microsoft lại vô hiệu hóa tính năng này vào lúc này?
Hạn chế này được triển khai để giảm thiểu CVE-2026-20804, một lỗ hổng nghiêm trọng trong Windows Hello [30][38]. Các nhà nghiên cứu bảo mật đã chứng minh tại Black Hat 2025 rằng những kẻ tấn công có quyền quản trị viên cục bộ có thể tiêm dữ liệu sinh trắc học để vượt qua xác thực [38]. Bằng cách vô hiệu hóa tính năng tự động điền trong bản cập nhật Patch Tuesday tháng 2 năm 2026, Microsoft nhằm mục đích ngăn chặn các cuộc tấn công tiêm nhiễm sinh trắc học này bị khai thác trong các tình huống thực tế [30][39].
Liệu tính năng tự động điền thông tin đăng nhập có quay trở lại Windows 11 không?
Hiện tại vẫn chưa được xác minh liệu hoặc khi nào tính năng này sẽ quay trở lại ở dạng ban đầu. Các nhà phân tích trong ngành cho rằng Microsoft có thể giới thiệu lại chức năng này bằng một định dạng quyền "kiểu di động" an toàn hơn [12][17]. Điều này có thể yêu cầu sự đồng ý rõ ràng của người dùng cho mỗi yêu cầu tự động điền, mặc dù đây vẫn chỉ là suy đoán vì Microsoft chưa chính thức xác nhận mốc thời gian cho một giải pháp thay thế [30].
Tôi có thể gỡ cài đặt bản cập nhật tháng 2 năm 2026 để khôi phục chức năng không?
Mặc dù về mặt kỹ thuật có thể gỡ bỏ các bản cập nhật, nhưng điều này không được khuyến khích do các rủi ro bảo mật đáng kể [38]. Việc gỡ cài đặt bản vá khiến hệ thống dễ bị tổn thương trước các lỗ hổng zero-day và lỗi can thiệp sinh trắc học mà các nhà nghiên cứu đã phát hiện [30][38]. Hơn nữa, một số người dùng đã báo cáo rằng việc cố gắng lách các kiểm soát bảo mật này bằng quyền quản trị viên nâng cao có thể tái diễn chính lỗ hổng mà bản cập nhật được thiết kế để khắc phục [30][39].
Điều này có ảnh hưởng đến tất cả các phiên bản Windows không?
Hạn chế này chủ yếu tác động đến Windows 11 phiên bản 24H2 và 25H2 [30][38]. Các hệ thống sử dụng Enhanced Sign-in Security (ESS) thường có khả năng chống lại các loại tấn công này tốt hơn vì chúng hoạt động ở cấp độ tin cậy ảo của bộ ảo hóa [38]. Tuy nhiên, khả năng tương thích phần cứng cho ESS bị hạn chế, thường yêu cầu các cảm biến an toàn cụ thể không có trên tất cả các máy tính xách tay hiện đại [38].
Tóm tắt / Các điểm chính cần lưu ý
Việc hết hạn các chứng chỉ Secure Boot ban đầu sắp tới đại diện cho một quá trình chuyển đổi quan trọng đối với hệ sinh thái Windows [6]. Mặc dù quá trình cập nhật được thiết kế để diễn ra liền mạch đối với hầu hết người dùng, việc hiểu các tác động bảo mật của những thay đổi này là điều cần thiết để duy trì một hệ thống ổn định [6].
- Làm mới thế hệ: Microsoft đang thay thế các chứng chỉ bảo mật kỷ nguyên 2011 bằng các chứng chỉ kỷ nguyên 2023 mới để đảm bảo nền tảng của quá trình khởi động vẫn an toàn [6].
- Rủi ro bảo mật: Các hệ thống không nhận được chứng chỉ mới trước thời hạn giữa năm 2026 sẽ rơi vào trạng thái bảo mật bị suy giảm [6]. Điều này hạn chế khả năng cài đặt các biện pháp bảo vệ cấp độ khởi động trong tương lai và có thể ngăn cản việc tải các hệ điều hành hoặc firmware mới hơn [6].
- Xác minh là chìa khóa: Người dùng có thể xác minh trạng thái hệ thống của mình bằng các lệnh PowerShell cụ thể để kiểm tra "active db" và "default db" cho mã định danh
Windows UEFI CA 2023[6]. - Cập nhật BIOS: Trong khi Windows Update xử lý việc chuyển đổi cho nhiều người, các PC cũ hơn hoặc những máy có NVRAM đầy có thể yêu cầu cập nhật BIOS thủ công hoặc đặt lại các khóa Secure Boot để phù hợp với dữ liệu mới [6].
