Lỗi cập nhật KBxxxx: cách cài đặt thủ công mà không gặp rủi ro

Cập nhật lần cuối: 15/05/2026
tác giả: Isaac
  • Việc xác định lý do tại sao bản cập nhật KB không thành công trong Windows Update sẽ giúp bạn quyết định xem có nên cài đặt thủ công hay không.
  • Microsoft Catalog vẫn là nguồn chính thức cung cấp các bản cập nhật kiến ​​thức (KB), mặc dù một số trình duyệt chặn việc tải xuống từ đây.
  • Chữ ký số của Microsoft là sự đảm bảo chính về tính toàn vẹn, bất kể có sẵn các mã băm SHA-256 công khai hay không.
  • Việc cài đặt thủ công bản cập nhật KB rất hữu ích đối với các lỗi riêng lẻ, nhưng nếu mọi cách đều không hiệu quả, tốt nhất là nên sửa chữa các thành phần của Windows trước.

Sự cố với bản cập nhật KB của Windows

Khi quá trình cập nhật KB tích lũy của Windows liên tục thất bại.Thông thường, bạn sẽ chỉ biết nhìn chằm chằm vào mã lỗi mà không thực sự hiểu chuyện gì đang xảy ra. Và tệ hơn nữa, bạn phải vào Microsoft Update Catalog để tải bản vá thủ công, nhưng lại phát hiện ra quá trình tải xuống thậm chí không bắt đầu, hoặc trình duyệt của bạn hiển thị cảnh báo rằng trang web không an toàn. Đó chính là công thức hoàn hảo để khiến bạn mất kiên nhẫn.

Tin vui là hầu như luôn có cách để Cài đặt thủ công bản cập nhật KB gây lỗi đóVà để làm được điều đó với những đảm bảo nhất định về tính toàn vẹn, ngay cả khi trình duyệt báo lỗi về giao thức hoặc trang web Danh mục không đáp ứng các tiêu chuẩn bảo mật hiện đại. Bên dưới, bạn sẽ thấy điều gì thực sự đang xảy ra với Danh mục của Microsoft, các tùy chọn bạn có để tải xuống và cài đặt các bản cập nhật KB, điều gì đang diễn ra với các mã băm SHA-256 chính thức và cách tránh các lỗi thường gặp có thể khiến hệ thống của bạn không thể sử dụng được.

Tại sao bản cập nhật KBxxxx lại bị lỗi khi cập nhật Windows Update?

Trước khi bạn bắt đầu tải xuống bất cứ thứ gì theo cách thủ công, bạn nên hiểu lý do tại sao một bản cập nhật KB cụ thể lại không thành công trong Windows Update.Thông thường, vấn đề không nằm ở chính tệp cập nhật mà nằm ở hệ thống, ở bộ nhớ đệm của Windows Update hoặc ở một số phần mềm gây xung đột.

Những lý do phổ biến nhất khiến bản cập nhật KB không cài đặt được khá lặp đi lặp lại.Nguyên nhân gây ra sự cố với Windows Update có thể bao gồm các tập tin hệ thống bị hỏng, dịch vụ cập nhật bị dừng, dung lượng ổ đĩa không đủ, chương trình diệt virus hoạt động quá mạnh hoặc đơn giản là xung đột với phiên bản cũ hơn của cùng một bản vá. Khi Windows Update phát hiện điều gì đó bất thường, nó sẽ cố gắng cài đặt bản cập nhật, sau đó hoàn tác các thay đổi và để lại cho bạn một thông báo lỗi chung chung.

Điều quan trọng cần hiểu là Windows Update dựa trên một số thành phần nội bộ. (chẳng hạn như dịch vụ Windows Update, BITS và kho thành phần), và nếu bất kỳ thành phần nào trong số đó bị hỏng, quá trình cài đặt KB sẽ thất bại ngay cả khi tệp hoàn toàn hợp lệ. Đó là lý do tại sao nhiều hướng dẫn khuyên nên kiểm tra trước. chạy các công cụ như DISM hoặc SFC. trước khi đổ lỗi trực tiếp cho bản cập nhật.

