Windows 11: hệ điều hành cực kỳ an toàn – Bí quyết để bảo vệ tối ưu máy tính của bạn

1. Cài đặt Windows 11 trên máy ảo

Để bắt đầu, tôi cần cài đặt Windows 11 trên một máy ảo VMware. Tôi thực hiện hầu hết các thử nghiệm về sản phẩm bảo mật trên máy ảo, bởi cách này cho phép tôi kiểm tra các mối đe dọa thực tế như ransomware mà không lo lắng về thiệt hại nếu phần mềm diệt virus không thực hiện tốt nhiệm vụ bảo vệ. Chúng tôi đã hướng dẫn cơ bản về cách tạo một máy ảo Windows 11, nhưng tôi nhận ra mình cần thực hiện nhiều tinh chỉnh hơn những gì bài viết đó đề cập, đặc biệt là về khía cạnh bảo mật.

Ban đầu, tôi cố gắng nâng cấp một máy ảo Windows 10 hiện có lên Windows 11. Đáng tiếc, ứng dụng PC Health Check nhanh chóng thông báo rằng “PC này hiện không đáp ứng yêu cầu hệ thống của Windows 11”, trong đó lưu ý rằng máy cần hỗ trợ Secure Boot và một Trusted Platform Module (TPM).

Các máy ảo rất linh hoạt, vì vậy việc thêm các thành phần mới có thể được thực hiện trong môi trường ảo. Secure Boot yêu cầu firmware UEFI, vì vậy tôi đã thử thay đổi loại firmware trong Virtual Machine Settings sang UEFI, bất chấp cảnh báo rằng việc này “có thể khiến hệ điều hành của máy khách không khởi động được”.

Không ngoài dự đoán, sau khi thay đổi, máy ảo trở nên không thể khởi động. Sau một số nghiên cứu, tôi nhận ra rằng việc thay đổi loại firmware dường như có thể thực hiện được, nhưng chỉ dành cho những người có kỹ năng cao hơn tôi rất nhiều. Thực tế, việc thay đổi firmware trên một máy tính vật lý cũng là thách thức quá lớn đối với hầu hết người dùng.

Tôi bắt đầu lại từ đầu, tạo một máy ảo mới với cài đặt tùy chỉnh. Điều này cho phép tôi chọn firmware UEFI có Secure Boot, một khởi đầu tốt. Ở bước cuối cùng, khi tùy chỉnh phần cứng, tôi cố gắng thêm một TPM. Màn hình VMware giải thích rằng điều này không thể thực hiện nếu ổ đĩa chưa được mã hóa.

Sau một số nỗ lực mò mẫm, tôi bắt đầu kiểm tra từng cài đặt của máy ảo và tìm thấy phần Access Control với trạng thái hiển thị là “Not encrypted”. Tôi nhấp để mã hóa ổ đĩa và gần như hét lên vui mừng khi thấy mình có thể thêm chip TPM 2.0 ảo. Sau đó, quá trình cài đặt Windows 11 diễn ra hoàn toàn suôn sẻ.

Windows 11 đặt trọng tâm vào bảo mật. Hệ điều hành này yêu cầu một PC có khả năng Secure Boot, ngăn phần mềm độc hại tấn công quá trình khởi động. Ngoài ra, PC phải có chip TPM để quản lý các khóa mã hóa và bảo vệ hệ điều hành cũng như firmware của máy. Nếu không đáp ứng được những yêu cầu cốt lõi này, bạn sẽ bị kẹt lại trên Windows 10, đối mặt với những lựa chọn khó khăn vào năm tới. Hỗ trợ của Microsoft cho Windows 10 sẽ kết thúc vào ngày 14 tháng 10 năm 2025. Sau ngày đó, máy tính Windows 10 của bạn sẽ không ngừng hoạt động, nhưng Microsoft không đảm bảo sẽ cung cấp bất kỳ bản cập nhật nào nữa.

2. TPM là gì?

Khái niệm Trusted Platform Module (TPM) – một mô-đun nền tảng đáng tin cậy để tăng cường bảo mật thiết bị – đã xuất hiện hơn 20 năm trước, và các máy tính cá nhân đã bắt đầu được trang bị TPM từ năm 2005. Hệ thống mã hóa toàn ổ đĩa BitLocker của Microsoft dựa vào TPM để quản lý và bảo vệ các khóa mã hóa của nó. Hệ thống đăng nhập bằng nhận diện khuôn mặt Windows Hello, cực kỳ tiện lợi, cũng sử dụng TPM để hỗ trợ.

Theo tài liệu của Microsoft, bất kỳ chiếc PC hiện đại nào cũng có thể đã được trang bị TPM, và các PC chưa đầy năm năm tuổi hầu như chắc chắn sử dụng phiên bản mới nhất, TPM 2.0.