Duy trì một hệ thống được cập nhật thường an toàn hơn là việc lách các bản vá bảo mật để tránh những bất tiện nhỏ về chức năng. Tuy nhiên, các quy trình kỹ thuật liên quan đến cài đặt UEFI và NVRAM đôi khi có thể dẫn đến các biến chứng khởi động hoặc vấn đề tương thích [6].
Nếu các vấn đề kỹ thuật như vòng lặp khởi động xảy ra trong quá trình chuyển đổi này, việc tìm kiếm sự hỗ trợ chuyên nghiệp thường an toàn hơn là tự sửa chữa nâng cao, đặc biệt nếu mã hóa BitLocker đang hoạt động [6]. Nếu bạn không chắc chắn về trạng thái firmware của mình, việc hỏi ý kiến chuyên gia một lần thường rẻ hơn là phải sửa chữa một sai lầm sau đó.
Quellen
[1] Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog
[2] Building a safer digital future, together
[3] Partner Blog | Protecting customer trust with fraud prevention and resilience...
[4] A day in the life of a Microsoft employee using Copilot - Inside Track Blog
[5] Updates 2/10/26 - "Microsoft Tuesday" | DELL Technologies
[6] Windows' original Secure Boot certificates expire in June—here's wh...
[7] Microsoft says hackers are exploiting critical zero-day bugs to target Window...
[8] Critical Microsoft bug from 2024 under exploitation
[9] Microsoft patches concerning Windows 11 Notepad security flaw
[10] Over 60 Software Vendors Issue Security Fixes Across OS, Cloud, and Network P...
[11] Microsoft warns Secure Boot certificates will expire soon — what to expect
[12] Microsoft announces new mobile-style Windows security controls
[13] Microsoft fixes bug that blocked Google Chrome from launching
[14] Windows 11 is testing new 2026 features and some are already live
[15] Windows update ties Spotify, smarter security into your PC
[16] February's Windows 11 update is causing startup problems for users
[17] Microsoft is set to tighten Windows 11 security, which includes smartphone-st...
[18] Microsoft rolls out Windows 11 26H1, but you can
[19] Your PC's critical security certificates may be about to expire - how to...
[20] ⚡ Weekly Recap: AI Skill Malware, 31Tbps DDoS, Notepad++ Hack, LLM Back...
[21] Microsoft is down this year on fears AI will disrupt Office. Goldman says buy...
[22] Microsoft’s AI boss says AI can replace every white-collar job in 18 mo...
[23] Your Windows PC has a backup tool that's secretly useful - here's w...
[24] Windows Secure Boot Certificates From 2011 Will Be Expiring Soon. What You Ne...
[25] ICE agents may have lied about shooting of migrant in Minneapolis, officials say
[26] US military used Anthropic’s AI model Claude in Venezuela raid, report says
[27] US used Anthropic's Claude during the Venezuela raid, WSJ reports
[28] What Homeowners Need to Know About Smart Home Cameras
[29] Best Home Security Cameras of 2026: Surveillance on Your Terms
[30] Microsoft Blocks Credential Autofill to Fix Windows Hello Flaw
[31] Windows 11 KB5077181 Security Update Causing Some Devices to Restart in an In...
[32] Windows Credential UI Hardened: How Microsoft's 2026 Security Update Blo...
[33] CISA Flags Actively Exploited Microsoft SCCM SQL Injection Vulnerability CVE-...
[34] Windows 11 ISO Downloads Blocked: Microsoft Endpoints Break Rufus & User ...
[35] Microsoft Patch Tuesday February Update Flags Exchange and Azure Vulnerabilit...
[36] Windows 11 KB5077181 KB5075941 February 2026 Patch And 6 Zero Day Vulnerabili...
[37] Windows 11 February Update Triggers Startup Issues for Users
[38] Microsoft bloqueia preenchimento automático de credenciais para corrigir falh...
[39] February 2026 Patch Tuesday includes six actively exploited zero-days
[40] February’s Patch Tuesday release fixes 59 flaws, including 6 being exploited
[41] How to Reconfigure Windows Hello? Easy Steps
[42] Microsoft Releases February 2026 Patch Tuesday Updates
[43] Windows 11 Cumulative Updates KB5077181 & KB5075941 Released
[44] Windows Hello Broken
[45] CISA Warns of Microsoft Configuration Manager SQL Injection Vulnerability Exp...
[46] CVE-2026-20841: Windows Notepad RCE Fixed in Microsoft’s February Patch Tuesd...
[47] Microsoft Patch Tuesday for February 2026 — Snort rules and prominent vulnera...
[48] Microsoft
[49] Microsoft Releases Windows 11 26H1, Yet It’s Unavailable to Users
[50] Windows 11 gets a new security mode to block risky software before it runs
[51] Microsoft Report Reveals the New Rules of AI Data Protection
[52] Microsoft Beefs Up Runtime Security
[53] Windows 11 26H1 is here, but don't try to install it on your current PC
[54] 3 reasons most people stick with Windows, even though Linux is free
[55] Windows 10 users warned to upgrade now or risk a ‘degraded security sta...
