Windows Server 2016: Kết thúc cập nhật kể từ tháng 8 năm 2025

Windows Server 2016 chưa nhận được bất kỳ bản vá nào kể từ tháng 8 năm 2025. Quản trị viên đột nhiên phát hiện ra các máy chủ “cập nhật” khi các lỗ hổng ngày càng chồng chất. Việc tắt máy không chỉ ảnh hưởng đến các phiên bản Essentials; toàn bộ phạm vi bị ảnh hưởng. Một đòn nặng nề đối với các doanh nghiệp vừa và nhỏ đang mong chờ ba năm hỗ trợ bổ sung. Người ra quyết định phải phản ứng nhanh chóng để hạn chế rủi ro pháp lý, tài chính và uy tín. Lĩnh vực CNTT đã và đang huy động: các nhà sản xuất, nhà xuất bản và máy chủ đang cung cấp các đường dẫn di chuyển nhanh hơn sang Windows Server 2025 hoặc sang đám mây.

Kết thúc cập nhật Windows Server 2016: vì sao việc tắt máy từ tháng 8/2025 lại đáng lo ngại

Chu kỳ chính thức dự kiến ​​hỗ trợ kéo dài đến tháng 1 năm 2027. Tuy nhiên, Microsoft đã ngừng phân phối các bản cập nhật tích lũy vào giữa mùa hè. Trên WSUS cũng như trên Windows Update, chỉ xuất hiện ngăn xếp KB5062799 từ tháng 7. Kể từ đó, không có bản vá bảo mật nào được tung ra trên máy chủ vật lý hoặc ảo. Các diễn đàn Spiceworks, Reddit và các blog ở Châu Âu có đầy đủ các ảnh chụp màn hình hiển thị “Thiết bị của bạn đã được cập nhật”. Sự im lặng này tạo ra con đường cho ransomware vốn đã bị phục kích. Hệ sinh thái OEM — Dell, HP, Lenovo, Fujitsu hoặc thậm chí IBM — lo ngại về một lượng vé quan trọng tràn vào, bởi vì phần mềm cơ sở có lỗ hổng nhỏ nhất sẽ trở thành cổng vào.

Tác động trực tiếp đến an ninh mạng của máy chủ sản xuất

Một hệ thống chưa được vá vẫn có thể sử dụng được trong nhiều tháng. Các đội ứng phó sự cố Symantec đã ghi nhận sự gia tăng số lần quét nhắm mục tiêu SMBv1 và Remote Desktop trên bản dựng 14393. Tin tặc và nhà nghiên cứu biết điều này: mã nguồn của một bản vá vắng mặt đã ngầm tiết lộ lỗ hổng. Hiệu ứng quả cầu tuyết ảnh hưởng đến hypervisor Vmware lưu trữ máy ảo 2016 cũng như các thiết bị mạng Cisco dựa trên Kerberos nội bộ. Các công ty bảo hiểm an ninh mạng đang xem xét lại phí bảo hiểm của họ. Một số điều khoản loại trừ rõ ràng các hệ điều hành đã được vá. Do đó, một SMB bị tấn công có nguy cơ mất bảo hiểm trong trường hợp bị tấn công. Để hạn chế thiệt hại, SOC phải áp dụng phân đoạn nghiêm ngặt, lọc lưu lượng 445/3389 và kích hoạt chế độ bảo vệ khai thác càng sớm càng tốt.

Chuyển đổi sang Windows Server 2025 và các giải pháp thay thế đám mây Cách nhanh nhất là nâng cấp tại chỗ lên bản xem trước 2025, vốn đã ổn định trong phòng thí nghiệm của HPE. Các bài kiểm tra cho thấy mức tăng 15% trong mã hóa AES-256 SMB. Các công ty bị hạn chế bởi các ứng dụng cũ có thể chọn chuyển sang Azure Stack HCI; giấy phép 2016 vẫn còn hiệu lực, nhưng trình quản lý ảo hóa sẽ quản lý các bản vá. Một chiến lược khác: đóng gói các dịch vụ IIS và SQL 2016 trên Kubernetes. Lenovo TruScale cung cấp một gói sẵn sàng sử dụng. Cuối cùng, đối với khách hàng tại chỗ, Dell Apex cung cấp một node Server 2025 trong vòng 14 ngày, bao gồm cả cài đặt. Chi phí CAPEX được chuyển đổi thành OPEX, một điểm bán hàng chính cho các CFO.

Các sự cố cập nhật bị chặn: Trường hợp cụ thể và cách khắc phục thủ công

Martin W., một quản trị viên người Đức, đã phát hiện ra lỗi này từ ngày 19 tháng 9 năm 2025. Máy chủ Essentials của anh ấy đã từ chối SSU KB5065687. Bằng cách tải xuống gói từ Danh mục Cập nhật Microsoft, quá trình cài đặt ngoại tuyến đã hoạt động. Tình huống tương tự cũng xảy ra tại một công ty fintech ở Paris do IBM Services quản lý. Cụm Hyper-V của họ nhận được lỗi 0x800f081f. Sau khi dọn dẹp thư mục SoftwareDistribution và sau đó cài đặt ISO 2016 gốc cho “DISM /RestoreHealth”, bản cập nhật tích lũy KB5063871 tháng 8 đã được cài đặt. Tuy nhiên, giải pháp thay thế này không khắc phục được việc thiếu các bản vá tháng 9 và tháng 10. Chỉ có việc di chuyển hoặc mua ESU trả phí mới có thể mở rộng khả năng bảo vệ.

Ngân sách, thiết bị và đối tác: chuẩn bị cho quá trình chuyển đổi liền mạch

Việc thay đổi hệ điều hành ảnh hưởng đến mọi khía cạnh: giấy phép, phần cứng, sao lưu và kiểm toán. Máy chủ rack R630 của Dell hoặc ProLiant DL380 Gen9 của HP hỗ trợ Windows Server 2025, nhưng cần cập nhật firmware BIOS. Fujitsu cũng khuyến nghị nên flash bộ điều khiển RAID trước khi nâng cấp. Về mặt ngân sách, CAL Core + Standard có giá cao hơn khoảng 20% ​​so với năm 2016. Các nhà tích hợp Cisco Gold tính toán lợi tức đầu tư bằng cách bảo mật API. Để giảm thiểu chi phí, IBM FinOps cung cấp gói thuê 36 tháng. Cuối cùng, việc lên kế hoạch chuyển đổi vào cuối tuần ít hoạt động bóng đá có thể tránh được những cuộc gọi hoảng loạn đến bộ phận hỗ trợ.

Lên kế hoạch trước mang lại sự an tâm hơn là chờ đợi một bản sửa lỗi không bao giờ đến.