Microsoft đã chính thức điều chỉnh chính sách lưu giữ các điểm khôi phục hệ thống (System Restore Points) trong phiên bản Windows 11 24H2. Kể từ bản cập nhật bảo mật KB5060842 được phát hành vào tháng 6 năm 2025, thời gian lưu giữ mặc định cho các điểm khôi phục hệ thống đã được rút ngắn từ 90 ngày xuống còn 60 ngày. Thay đổi này sẽ được áp dụng cho tất cả các bản phát hành trong tương lai của Windows 11 phiên bản 24H2, với mục tiêu tối ưu hóa việc sử dụng không gian đĩa và giảm bớt các dữ liệu cũ không cần thiết.
Việc điều chỉnh này đánh dấu một sự thay đổi đáng kể trong cách hệ điều hành Windows quản lý các bản sao lưu trạng thái hệ thống tự động. Các điểm khôi phục hệ thống đóng vai trò quan trọng trong việc phục hồi máy tính về một trạng thái ổn định trước đó, đặc biệt hữu ích khi gặp sự cố cài đặt phần mềm, driver không tương thích hoặc các vấn đề hệ thống khác. Tuy nhiên, việc lưu giữ các điểm khôi phục này đòi hỏi một lượng không gian đĩa nhất định, và đôi khi các điểm khôi phục quá cũ có thể không còn cần thiết.
Trước khi bản cập nhật KB5060842 được triển khai, tài liệu chính thức của Microsoft cho biết thời gian lưu giữ điểm khôi phục là 90 ngày, áp dụng cho các phiên bản từ Windows Vista đến Windows Server và các phiên bản Windows cũ hơn. Mặc dù vậy, hành vi thực tế của việc lưu giữ này có thể thay đổi đáng kể giữa các hệ thống người dùng. Một số người dùng có thể chỉ thấy các điểm khôi phục được giữ lại trong khoảng 10 ngày, tùy thuộc vào các yếu tố như dung lượng đĩa khả dụng và các quy tắc quản lý nội bộ của hệ điều hành. Trong Windows 10, thời gian lưu giữ thông thường vẫn là khoảng 90 ngày, nhưng có thể ngắn hơn nếu dung lượng lưu trữ bị hạn chế.
Sau khi cài đặt bản cập nhật KB5060842, chính sách lưu giữ mới được áp dụng và có thể được kiểm tra thông qua Registry Editor hoặc PowerShell. Khóa registry chịu trách nhiệm kiểm soát thiết lập này nằm tại đường dẫn:
HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestoreTên giá trị liên quan là RPLifeInterval. Giá trị này lưu trữ thời gian lưu giữ điểm khôi phục tính bằng giây. Để xác minh giá trị này bằng PowerShell, các chuyên viên và quản trị viên hệ thống có thể sử dụng lệnh sau:
$key = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore'
(Get-ItemProperty -Path $key -Name RPLifeInterval).RPLifeIntervalKhi thực thi lệnh này trên một hệ thống đã cập nhật, đầu ra sẽ là 5184000 giây. Để chuyển đổi giá trị này sang ngày, ta thực hiện phép tính đơn giản: 5184000 ÷ 86400 = 60 ngày. (Lưu ý: 86400 là số giây trong một ngày: 60 giây/phút * 60 phút/giờ * 24 giờ/ngày). Điều này xác nhận rằng thời gian lưu giữ cố định hiện tại là 60 ngày.
Tác động lên người dùng và hệ thống
Quan trọng cần lưu ý là tính năng System Restore vẫn bị vô hiệu hóa theo mặc định cả trên Windows 10 và Windows 11. Điều này có nghĩa là người dùng vẫn phải tự kích hoạt tính năng này và cấp phát dung lượng lưu trữ cụ thể cho nó. Nếu người dùng không thực hiện các bước này, hệ thống sẽ không tạo ra bất kỳ điểm khôi phục nào, bất kể chính sách lưu giữ mới là bao nhiêu ngày.
Mặc dù có thời gian lưu giữ tối đa 60 ngày, các điểm khôi phục vẫn có thể bị xóa sớm hơn nếu dung lượng đĩa cấp phát cho System Restore trở nên thấp. Điều này là một cơ chế quản lý không gian đĩa tích hợp sẵn của hệ điều hành, nhằm ngăn chặn việc System Restore chiếm dụng quá nhiều dung lượng, đặc biệt trên các ổ đĩa có dung lượng hạn chế. Chính sách mới này hướng đến việc cung cấp một khoảng thời gian phục hồi dễ dự đoán hơn, đồng thời cân bằng hiệu quả việc sử dụng không gian lưu trữ. Điều này giúp các chuyên viên SOC (Security Operations Center) và quản trị viên hệ thống có thể lên kế hoạch tốt hơn cho các chiến lược phục hồi sau sự cố, với một khung thời gian rõ ràng hơn cho khả năng quay lại trạng thái trước đó của hệ thống.