Nếu PC của bạn đủ mới để có TPM, bạn có thể tìm thấy mục Security Processor (Bộ xử lý bảo mật) trong phần Cài đặt. Tại đây, bạn sẽ thấy các trạng thái như Attestation và Storage, cả hai nên hiển thị là “Ready”.

• Storage (Lưu trữ): TPM cung cấp bộ lưu trữ cực kỳ an toàn cho các khóa mã hóa và các dữ liệu nhạy cảm khác.
• Attestation (Xác thực): TPM có khả năng tạo ra một ảnh chụp cấu hình phần cứng và phần mềm của hệ thống, sau đó xác minh (khi được yêu cầu) rằng không có bất kỳ sự can thiệp nào xảy ra.

Mỗi TPM đều có một khóa bảo mật độc nhất và không thể thay đổi, cho phép nó xác thực chính chiếc PC mà nó được cài đặt.

Các thuật toán phần mềm tạo ra số ngẫu nhiên giả (pseudo-random numbers) có thể bị hack, trong khi trình tạo số ngẫu nhiên phần cứng bên trong TPM lại không dễ bị tấn công. Việc lưu trữ các chức năng mã hóa trong TPM thay vì triển khai chúng qua phần mềm cũng giúp bảo vệ chúng khỏi các cuộc tấn công. Khi có TPM, các trình duyệt như Chrome, Firefox, và ứng dụng Outlook đều tận dụng nó cho một số tác vụ mã hóa nhất định.

Tóm lại, TPM là một cỗ máy bảo mật mạnh mẽ. Nó:

1. Xác thực các thành phần phần cứng và phần mềm để ngăn chặn bất kỳ sự can thiệp nào vào PC của bạn.
2. Lưu trữ các khóa mã hóa quan trọng một cách an toàn.
3. Cung cấp các chức năng mã hóa siêu bảo mật cho Windows và các ứng dụng.

3. Và rồi Microsoft “nhượng bộ”

Hệ điều hành của Apple được thiết kế với bảo mật tích hợp ngay từ đầu, với iOS thậm chí còn được khóa chặt hơn cả macOS. Trong khi đó, Windows vẫn đang trong quá trình khắc phục vô số lỗ hổng bảo mật của hệ thống. Với yêu cầu Secure Boot và chip TPM 2.0, Windows 11 đã hoàn toàn vô hiệu hóa một loạt các cuộc tấn công phần mềm độc hại, đặc biệt là những tấn công nhằm chiếm quyền kiểm soát root của máy tính bằng cách xâm nhập vào quá trình khởi động Windows hoặc tải vào hệ thống trước khi khởi động. Tất nhiên, một số máy tính cũ sẽ không đáp ứng được các yêu cầu này, nhưng Microsoft cam kết vẫn duy trì hỗ trợ Windows 10 cho các thiết bị đó, ít nhất là trong một thời gian. Đây là một bước tiến lớn hướng tới việc đạt mức độ bảo mật như Apple.

Ngay trên trang web chính thức, Microsoft đã cung cấp hướng dẫn chi tiết về cách bỏ qua kiểm tra cài đặt Windows 11 đối với chip TPM 2.0 và CPU không đạt yêu cầu. Chỉ cần thực hiện một thay đổi nhỏ trong Registry, và mọi chuyện sẽ ổn. Một số người lo ngại về cảnh báo rằng “Những vấn đề nghiêm trọng có thể xảy ra nếu bạn chỉnh sửa Registry không đúng cách.” Nhưng thực tế, Microsoft luôn đưa ra cảnh báo này trong bất kỳ tài liệu hỗ trợ nào liên quan đến việc chỉnh sửa Registry.

Thực hiện thay đổi Registry theo hướng dẫn của Microsoft không cho phép tôi nâng cấp máy ảo Windows 10 của mình lên Windows 11, vì bạn vẫn cần một TPM—tuy nhiên, thủ thuật này giúp máy tính với chip TPM 1.2 cũ kỹ cũng trở nên “chấp nhận được”. Với giá trị Registry đặc biệt này, bạn thậm chí có thể cài đặt Windows 11 trên PC có TPM cũ và CPU lỗi thời. Tài liệu hướng dẫn của Microsoft còn đi kèm cảnh báo nhẹ nhàng rằng “Microsoft không khuyến khích” việc cài đặt Windows 11 trên các máy không đáp ứng yêu cầu tối thiểu, nhưng lại không ngăn cản người dùng thực hiện.

