Tắt kiểm tra chữ ký driver Windows 11: Hướng dẫn an toàn

Tìm hiểu về tính năng thực thi chữ ký driver trên Windows 11

Trên Windows 11, tính năng "Driver Signature Enforcement" là một cơ chế bảo mật cốt lõi, đảm bảo rằng chỉ các trình điều khiển (driver) đã được Microsoft xác thực và ký số mới có thể được cài đặt vào hệ thống. Điều này giúp bảo vệ máy tính khỏi các phần mềm độc hại hoặc driver không ổn định có thể gây ra lỗi hệ thống nghiêm trọng.

Tuy nhiên, trong một số trường hợp đặc biệt, người dùng có thể cần phải tạm thời vô hiệu hóa tính năng này. Các tình huống phổ biến bao gồm:

• Cài đặt driver cho các thiết bị phần cứng cũ không còn được nhà sản xuất hỗ trợ chính thức.
• Sử dụng các driver tùy chỉnh hoặc đang trong giai đoạn phát triển, chưa được ký số.
• Khắc phục sự cố liên quan đến một driver cụ thể từ một nguồn đáng tin cậy.

Điều quan trọng cần nhấn mạnh là việc vô hiệu hóa lớp bảo vệ này có thể khiến hệ thống của bạn dễ bị tấn công hơn. Do đó, chỉ nên tiến hành khi bạn hoàn toàn tin tưởng vào nguồn gốc và tính toàn vẹn của driver sắp cài đặt.

Vô hiệu hóa chữ ký driver qua Tùy chọn Khởi động Nâng cao

Đây là phương pháp an toàn và được khuyến nghị vì nó chỉ tắt tính năng kiểm tra chữ ký trong một phiên làm việc duy nhất. Hệ thống sẽ tự động kích hoạt lại tính năng này sau khi khởi động lại máy tính.

1. Mở Settings trên Windows 11.
2. Điều hướng đến mục System và chọn tab Recovery.
3. Trong phần “Recovery options”, tìm đến mục “Advanced startup” và nhấp vào nút Restart now.



4. Sau khi máy tính khởi động lại vào Môi trường Khôi phục Windows (WinRE), chọn Troubleshoot.



5. Tiếp theo, chọn Advanced options.



6. Chọn Startup Settings.



7. Nhấp vào nút Restart để khởi động lại máy tính một lần nữa.



8. Khi màn hình Startup Settings xuất hiện, nhấn phím 7 hoặc F7 để chọn tùy chọn Disable driver signature enforcement.

Sau khi hoàn tất, Windows 11 sẽ khởi động vào chế độ bình thường nhưng với tính năng kiểm tra chữ ký đã được tắt. Bạn có thể tiến hành cài đặt driver cần thiết. Ở lần khởi động lại tiếp theo, tính năng bảo mật sẽ được tự động bật lại.

Tắt vĩnh viễn bằng Group Policy Editor

Phương pháp này sẽ vô hiệu hóa tính năng kiểm tra chữ ký một cách lâu dài hơn và chỉ có trên các phiên bản Windows 11 Pro, Enterprise hoặc Education. Hãy cân nhắc kỹ lưỡng các rủi ro bảo mật trước khi thực hiện.

1. Mở menu Start, gõ gpedit.msc và nhấn Enter để mở Local Group Policy Editor.
2. Duyệt đến đường dẫn sau: User Configuration > Administrative Templates > System > Driver Installation.



3. Ở khung bên phải, nhấp đúp vào chính sách Code signing for device drivers.
4. Trong cửa sổ mới hiện ra, chọn Enabled.
5. Trong mục “Options” ở phía dưới, chọn Ignore từ menu thả xuống. Tùy chọn này cho phép hệ thống bỏ qua việc kiểm tra chữ ký và cài đặt các driver không được ký.
6. Nhấp vào Apply, sau đó chọn OK.
7. Khởi động lại máy tính để các thay đổi có hiệu lực.

Để hoàn tác thay đổi, bạn chỉ cần thực hiện lại các bước tương tự và chọn tùy chọn Not Configured ở bước 4.

Lưu ý quan trọng về lệnh bcdedit và Secure Boot

Một số hướng dẫn cũ có thể đề cập đến việc sử dụng các lệnh như bcdedit /set testsigning on trong Command Prompt. Tuy nhiên, trên các hệ thống Windows 11 hiện đại có bật tính năng Secure Boot, việc sử dụng các lệnh này thường không thành công hoặc có thể gây ra lỗi khởi động. Do đó, hai phương pháp được nêu ở trên là cách tiếp cận đáng tin cậy và an toàn hơn.