Bối cảnh bổ sung và quản lý không gian đĩa
Trong lịch sử, khi các thiết bị sắp hết dung lượng lưu trữ, tất cả các điểm khôi phục có thể tự động bị hệ điều hành xóa như một phần của quy trình dọn dẹp hệ thống. Hành vi này vẫn tiếp tục không thay đổi mặc dù có giới hạn thời gian cố định mới. Điều này nhấn mạnh tầm quan trọng của việc quản lý dung lượng ổ đĩa một cách chủ động và không phụ thuộc hoàn toàn vào các điểm khôi phục hệ thống như một giải pháp sao lưu toàn diện. Đối với các môi trường doanh nghiệp, việc triển khai các giải pháp sao lưu và phục hồi dữ liệu chuyên nghiệp vẫn là điều cần thiết để đảm bảo tính sẵn sàng và khả năng phục hồi của hệ thống trước các sự cố nghiêm trọng.
Thay đổi này cũng có thể ảnh hưởng đến các quy trình quản lý rủi ro và tuân thủ. Với thời gian lưu giữ ngắn hơn, các tổ chức cần xem xét lại mức độ phụ thuộc của họ vào System Restore Points cho các yêu cầu phục hồi lâu dài hoặc điều tra pháp y (forensics). Trong bối cảnh quản lý vòng đời dữ liệu và bảo mật, việc hiểu rõ các giới hạn của System Restore là rất quan trọng để bổ sung bằng các phương pháp sao lưu và phục hồi dữ liệu mạnh mẽ hơn.
Tóm tắt các thay đổi
Bảng dưới đây cung cấp một cái nhìn tổng quan về sự khác biệt giữa hành vi trước và sau khi bản cập nhật KB5060842 được áp dụng:
- Thời gian lưu giữ điểm khôi phục:
- Hành vi trước đây: Lên đến khoảng 90 ngày (dao động từ 10–90 ngày tùy thuộc vào hệ thống và dung lượng đĩa).
- Hành vi mới (Sau KB5060842): Cố định ở mức tối đa 60 ngày.
- Khóa Registry:
- Hành vi trước đây:
RPLifeInterval. - Hành vi mới: Cùng khóa được cập nhật với giá trị mới.
- Hành vi trước đây:
- Trạng thái mặc định:
- Hành vi trước đây: Tắt theo mặc định.
- Hành vi mới: Tắt theo mặc định.
- Xóa tự động:
- Hành vi trước đây: Khi dung lượng đĩa thấp hoặc sau thời gian tối đa.
- Hành vi mới: Sau đúng 60 ngày, cộng thêm khi dung lượng đĩa thấp.
Lệnh liên quan và thông tin Registry
Để kiểm tra hoặc xác nhận cấu hình này trên các hệ thống Windows 11 24H2, chuyên viên có thể sử dụng lệnh PowerShell đã nêu. Đây là một công cụ hữu ích để kiểm tra trạng thái và đảm bảo rằng chính sách mới đã được áp dụng đúng cách:
$key = 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore'
(Get-ItemProperty -Path $key -Name RPLifeInterval).RPLifeIntervalKết quả đầu ra sẽ là 5184000 giây, tương đương với một khoảng thời gian lưu giữ cố định là 60 ngày.
Đường dẫn Registry và thông tin giá trị cụ thể là:
Đường dẫn Registry: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\
Tên giá trị: RPLifeInterval
Kiểu: DWORD/REG_DWORD
Dữ liệu giá trị: Số thập phân biểu thị số giây trước khi hết hạn (hiện được đặt là "5184000")Việc hiểu rõ về giá trị RPLifeInterval và cách nó ảnh hưởng đến các điểm khôi phục là rất quan trọng đối với các chuyên viên quản trị hệ thống và SOC, giúp họ đánh giá được cửa sổ thời gian có thể phục hồi hệ thống trong trường hợp xảy ra sự cố hoặc lây nhiễm phần mềm độc hại. Với việc giảm thời gian lưu giữ, khả năng quay ngược lại các trạng thái hệ thống cũ hơn đã bị hạn chế, đòi hỏi các chiến lược bảo mật và phục hồi phải thích ứng.
Bài viết này không đề cập đến bất kỳ lỗ hổng bảo mật nào được xác định bằng số CVE (Common Vulnerabilities and Exposures) hoặc các kỹ thuật MITRE ATT&CK liên quan. Cũng không có bất kỳ tham chiếu nào đến các họ phần mềm độc hại, nhóm APT (Advanced Persistent Threat) hoặc nhóm tội phạm mạng, các nền tảng bị khai thác như Hacklink, các chiến thuật đầu độc SEO (SEO poisoning tactics) hoặc các chỉ số đe dọa mạng (cyber threat indicators) khác. Nội dung tập trung hoàn toàn vào một thay đổi cấu hình hoạt động trong môi trường hệ điều hành Microsoft, liên quan đến việc quản lý vòng đời của điểm khôi phục hệ thống.
