Microsoft đã phát hành hai bản cập nhật động mới, KB5081494 và KB5083482, được thiết kế cho Windows 11 phiên bản 24H2 và 25H2. Các bản vá này, ra mắt vào ngày 26 tháng 3 năm 2026, mang lại những cải tiến thiết yếu cho các tệp nhị phân cài đặt và Môi trường Khôi phục Windows (WinRE). Cùng với đó là cảnh báo quan trọng về việc sắp hết hạn của Chứng chỉ Secure Boot Windows, kêu gọi quản trị viên hệ thống hành động ngay lập tức để ngăn chặn sự gián đoạn khởi động nghiêm trọng.
Cảnh Báo Về Hạn Sử Dụng Của Chứng chỉ Secure Boot Windows
Yếu tố cấp bách nhất đi kèm với các bản phát hành tháng 3 năm 2026 là cảnh báo nổi bật của Microsoft về việc sắp hết hạn của Chứng chỉ Secure Boot Windows. Các chứng chỉ mã hóa nền tảng hiện được sử dụng bởi phần lớn phần cứng Windows để thiết lập một gốc tin cậy cho việc thực thi được lên lịch bắt đầu hết hạn vào tháng 6 năm 2026.
Nếu các chứng chỉ Secure Boot Windows này không được cập nhật kịp thời, thiết bị sẽ không vượt qua quá trình xác thực mã hóa trong chuỗi khởi động UEFI, khiến chúng hoàn toàn không thể khởi động an toàn. Việc hết hạn này ảnh hưởng rộng rãi đến cả các thiết bị đầu cuối Windows tiêu chuẩn và cơ sở hạ tầng Windows Server của doanh nghiệp.
Secure Boot là một tính năng bảo mật quan trọng trong UEFI, giúp ngăn chặn việc tải các phần mềm độc hại trong quá trình khởi động. Do đó, việc duy trì tính hợp lệ của chứng chỉ Secure Boot Windows là cực kỳ cần thiết.
Các nhóm bảo mật và quản trị viên hệ thống được khuyến nghị mạnh mẽ nên tham khảo tài liệu hướng dẫn chính thức về Secure Boot của Microsoft và các hướng dẫn cập nhật chứng chỉ Secure Boot Windows từ cơ quan cấp phát để chuyển đổi hệ thống của họ một cách liền mạch trước thời hạn mùa hè.
Việc không triển khai một cách có hệ thống các chứng chỉ đã cập nhật trên toàn bộ môi trường sẽ dẫn đến thời gian ngừng hoạt động lan rộng. Điều này tạo ra rủi ro bảo mật nghiêm trọng, khiến việc di chuyển tin cậy phần cứng này trở thành ưu tiên hàng đầu cho các hoạt động IT để đảm bảo tính liên tục và bảo mật của chứng chỉ Secure Boot Windows.
Các Bản Vá Bảo Mật Động Mới Nhất Cho Windows 11
Microsoft đã phát hành các bản cập nhật động để cải thiện quy trình cài đặt và môi trường khôi phục, góp phần vào an ninh mạng tổng thể.
KB5081494: Cập Nhật Động Cài Đặt
Bản phát hành động đầu tiên là KB5081494. Đây là một Setup Dynamic Update (Cập nhật Động Cài đặt) được thiết kế đặc biệt cho Windows 11 phiên bản 24H2 và 25H2. Gói này trực tiếp thay thế bản vá KB5079271 đã phát hành trước đó.
Mục tiêu chính của bản cập nhật này là giới thiệu các cải tiến backend cho các tệp nhị phân cài đặt Windows và các tệp liên quan được sử dụng trong quá trình cài đặt bản cập nhật tính năng. Bằng cách tinh chỉnh các quy trình phương tiện cài đặt, Microsoft nhằm đảm bảo một lộ trình nâng cấp kiên cường và liền mạch hơn cho các bản cập nhật tính năng sắp tới.
Không có gói điều kiện tiên quyết nào được yêu cầu để áp dụng bản cập nhật này. Nó cũng không yêu cầu khởi động lại hệ thống sau khi cài đặt.
Để biết thêm chi tiết kỹ thuật, vui lòng tham khảo trang hỗ trợ chính thức: KB5081494 – Setup Dynamic Update.
KB5083482: Cập Nhật Động Safe OS Cho WinRE
Song song với các cải tiến cài đặt, Microsoft đã ban hành KB5083482. Đây là một Safe OS Dynamic Update (Cập nhật Động Safe OS) tập trung riêng vào việc củng cố Môi trường Khôi phục Windows (WinRE).
Bản phát hành này thay thế bản cập nhật KB5079471 cũ hơn và giải quyết một lỗi dịch kiến trúc cụ thể trước đây đã cản trở các hoạt động khôi phục sau thảm họa.
Trước bản vá này, một vấn đề ở cấp độ kernel đã ngăn các ứng dụng x64 tiêu chuẩn thực thi chính xác dưới dạng mô phỏng trên bộ xử lý ARM64 khi hoạt động trong môi trường khôi phục.
Bản cập nhật này khắc phục vĩnh viễn lỗi mô phỏng đó, đảm bảo quản trị viên có đầy đủ khả năng công cụ chẩn đoán và khôi phục trên phần cứng ARM64. Vì bản vá này về cơ bản sửa đổi hình ảnh khôi phục cốt lõi để đảm bảo độ tin cậy khởi động mạnh mẽ, Microsoft lưu ý rằng bản cập nhật không thể gỡ cài đặt hoặc hoàn nguyên sau khi đã được tích hợp vào hình ảnh Windows.
Các quản trị viên xác minh việc triển khai thành công trên hệ thống của họ nên xác thực rằng bản dựng WinRE của họ đã được tăng lên phiên bản 10.0.26100.8107.
Xem thêm thông tin chi tiết về KB5083482 tại: KB5083482 – Safe OS Dynamic Update.
Triển Khai Và Khuyến Nghị An Toàn
Cả KB5081494 và KB5083482 hiện có sẵn qua các kênh phân phối tiêu chuẩn, bao gồm Windows Update, Microsoft Update Catalog và Windows Server Update Services.
Đối với các thiết bị đầu cuối sử dụng vá lỗi tự động, các bản cập nhật này sẽ được tải xuống và áp dụng liền mạch trong nền mà không yêu cầu sự can thiệp của người dùng hoặc khởi động lại hệ thống ngay lập tức.
Các chuyên gia bảo mật nên đảm bảo rằng các bản cập nhật động này được tích hợp vào quy trình tạo ảnh của họ. Đồng thời, họ cần hoàn thiện chiến lược di chuyển Chứng chỉ Secure Boot Windows của mình trước thời hạn tháng 6 năm 2026. Đây là bước thiết yếu để duy trì an toàn thông tin và tránh các sự cố khởi động nghiêm trọng.