Một yếu tố quan trọng khác là một số kiến ​​thức nền tảng (KB) là điều kiện tiên quyết cho các kiến ​​thức nền tảng khác.Nếu thiếu bản cập nhật cũ hoặc quan trọng, bản cập nhật KB mới mà bạn đang cố gắng cài đặt có thể không có cơ sở để áp dụng và Windows sẽ âm thầm từ chối hoặc hiển thị lỗi không rõ ràng. Do đó, cài đặt chúng thủ công, theo thứ tự, từ Danh mục của Microsoft thường là cách đáng tin cậy nhất để thoát khỏi vòng lặp này.

Danh mục sản phẩm của Microsoft và vấn đề chỉ tải xuống được qua HTTPS.

Khi bạn cố gắng tải xuống một bản cập nhật KB cụ thể từ Danh mục Microsoft (catalog.update.microsoft.com) bằng trình duyệt hiện đại, bạn có thể dễ dàng gặp phải cảnh báo hoặc chặn bảo mật.Nhiều người dùng ngạc nhiên khi thấy rằng, trong thế kỷ 21, trang web này vẫn còn trộn lẫn nội dung HTTP và HTTPS hoặc sử dụng các cơ chế tải xuống mà một số trình duyệt coi là không an toàn.

Nếu trình duyệt của bạn được cấu hình để chặn bất kỳ tài nguyên nào không sử dụng HTTPS một cách nghiêm ngặt.Rất có thể khi bạn nhấp vào liên kết tải xuống cho bài viết KB tương ứng thì sẽ không có gì xảy ra, hoặc bạn sẽ nhận được cảnh báo cho biết trang web không an toàn. Một số trình duyệt thậm chí còn tự động dừng quá trình tải xuống, vì cho rằng chúng đang bảo vệ bạn khỏi nội dung độc hại.

  Cách khắc phục lỗi hồ sơ người dùng bị hỏng và lỗi Copilot trong Windows 11

Hành vi này không có nghĩa là Microsoft đang phát tán phần mềm độc hại hoặc bản cập nhật này đáng ngờ.Thay vào đó, thiết kế của Catalog mang những hạn chế lỗi thời và không phải lúc nào cũng tuân theo các thực tiễn tốt nhất hiện nay về mã hóa và chứng chỉ. Hơn nữa, trong môi trường doanh nghiệp, có thể có thêm các máy chủ proxy hoặc bộ lọc làm trầm trọng thêm vấn đề và trực tiếp chặn các tệp .msu hoặc .cab.

Trong tình huống này, bạn có một số lựa chọn thay thế hợp lý.Hãy thử sử dụng một trình duyệt khác không chặn nội dung hỗn hợp quá mạnh tay, tạm thời điều chỉnh cài đặt bảo mật của bạn (chỉ khi tải xuống bản cập nhật KB), hoặc tải tệp từ một máy tính khác trên cùng mạng rồi chuyển tệp đó một cách an toàn sang máy tính bị ảnh hưởng. Điều quan trọng là nguồn tải luôn phải là tên miền chính thức của Microsoft.

Trong một số trường hợp, quản trị viên hệ thống chọn tải xuống các bản cập nhật KB từ các máy chủ trung gian đã được kiểm tra.Các bản vá này được ký nội bộ, do đó máy tính của người dùng chỉ kết nối với kho lưu trữ đáng tin cậy của công ty. Chiến lược này tránh được xung đột với các chính sách "chỉ sử dụng HTTPS" nghiêm ngặt trong trình duyệt và giúp kiểm soát việc phân phối bản vá.

Microsoft có cung cấp mã băm SHA-256 chính thức cho các bản cập nhật của mình không?