[56] Permissions for apps in Windows 11 will be requested like on smartphones
[57] CISA Warns of Actively Exploited SQL Injection Flaw in Microsoft Configuratio...
[58] Microsoft Refreshes Secure Boot Certificates via Windows Update
[59] Microsoft to Roll Out New Secure Boot Certificates to Keep Old Windows PCs Se...
[60] Windows 11 adds a new secure mode that blocks sketchy apps and drivers
[61] Microsoft releases Windows 11 KB5077181 with new features and critical fixes
[62] February 2026 Microsoft Patch Tuesday | Tenable®
[63] Microsoft Patch Tuesday matches last year’s zero-day high with six actively e...
[64] I tested Windows 11 February 2026 Updates: Everything new, improved, and fixed
[65] Microsoft Patch Tuesday: 6 exploited zero-days fixed in February 2026 - Help ...
[66] Windows Sandbox is the best feature you're not using
[67] Windows 11 multitasking feels bad because you’re doing it wrong
[68] authID Announces Out of the Box, Biometric Security Solution Aligned with PIV...
[69] Why using a number code is much safer for your privacy than facial recognition
[70] Mustafa Suleyman says Microsoft is building its own AI superintelligence
[71] Microsoft says your AI agent can become a double agent
[72] Microsoft warning: AI being brainwashed to favour some brands
[73] Microsoft AI CEO: 'Most, if not all' white-collar tasks can be repl...
[74] Windows 11 KB5077181 25H2 out with new features, direct download links for of...
[75] I spent years perfecting my rescue USB—now it can save any PC
[76] 4 Linux distros you should use instead of upgrading to Windows 11
[77] Microsoft Surface Pro but a ThinkPad: New Lenovo ThinkPad X13 Detachable leak...
[78] Amazon no longer working with controversial police tech company after backlas...
[79] KB5074105 - Details, Issues, & Feedback - NinjaOne
[80] Windows 11 KB5077181 Update: New Features, Download, Issues, and Installation...
[81] Rosen Law Firm Encourages GSI Technology Inc. Investors to Inquire About Secu...
[82] Brands Face Growing
[83] Google says attackers used 100,000+ prompts to try to clone AI chatbot Gemini
[84] State-Sponsored Hackers Using Popular AI Tools Including Gemini, Google Warns...
[85] Did Google's Gemini Just Say "Checkmate" to OpenAI's Chat...
[86] Biometric Devices - Unique Identification Authority of India | Government of ...
[87] How to Stop Using Passwords and Start Using Passkeys
[88] Why biometric authentication isn’t a standalone solution - Spiceworks
[89] Tech support scams are getting smarter. Here’s BBB tips to stay one step ahea...
[90] If you see a USB drive with this logo, don’t plug it into your PC
[91] 10 Weird USB Gadgets You Need To Check Out - BGR
[92] Many Reddit users hit with "network security" block error on posts
[93] Reddit Users Facing Network Security Block Error On Posts
[94] CISO
[95] Standing Near the Grenade: BIPA Doesn’t Reach Entities That Facilitate—But Do...
[96] DHS says immigration agents appear to have lied about shooting in Minnesota
[97] Moment migrant caught plotting to kill 'as many Jews as possible' in UK's 'wo...
[98] AI in warfare: How the US military secretly used Anthropic’s Claude AI to cap...
[99] Goodix Technology (603160.SH): Storage chips do not fall within the scope of ...
[100] Safety and privacy for home security cameras like Ring and Nest: What homeown...
[101] XFN 1.1 profile
[102] Known Exploited Vulnerabilities Catalog | CISA
Relevant Services
More from the Blog
- Hiệu suất Windows 11: Tại sao chiếc PC mạnh mẽ của bạn lại cảm thấy chậm chạp(1 thg 3, 2026)
- Thiết kế lại Start Menu của Windows 11: Tại sao người dùng lại thất vọng(1 thg 3, 2026)
- Menu Start mới của Windows 11 gợi nhớ về 'Windows 8'(1 thg 3, 2026)
- Microsoft Copilot Tasks: Cách các tác nhân AI tự động hóa công việc(1 thg 3, 2026)
- Trump Ra Lệnh Cho Các Cơ Quan Hoa Kỳ Ngừng Mọi Việc Sử Dụng AI Của Anthropic(28 thg 2, 2026)
- NVIDIA GeForce Driver 595.59: Lỗi Quạt Nghiêm Trọng và Cách Hạ Cấp(28 thg 2, 2026)
- View all blog posts
Brauchen Sie Hilfe?
Wir reparieren Ihren PC oder Laptop schnell und zuverlässig.
Jetzt Reparatur anfragen