Windows Server và chứng chỉ Secure Boot hết hạn 2026: playbook cần làm ngay
Secure Boot Windows Server sắp đến một mốc quan trọng: các chứng chỉ (CA) Secure Boot phát hành năm 2011 bắt đầu hết hạn từ tháng 6/2026. Theo hướng dẫn của Microsoft (Tech Community, 23/2/2026), tổ chức cần đảm bảo các CA 2023 đã có mặt trên những máy chủ Windows Server áp dụng trước thời điểm đó — nếu không, hệ thống sẽ rơi vào trạng thái bảo mật suy giảm. Bài viết tóm tắt playbook 5 bước IT cần làm ngay.
Vì sao chứng chỉ Secure Boot cần được làm mới?
Trên Windows Server, Secure Boot là tính năng bảo mật lâu đời hoạt động cùng UEFI. Nó dùng các “trust anchor” mã hoá (gọi là certificate authority – CA) để xác nhận firmware và thành phần khởi động đáng tin cậy trước khi được phép chạy, giúp giảm rủi ro mã độc thực thi sớm trong quá trình khởi động máy chủ.
Như mọi tài sản mã hoá, chứng chỉ Secure Boot có vòng đời nhất định. Tổ chức cần đảm bảo các CA 2023 hiện diện trên hệ thống trước khi CA 2011 hết hạn vào tháng 6/2026. Lưu ý quan trọng: nền tảng Windows Server 2025 được chứng nhận đã có sẵn chứng chỉ 2023 trong firmware; còn các máy chủ khác phải cập nhật thủ công — Windows Server không nhận tự động. Khác với Windows PC (nhận chứng chỉ 2023 qua Controlled Feature Rollout trong bản cập nhật hằng tháng), Windows Server yêu cầu IT hành động thủ công.
Lưu ý phạm vi: hướng dẫn này không áp dụng cho host Azure Local, Windows PC hay máy ảo Hyper-V thế hệ 1 (Gen 1 không hỗ trợ Secure Boot).
Playbook 5 bước cập nhật Secure Boot
Bước 1: Kiểm kê và chuẩn bị môi trường
Trước tiên, xác minh máy chủ nào đã bật Secure Boot và kiểm tra trạng thái chứng chỉ bằng lệnh PowerShell kiểm kê hoặc giá trị registry key UEFICA2023Status. Mục tiêu là giá trị này hiển thị “Updated” cho mọi máy chủ áp dụng. Với các thiết bị chưa cập nhật, hãy lập một nhóm mẫu đại diện nhỏ — bắt đầu với máy chủ chạy workload ít quan trọng — để kiểm thử trước.
Có hai cách quản lý cập nhật: registry key hoặc Group Policy. Mọi registry key Secure Boot nằm dưới HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot (và nhánh \Servicing). Group Policy ở: Computer Configuration > Administrative Templates > Windows Components > Secure Boot (cần tải bộ Administrative Templates .admx mới nhất cho Windows Server).
Bước 2: Theo dõi và kiểm tra trạng thái Secure Boot
- Tiến độ: giá trị text của
UEFICA2023Statuscho biết trạng thái not started / in progress / updated. - Thành công: kiểm tra System Event Log có Event ID 1808 (đã áp chứng chỉ mới vào firmware) và
UEFICA2023Status= “Updated”. - Lỗi: kiểm tra Event ID 1801 và sự tồn tại của registry key
UEFICA2023Error(chỉ tạo ra khi có lỗi).
Bước 3: Cập nhật firmware OEM (nếu cần) trước
Thực hành tốt nhất là luôn kiểm tra và áp firmware cần thiết trước khi cập nhật chứng chỉ. Firmware mới giúp tránh sự cố tương thích và đảm bảo chứng chỉ 2023 được chấp nhận. Microsoft đang phối hợp với các OEM để cung cấp thông tin theo nền tảng. Nếu firmware đã xử lý đúng việc cập nhật chứng chỉ thì không bắt buộc cập nhật; nếu OEM đã ngừng hỗ trợ firmware cho một dòng máy, hãy liên hệ trực tiếp nhà sản xuất.
Bước 4: Lên kế hoạch và pilot triển khai
Sau khi xác định máy chủ cần cập nhật, chọn registry key hoặc Group Policy và pilot trên nhóm nhỏ trước. Trong triển khai doanh nghiệp điển hình, chứng chỉ thường được áp trong khoảng 12 giờ sau khi đặt cấu hình. Nếu cần khởi động lại (thường do Boot Manager), hệ thống ghi Event 1800 — có thể chờ lịch restart kế tiếp hoặc reboot ngoài kế hoạch để hoàn tất.
- Cách 1 – Registry: đặt key
AvailableUpdates(dưới...\Control\SecureBoot) thành giá trị0x5944để triển khai mọi chứng chỉ cần thiết và cập nhật lên boot manager ký bằng Windows UEFI CA 2023. - Cách 2 – Group Policy: bật thiết lập “Enable Secure Boot certificate deployment” trong nhánh Secure Boot.
Quan trọng: tránh trộn hai phương pháp triển khai trên cùng một thiết bị.
Bước 5: Xử lý sự cố (nếu cần)
Khi gặp lỗi, dựa vào UEFICA2023Error và các Event Log (1801) để chẩn đoán, tham khảo tài liệu “Secure Boot DB và DBX variable update events” của Microsoft để biết chi tiết.
Doanh nghiệp Việt Nam nên làm gì?
Với tổ chức vận hành Windows Server tại Việt Nam, đây là việc không nên trì hoãn: lập kiểm kê ngay để biết máy chủ nào còn dùng CA 2011, ưu tiên cập nhật trước tháng 6/2026 để tránh rủi ro “degraded security posture”. Hãy phối hợp với OEM về firmware, pilot trên nhóm nhỏ, và chuẩn hoá quy trình theo dõi qua UEFICA2023Status và Event Log trước khi triển khai diện rộng.
Tham khảo thông tin chính thức tại hướng dẫn của Microsoft trên Tech Community.
Kết luận
Mốc tháng 6/2026 đang đến gần, và khác với Windows PC, Secure Boot Windows Server cần IT cập nhật chứng chỉ 2023 thủ công. Playbook 5 bước — kiểm kê, theo dõi, firmware OEM, pilot triển khai và xử lý sự cố — là lộ trình rõ ràng để giữ máy chủ ở trạng thái bảo mật chuẩn. Theo dõi thêm tin tức bảo mật, Microsoft 365 và hạ tầng doanh nghiệp tại Office365Vietnam.info.