Một trong những câu hỏi hợp lý khi trình duyệt thông báo rằng trang web Danh mục không hoàn toàn an toàn là liệu Microsoft có công bố mã băm SHA-256 cho mỗi bản cập nhật KB hay không.Nhờ đó bạn có thể kiểm tra xem tệp đã tải xuống có bị hỏng hoặc bị chỉnh sửa trong quá trình truyền tải hay không.

Trên thực tế, Microsoft thường không hiển thị mã băm SHA-256 một cách rõ ràng và trực tiếp trên cùng trang nơi bạn chọn bản cập nhật KB.Về cơ bản, nó ký điện tử các tệp cập nhật (.msu, .cab, v.v.) bằng chứng chỉ của Microsoft. Chữ ký này về cơ bản là sự đảm bảo về tính toàn vẹn và xác thực được cả Windows và các công cụ của doanh nghiệp sử dụng.

Trong một số bản tin bảo mật và tài liệu kỹ thuật nâng cao, bạn có thể tìm thấy các tham chiếu đến các hàm băm cụ thể.Tuy nhiên, đây không phải là cách làm thông thường đối với người dùng phổ thông. Thông thường, bạn sẽ xác nhận tính hợp pháp của tệp bằng cách kiểm tra các thuộc tính kỹ thuật số của tệp đã tải xuống hoặc sử dụng các công cụ tự động quét tìm chữ ký nhúng.

Cách đáng tin cậy nhất để xác minh tính hợp lệ của tệp KB đã tải xuống là kiểm tra chữ ký số của nó.Tệp phải có chữ ký của “Microsoft Windows” hoặc một chứng chỉ tương đương của Microsoft, chứng chỉ hợp lệ và không có cảnh báo về độ tin cậy. Ngoài ra, bạn có thể tự tính toán mã băm SHA-256 bằng các tiện ích như PowerShell (Get-FileHash) hoặc các công cụ của bên thứ ba và so sánh với các giá trị do Microsoft công bố trong tài liệu liên quan, nếu có.

Trong môi trường có quy định nghiêm ngặt hơn, nhiều quản trị viên duy trì danh sách nội bộ riêng của họ về các mã băm SHA-256. của các gói sẽ được triển khai. Điều này cho phép họ tự động hóa các bước kiểm tra bổ sung trước khi bản cập nhật kiến ​​thức (KB) được phân phối đến hàng trăm hoặc hàng nghìn máy tính, mà không yêu cầu người dùng cuối phải lo lắng về bất kỳ điều gì trong số này.

Cách tải xuống thủ công bản cập nhật kiến ​​thức (KB) từ Danh mục và tránh bị chặn.

Nếu bạn đã quyết định cài đặt thủ công bản cập nhật KBxxxx mà Windows Update không thể cài đặt được.Bước đầu tiên là lấy tệp tin chính xác từ Danh mục của Microsoft, bỏ qua các hạn chế của trình duyệt và các vấn đề bảo mật tiềm ẩn.

Điều quan trọng là phải đảm bảo bạn tìm đúng mã định danh của bản cập nhật.Ví dụ, “KB5012345”, không thêm khoảng trắng hoặc ký tự thừa. Danh mục thường hiển thị nhiều mục cho cùng một KB (cho các phiên bản Windows khác nhau, kiến ​​trúc x86/x64/ARM, và thậm chí cả các phiên bản máy chủ). Tải xuống sai phiên bản là nguyên nhân gây ra lỗi thường gặp khi cố gắng cài đặt sau này.

Khi bạn nhấp vào nút tải xuống, trình duyệt của bạn có thể mở một cửa sổ bật lên mới với liên kết trực tiếp đến tệp .msu.Nhiều trình chặn cửa sổ bật lên hoặc tiện ích mở rộng bảo mật coi đây là hành vi đáng ngờ và chặn nó. Hãy tạm thời vô hiệu hóa các trình chặn đó đối với trang web cụ thể này hoặc thêm tên miền Catalog vào danh sách các trang web đáng tin cậy của bạn.

