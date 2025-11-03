Microsoft vừa âm thầm thực thi một thay đổi quan trọng đối với các bản cài đặt Windows 11 phiên bản 25H2 (và cả 24H2), biến một yêu cầu bảo mật thành bắt buộc. Thay đổi này có thể khiến nhiều quản trị viên CNTT và cả người dùng cá nhân "đau đầu" nếu họ có thói quen nhân bản (clone) hệ điều hành.

Microsoft "siết" bảo mật khiến người dùng Windows 11 đau đầu.

Sau khi phát hành bản cập nhật Windows 11 2025 (25H2) vào tháng trước, Microsoft đã lặng lẽ xác nhận một thay đổi lớn về việc hệ thống sẽ không còn cho phép xác thực các thiết bị trên NTLM và Kerberos nếu chúng có SID (mã nhận dạng bảo mật) máy tính trùng lặp.

Vì Windows 11 24H2 và 25H2 chia sẻ chung một mã nguồn (codebase), thay đổi này áp dụng cho cả hai phiên bản.

Đây là một động thái tăng cường bảo mật nhằm ngăn chặn hành vi truy cập trái phép vào các tệp tin bị hạn chế, vốn có thể bị lợi dụng nếu một hệ thống khác sử dụng SID trùng lặp. Tuy nhiên, thay đổi này sẽ gây ra hàng loạt lỗi nghiêm trọng cho các môi trường sử dụng các bản cài đặt Windows đã được nhân bản không đúng cách.

Microsoft lưu ý rằng người dùng sẽ ngay lập tức gặp phải các sự cố khi truy cập tài nguyên mạng, gồm:

- Liên tục bị hỏi lại thông tin đăng nhập (mật khẩu).

- Đăng nhập thất bại ngay cả khi nhập đúng thông tin, với các lỗi như "Login attempt failed", "Login failed/your credentials didn't work", hoặc "There is a partial mismatch in the machine ID".

- Không thể truy cập các thư mục mạng hoặc ổ đĩa chia sẻ.

- Không thể thiết lập kết nối Remote Desktop (RDP).

- Trình xem sự kiện (Event Viewer) có thể ghi nhận lỗi Event ID: 6167 với thông báo "There is a partial mismatch in the machine ID".

Vấn đề này ảnh hưởng nặng nề nhất đến các quản trị viên CNTT tại các doanh nghiệp, những người thường xuyên phải triển khai hàng loạt máy tính bằng cách nhân bản một file ISO Windows duy nhất. Nếu quá trình này không được xử lý đúng, tất cả các máy tính đó sẽ có chung một SID. Nó cũng ảnh hưởng đến những người dùng cá nhân có thói quen "clone" ổ cứng từ máy cũ sang máy mới.

Máy tính Windows 11 mới sẽ không thể đăng nhập nếu trùng SID.

Để khắc phục, Microsoft khuyến nghị cả quản trị viên và người dùng cá nhân phải sử dụng công cụ Sysprep có sẵn trong Windows. Công cụ này sẽ "tổng quát hóa" (generalizes) một bản cài đặt Windows, loại bỏ các SID trùng lặp và các thông tin định danh máy tính duy nhất trước khi thực hiện nhân bản. Đây hiện là yêu cầu bắt buộc để đảm bảo tính duy nhất của SID và khả năng xác thực trên các phiên bản Windows 11 mới nhất.