Rủi ro bảo mật trong Windows 11 24H2: Lỗ hổng AppLocker, người dùng phàn nàn về hiệu năng, nguy cơ mất dữ liệu
Microsoft tuần trước đã công bố phát hành rộng rãi Windows 11 24H2, tuy nhiên người dùng phản ánh trong quá trình nâng cấp xuất hiện nhiều lỗi nghiêm trọng, hiệu năng hệ thống giảm sút rõ rệt, thậm chí còn có nguy cơ mất dữ liệu.
Microsoft đang tự động đẩy bản cập nhật 24H2 tới các thiết bị đủ điều kiện chạy phiên bản 23H2, 22H2 và 21H2 của Windows 11 Home và Pro.
Tuy nhiên, người dùng cho biết quá trình cập nhật gặp nhiều vấn đề, bao gồm các lỗ hổng nghiêm trọng liên quan đến nâng cấp, phản hồi tiêu cực về hiệu năng, và nguy cơ mất dữ liệu tiềm ẩn.
Điều đáng chú ý nhất là lỗ hổng trong chính sách thực thi script của AppLocker WDAC. AppLocker là công cụ mà doanh nghiệp sử dụng để kiểm soát những ứng dụng và tập tin mà người dùng được phép chạy, bao gồm tập tin EXE, script, tập tin Windows Installer, v.v. Microsoft từng đơn giản hóa quy trình triển khai AppLocker vào năm 2023, nhưng trong các thử nghiệm từ 2024–2025, tính năng này vẫn chưa hoàn thiện.
Người dùng CFou trên diễn đàn Stack Exchange là người đầu tiên phát hiện vấn đề, chỉ ra rằng chế độ ConstrainedLanguage không thực thi đúng cách, phiên PowerShell mặc định lại chạy ở chế độ FullLanguage. Sau đó, người dùng hornetfig trên Reddit và nhiều thành viên trong chuyên mục sysadmin cũng tái hiện được lỗi này trên Windows 11 24H2.
Lỗ hổng này có thể khiến các script độc hại được chạy không bị hạn chế, gây ra rủi ro bảo mật nghiêm trọng.
Microsoft MVP Roody Ooms sau đó điều tra và phát hiện vấn đề bắt nguồn từ API WldpCanExecuteFile được thêm vào PowerShell 7.3 nhưng chưa được triển khai hoàn chỉnh. Trong khi đó, phiên bản trước sử dụng WldpGetLockdownPolicy lại ổn định hơn.
Microsoft đã tiếp nhận vấn đề này và bổ sung bản vá trong PowerShell 7.6-preview.4, đồng thời cải thiện cơ chế “quay lại AppLocker”.
Người dùng IridiumIO (cũng là nhà phát triển CompactGUI) phản ánh rằng tính năng Realtime Protection (bảo vệ thời gian thực) của Windows Defender làm hệ thống chậm đi rõ rệt. Sau khi tắt tính năng này, tốc độ giải nén file có thể tăng lên đến 35%.
So với 7Zip hay lệnh Expand-Archive trong PowerShell, hiệu năng của File Explorer khi giải nén vẫn bị chê là “chậm không tưởng”. Dù Microsoft đã bổ sung hỗ trợ định dạng RAR và 7Z, nhưng người dùng cho rằng đây chỉ là tính năng “vá víu” thêm vào nền tảng cũ, hiệu quả sử dụng rất hạn chế.
IridiumIO còn phát hiện hiện tượng thú vị: khi giải nén file trong thư mục Downloads của người dùng, tốc độ lại chậm hơn khoảng 10% so với giải nén tại thư mục gốc ổ đĩa C:. Anh cho rằng nguyên nhân có thể là do File Explorer kiểm tra từng lớp thư mục trong quá trình giải nén, nếu độ sâu thư mục lớn sẽ làm chậm hơn nữa.
Trước đó đưa tin rằng Microsoft đã gỡ bỏ script BYPASSNRO, điều này có thể liên quan đến việc bật mặc định mã hóa BitLocker trong bản cập nhật tính năng mới của Windows 11, khóa khôi phục sẽ được sao lưu lên tài khoản người dùng.
Tuy nhiên, mã hóa BitLocker bị nhiều người dùng phản đối vì có thể gây nguy cơ mất dữ liệu. Một người dùng trên Reddit tên MorCJul đã chỉ trích rằng sau khi BitLocker được bật tự động, nếu mất quyền truy cập vào tài khoản, người dùng sẽ vĩnh viễn không thể lấy lại dữ liệu. Nhiều người dùng phổ thông hoàn toàn không biết điều này, và chính sách “an toàn mặc định” của Microsoft bị cho là bỏ qua nhu cầu thực tế của người dùng.
Từ tháng 3 năm 2025, Microsoft đã bắt đầu gỡ bỏ script BYPASSNRO, buộc thiết bị Windows 11 phải kết nối mạng để kích hoạt, khiến rất nhiều người dùng bức xúc trên diễn đàn và mạng xã hội, cho rằng điều này làm tăng chi phí và giảm trải nghiệm sử dụng.
Microsoft trong các bản cập nhật Insider Preview (Build 26200.5516 và 26120.3653) đã chính thức loại bỏ script bypassnro.cmd, với lý do tăng cường bảo mật và trải nghiệm người dùng.
Tuy nhiên, việc gỡ bỏ BYPASSNRO vẫn đang trong giai đoạn thử nghiệm, người dùng vẫn có cơ hội gửi phản hồi phản đối về Microsoft.
Người dùng tHE_uKER phàn nàn rằng nếu không có kết nối mạng, thiết bị sau khi cài đặt Windows 11 không thể kích hoạt và không thể vào màn hình desktop.