  Bạn có thể làm gì với ứng dụng DeepSeek trên Windows 11

Nếu trình duyệt của bạn được thiết lập ở chế độ "HTTPS nghiêm ngặt" và từ chối bất kỳ tài nguyên nào không đáp ứng tiêu chuẩn đó.Thỉnh thoảng, bạn có thể sử dụng một trình duyệt khác có chính sách linh hoạt hơn, hoặc tải xuống tệp từ máy ảo hoặc máy phụ được kiểm soát, nơi bạn có thể điều chỉnh cài đặt mà không ảnh hưởng đến máy tính chính của mình.

Sau khi tải xuống tệp .msu, hãy lưu nó vào một thư mục dễ truy cập, và nếu bạn định chuyển nó sang máy tính khác, hãy sử dụng các phương pháp an toàn. (ổ USB đáng tin cậy(tài nguyên mạng được kiểm soát, v.v.). Không có lý do gì để quá chú trọng đến tính toàn vẹn của tập tin rồi lại truyền nó qua các kênh mà phần mềm diệt virus hoặc hệ thống tập tin của bạn có thể thay đổi nó mà bạn không hề hay biết.

Xác minh tính xác thực của tệp KB đã tải xuống.

Ngay cả khi trình duyệt báo lỗi rằng trang web không hoàn toàn an toàn, tệp cập nhật được tải xuống từ tên miền của Microsoft vẫn được ký điện tử.Chữ ký đó là công cụ chính để bạn xác nhận rằng những gì bạn đang cầm trên tay là thật chứ không phải là bản sao đã bị chỉnh sửa.

Trên hệ thống Windows, chỉ cần vào phần thuộc tính của tệp .msu hoặc .cab.Mở tab "Chữ ký số" và xác minh rằng chữ ký thuộc về Microsoft và chứng chỉ không bị hết hạn hoặc được đánh dấu là không đáng tin cậy. Nếu có bất kỳ điều gì bất thường, Windows sẽ cảnh báo bạn trên cùng màn hình này.

Nếu bạn cần thêm một lớp bảo mật nữa, bạn có thể tự tính toán mã băm SHA-256 của tệp tin.Ví dụ, với PowerShell, bạn có thể sử dụng lệnh Get-FileHash, chỉ định đường dẫn đến tệp và xác minh rằng giá trị đó vẫn ổn định giữa các lần tải xuống liên tiếp hoặc so sánh với các danh sách nội bộ mà bạn tự duy trì.

Hãy nhớ rằng, mặc dù Microsoft không phải lúc nào cũng công khai mã băm (hash) của mỗi bản cập nhật, nhưng việc tệp tin được họ ký xác nhận đã là bằng chứng khá thuyết phục.Nếu chữ ký được xác thực thành công bằng chứng chỉ giả mạo, chúng ta sẽ phải đối mặt với một vấn đề an ninh toàn cầu, chứ không chỉ trên máy tính của bạn, vì vậy đây là một trường hợp cực kỳ hiếm gặp.

Trong các công ty và cơ quan hành chính nhà nước, việc tích hợp các bước kiểm tra này vào các tập lệnh hoặc công cụ triển khai là điều phổ biến.Do đó, sẽ không có bản vá nào được cài đặt nếu chữ ký hoặc mã băm không khớp với các giá trị dự kiến. Đối với mục đích sử dụng tại nhà, việc xác thực chữ ký trong thuộc tính tệp thường là đủ.

Cài đặt thủ công bản cập nhật KBxxxx trên Windows

Sau khi tải xuống và xác minh tệp cập nhật KB, bạn cần cài đặt thủ công tệp đó vào hệ thống.Quá trình này, tuy đơn giản, nhưng cần được thực hiện một cách có trình tự để tránh làm mọi việc trở nên tồi tệ hơn, đặc biệt nếu hệ thống đã gặp sự cố với Windows Update.