Nếu tìm hiểu sâu hơn, bạn sẽ thấy những cảnh báo mạnh mẽ hơn. Nếu cài đặt Windows 11 trên phần cứng không được hỗ trợ, “máy tính của bạn sẽ không còn được hỗ trợ và không đủ điều kiện để nhận các bản cập nhật”. Tuy nhiên, Microsoft cũng làm rõ rằng bạn có thể nhận được các bản cập nhật, nhưng điều đó không được đảm bảo. Hơn nữa, Microsoft cũng cảnh báo rằng “Những hư hại đối với máy tính của bạn do thiếu tương thích sẽ không được bảo hành bởi nhà sản xuất.” Ngoài ra, người dùng được cung cấp một thời gian ân hạn 10 ngày để quay lại Windows 10 nếu cảm thấy không hài lòng sau khi cài đặt Windows 11 trên phần cứng không được hỗ trợ.

Tóm lại, Microsoft đã đưa ra những yêu cầu bảo mật nghiêm ngặt với Windows 11, nhưng đồng thời cũng tạo ra một lối thoát cho người dùng với các máy tính không đạt yêu cầu. Dù đây là một bước đi giúp người dùng linh hoạt hơn, nhưng nó cũng làm suy yếu phần nào tường bảo mật vốn được thiết kế rất mạnh mẽ của hệ điều hành mới.

4. Hỗ trợ bảo mật trên Windows

Những tính năng bảo mật quen thuộc như Microsoft Defender Antivirus dường như không thay đổi nhiều trên Windows 11. Microsoft đang thúc đẩy việc sử dụng bảo mật không cần mật khẩu (password-less security), dựa trên các công nghệ bảo mật tiên tiến mà Windows 11 yêu cầu. Tuy nhiên, bảo mật không cần mật khẩu này cũng đã có sẵn trên Windows 10. Điểm khác biệt lớn nằm ở Secure Boot và việc phụ thuộc vào TPM 2.0, hai yếu tố làm tăng đáng kể mức độ bảo mật của Windows 11—tất nhiên, với điều kiện bạn không vô hiệu hóa chúng!

Nếu máy tính của bạn có chip TPM 2.0 và hỗ trợ Secure Boot, hãy mạnh dạn nâng cấp lên Windows 11. Theo Microsoft, các PC với lõi bảo mật (secured-core PCs) có khả năng chống lại mã độc cao hơn gấp hai lần, nghĩa là bạn đã giảm một nửa nguy cơ bị tấn công bởi phần mềm độc hại.

Đối với những máy tính không đáp ứng được yêu cầu của Windows 11, xin đừng sử dụng các thủ thuật bỏ qua kiểm tra cài đặt. Hãy tiếp tục sử dụng Windows 10 và bắt đầu tiết kiệm để nâng cấp lên một chiếc máy tính mới, an toàn hơn. Điều này không chỉ bảo vệ dữ liệu và thiết bị của bạn mà còn mang lại trải nghiệm bảo mật tối ưu hơn trong tương lai.

5. Kết luận

Windows 11 đã chứng minh mình là một hệ điều hành vượt trội về bảo mật, mang đến sự bảo vệ tối ưu với các công nghệ tiên tiến như Secure Boot và TPM 2.0. Những cải tiến này không chỉ giúp máy tính của bạn an toàn hơn trước các mối đe dọa mạng mà còn mở ra một kỷ nguyên bảo mật mới, nơi người dùng được bảo vệ toàn diện ngay từ cấp độ khởi động hệ thống. Tuy nhiên, để tận dụng tối đa những lợi ích này, việc sở hữu một chiếc máy tính hiện đại, đáp ứng các yêu cầu phần cứng là điều cần thiết.

Xem thêm: 7 cách chụp màn hình trên windows 11 đơn giản và hiệu quả

Nếu bạn đang tìm kiếm một chiếc máy tính mới để trải nghiệm Windows 11 hoặc cần tư vấn về các thiết bị công nghệ hiện đại, hãy ghé thăm COHOTECH. Chúng tôi cung cấp các sản phẩm chính hãng, chất lượng cao, cùng đội ngũ tư vấn tận tâm, giúp bạn tìm được giải pháp công nghệ phù hợp nhất.

Bạn thấy bài viết này hữu ích? Hãy bình luận bên dưới để chia sẻ ý kiến hoặc câu hỏi của bạn về Windows 11. Đồng thời, đừng quên chia sẻ bài viết với bạn bè và đồng nghiệp để họ cùng khám phá những bí quyết bảo vệ máy tính tối ưu nhất. Sự ủng hộ của bạn chính là động lực để chúng tôi tiếp tục mang đến những nội dung chất lượng và giá trị hơn nữa. Cảm ơn bạn đã đồng hành cùng chúng tôi!