Người dùng C:Amie than phiền rằng sau khi liên kết tài khoản Microsoft, hệ thống buộc phải cập nhật, quá trình này kéo dài đến 20 phút, ảnh hưởng nghiêm trọng đến trải nghiệm.
Người dùng neufuse cho biết có những môi trường làm việc cấm máy tính kết nối mạng, trong khi giấy phép phiên bản Enterprise lại quá đắt đỏ đối với doanh nghiệp nhỏ. Việc nâng cấp lên Enterprise yêu cầu trả thêm chi phí lớn, và kích hoạt offline phiên bản này cần máy chủ KMS, có giá thấp nhất khoảng 1.500 bảng Anh, gây gánh nặng tài chính không nhỏ.
Tuy nhiên, người dùng cho biết quá trình cập nhật gặp nhiều vấn đề, bao gồm các lỗ hổng nghiêm trọng liên quan đến nâng cấp, phản hồi tiêu cực về hiệu năng, và nguy cơ mất dữ liệu tiềm ẩn.
Lỗ hổng nghiêm trọng trong AppLocker
Điều đáng chú ý nhất là lỗ hổng trong chính sách thực thi script của AppLocker WDAC. AppLocker là công cụ mà doanh nghiệp sử dụng để kiểm soát những ứng dụng và tập tin mà người dùng được phép chạy, bao gồm tập tin EXE, script, tập tin Windows Installer, v.v. Microsoft từng đơn giản hóa quy trình triển khai AppLocker vào năm 2023, nhưng trong các thử nghiệm từ 2024–2025, tính năng này vẫn chưa hoàn thiện.
Người dùng CFou trên diễn đàn Stack Exchange là người đầu tiên phát hiện vấn đề, chỉ ra rằng chế độ ConstrainedLanguage không thực thi đúng cách, phiên PowerShell mặc định lại chạy ở chế độ FullLanguage. Sau đó, người dùng hornetfig trên Reddit và nhiều thành viên trong chuyên mục sysadmin cũng tái hiện được lỗi này trên Windows 11 24H2.
Lỗ hổng này có thể khiến các script độc hại được chạy không bị hạn chế, gây ra rủi ro bảo mật nghiêm trọng.
Microsoft MVP Roody Ooms sau đó điều tra và phát hiện vấn đề bắt nguồn từ API WldpCanExecuteFile được thêm vào PowerShell 7.3 nhưng chưa được triển khai hoàn chỉnh. Trong khi đó, phiên bản trước sử dụng WldpGetLockdownPolicy lại ổn định hơn.
Microsoft đã tiếp nhận vấn đề này và bổ sung bản vá trong PowerShell 7.6-preview.4, đồng thời cải thiện cơ chế “quay lại AppLocker”.
Ảnh hưởng hiệu năng
Người dùng IridiumIO (cũng là nhà phát triển CompactGUI) phản ánh rằng tính năng Realtime Protection (bảo vệ thời gian thực) của Windows Defender làm hệ thống chậm đi rõ rệt. Sau khi tắt tính năng này, tốc độ giải nén file có thể tăng lên đến 35%.
IridiumIO còn phát hiện hiện tượng thú vị: khi giải nén file trong thư mục Downloads của người dùng, tốc độ lại chậm hơn khoảng 10% so với giải nén tại thư mục gốc ổ đĩa C:. Anh cho rằng nguyên nhân có thể là do File Explorer kiểm tra từng lớp thư mục trong quá trình giải nén, nếu độ sâu thư mục lớn sẽ làm chậm hơn nữa.
Nguy cơ mất dữ liệu
Trước đó đưa tin rằng Microsoft đã gỡ bỏ script BYPASSNRO, điều này có thể liên quan đến việc bật mặc định mã hóa BitLocker trong bản cập nhật tính năng mới của Windows 11, khóa khôi phục sẽ được sao lưu lên tài khoản người dùng.
Diễn đàn Microsoft dậy sóng: gỡ script BYPASSNRO, ép buộc kích hoạt trực tuyến khiến người dùng Windows 11 phẫn nộ
Từ tháng 3 năm 2025, Microsoft đã bắt đầu gỡ bỏ script BYPASSNRO, buộc thiết bị Windows 11 phải kết nối mạng để kích hoạt, khiến rất nhiều người dùng bức xúc trên diễn đàn và mạng xã hội, cho rằng điều này làm tăng chi phí và giảm trải nghiệm sử dụng.
Microsoft trong các bản cập nhật Insider Preview (Build 26200.5516 và 26120.3653) đã chính thức loại bỏ script bypassnro.cmd, với lý do tăng cường bảo mật và trải nghiệm người dùng.
Tuy nhiên, việc gỡ bỏ BYPASSNRO vẫn đang trong giai đoạn thử nghiệm, người dùng vẫn có cơ hội gửi phản hồi phản đối về Microsoft.
Người dùng tHE_uKER phàn nàn rằng nếu không có kết nối mạng, thiết bị sau khi cài đặt Windows 11 không thể kích hoạt và không thể vào màn hình desktop.
Người dùng C:Amie than phiền rằng sau khi liên kết tài khoản Microsoft, hệ thống buộc phải cập nhật, quá trình này kéo dài đến 20 phút, ảnh hưởng nghiêm trọng đến trải nghiệm.
Người dùng neufuse cho biết có những môi trường làm việc cấm máy tính kết nối mạng, trong khi giấy phép phiên bản Enterprise lại quá đắt đỏ đối với doanh nghiệp nhỏ. Việc nâng cấp lên Enterprise yêu cầu trả thêm chi phí lớn, và kích hoạt offline phiên bản này cần máy chủ KMS, có giá thấp nhất khoảng 1.500 bảng Anh, gây gánh nặng tài chính không nhỏ.
