Microsoft âm thầm siết chặt yêu cầu bắt buộc với Windows 11 24H2 và 25H2

Tháng trước, Microsoft đã chính thức phát hành bản cập nhật lớn Windows 11 2025 (phiên bản 25H2), đồng thời thông báo rằng bản cập nhật này sẽ được tung ra cho toàn bộ thiết bị Windows 11 và Windows 10 đủ điều kiện hỗ trợ.

Sau khi ra mắt, hãng cũng công bố hàng loạt thay đổi quan trọng dành cho máy tính văn phòng và doanh nghiệp. Đáng chú ý, trong nửa cuối tháng vừa rồi, Microsoft đã tiết lộ danh sách 36 thiết lập quản trị mới giúp các quản trị viên IT dễ dàng triển khai, kiểm soát và tùy chỉnh các tính năng trên hệ thống Windows 11 25H2 trong doanh nghiệp.

Tuy nhiên, bên cạnh đó, Microsoft cũng đã lặng lẽ bổ sung một thay đổi bảo mật quan trọng — và lần này, nó bắt buộc đối với mọi hệ thống cài đặt Windows 11 25H2, bao gồm cả người dùng cá nhân.

Ngừng xác thực trên thiết bị có SID trùng lặp

Theo tài liệu mới được Microsoft công bố, Windows 11 24H2 và 25H2 sẽ không còn cho phép xác thực thiết bị (authentication) bằng NTLM hoặc Kerberos nếu phát hiện trùng lặp SID (Security Identifier) — một mã định danh duy nhất của mỗi máy tính trong mạng.

Trước đây, nếu hai máy tính có cùng SID, vẫn có thể truy cập các tài nguyên mạng nội bộ, tuy nhiên điều này tiềm ẩn rủi ro bảo mật nghiêm trọng. Giờ đây, Microsoft đã chặn hoàn toàn cơ chế đó nhằm ngăn truy cập trái phép vào tệp hoặc tài nguyên dùng chung giữa các hệ thống.

Theo ghi nhận của ban đầu, thay đổi này cũng áp dụng cho Windows Server 2025, do các phiên bản nói trên dùng chung nhánh mã và cơ chế cập nhật.

Vấn đề thường gặp sau khi nâng cấp

Microsoft cho biết người dùng có thể gặp một số sự cố sau khi cài đặt Windows 11 24H2 hoặc 25H2 nếu hệ thống tồn tại SID trùng lặp, chẳng hạn:

• Liên tục bị yêu cầu nhập lại thông tin đăng nhập.
• Dù nhập đúng tài khoản, vẫn gặp lỗi như:
• “Login attempt failed.”
• “Your credentials didn’t work.”
• “There is a partial mismatch in the machine ID.”
• Không truy cập được thư mục mạng chia sẻ qua IP hoặc tên máy.
• Không thể kết nối Remote Desktop (RDP) , kể cả qua các công cụ quản trị đặc quyền hoặc phần mềm bên thứ ba.
• Failover Clustering thất bại với lỗi “Access Denied”.
• Trong Event Viewer , có thể xuất hiện lỗi:
• SEC_E_NO_CREDENTIALS trong nhật ký Security log , hoặc
• lsasrv.dll Event ID 6167 trong System log với thông báo: “There is a partial mismatch in the machine ID.”

Giải pháp: Sử dụng Sysprep để loại bỏ SID trùng lặp

Đây là cơ chế bảo mật mới mà Microsoft đưa vào để ngăn chặn việc truy cập trái phép các tệp hoặc tài nguyên mạng từng bị lộ qua SID trùng.

Hãng khuyến nghị quản trị viên và người dùng nên sử dụng Sysprep – công cụ tích hợp sẵn trong Windows – để đảm bảo tính duy nhất của SID trước khi nhân bản hoặc sao chép hệ điều hành.

Cụ thể, Sysprep giúp “tổng quát hóa” (generalize) một bản cài đặt Windows, loại bỏ toàn bộ SID trùng và dữ liệu đặc thù của từng máy, giúp hệ điều hành hoạt động an toàn, ổn định hơn sau khi nhân bản.

Microsoft cũng đã đăng hướng dẫn chi tiết trong bài hỗ trợ mã KB5070568 trên trang chính thức của mình.