Việc đầu tiên cần làm là đóng các chương trình đang mở và, nếu có thể, tạm thời vô hiệu hóa phần mềm diệt virus của bạn. hoặc bất kỳ bộ phần mềm bảo mật nào có thể giám sát chặt chẽ các thay đổi hệ thống. Một số chương trình này có thể chặn quá trình cài đặt các thành phần quan trọng và có thể khiến quá trình cập nhật cơ sở kiến ​​thức (KB) thất bại giữa chừng mà không rõ lý do.

Phương pháp trực tiếp là nhấp đúp vào tệp .msu.Windows sẽ mở trình cài đặt cập nhật độc lập, kiểm tra xem bản cập nhật KB có tương thích với phiên bản Windows của bạn hay không, và yêu cầu xác nhận để áp dụng các thay đổi. Nếu mọi việc diễn ra suôn sẻ, quá trình cài đặt thường mất vài phút và có thể yêu cầu khởi động lại máy.

Nếu trình cài đặt đồ họa gặp bất kỳ lỗi lạ nào, bạn có thể sử dụng dòng lệnh với quyền quản trị viên.Sử dụng các công cụ như wusa.exe để buộc cài đặt bản cập nhật KB tương ứng bằng cách truyền các tham số thích hợp. Cách tiếp cận này thường cung cấp các thông báo rõ ràng hơn và các mục nhật ký hữu ích để chẩn đoán lỗi.

  Cách thu nhỏ tất cả các cửa sổ ngoại trừ cửa sổ đang hoạt động trong Windows 11

Một lời khuyên hợp lý là nên tạo điểm khôi phục hệ thống trước khi cài đặt thủ công bản cập nhật KB nhạy cảm.Mặc dù các bản cập nhật chính thức của Microsoft nhìn chung an toàn, nhưng nếu có xung đột với trình điều khiển, phần mềm cũ hoặc các thành phần không phổ biến, bạn sẽ đánh giá cao khả năng khôi phục lại phiên bản trước đó mà không gặp rắc rối.

Sau khi khởi động lại, hãy kiểm tra lịch sử cập nhật Windows để đảm bảo bản cập nhật KB được cài đặt thành công.Nếu nó vẫn hiển thị là đang chờ xử lý hoặc xuất hiện lại trong Windows Update với lỗi, có thể có một vấn đề sâu hơn trong hệ thống cần được kiểm tra bằng các công cụ sửa chữa khác.

Khi nào thì việc yêu cầu cài đặt thủ công là hợp lý và khi nào thì không?

Việc cài đặt thủ công một bản cập nhật KB cụ thể chỉ có ý nghĩa khi lỗi chỉ xảy ra ở một khu vực nhất định và các bản cập nhật còn lại hoạt động bình thường.Trong những trường hợp này, đó thường là lỗi phát sinh một lần trong quá trình tải xuống ban đầu, xung đột với bộ nhớ đệm hoặc sự cố về thứ tự cài đặt, và lỗi này được khắc phục bằng cách áp dụng bản vá thủ công.

Nếu bạn thấy không có bản cập nhật nào được cài đặt, dù là từ Windows Update hay cài đặt thủ công,Có thể hệ thống của bạn đang gặp phải vấn đề với các thành phần nội bộ bị lỗi hoặc các dịch vụ quan trọng bị vô hiệu hóa. Trong trường hợp này, việc cố gắng giải quyết vấn đề thông qua hết bài viết này đến bài viết khác trong Cơ sở Kiến thức sẽ không giúp ích được nhiều; tốt hơn hết là bạn nên đầu tư thời gian vào việc sửa chữa các thành phần cốt lõi của hệ thống: sử dụng DISM, SFC, kiểm tra các dịch vụ và cuối cùng là cài đặt lại Windows hoặc sửa chữa tại chỗ.

Điều quan trọng là phải đánh giá loại cập nhật mà bạn đang cố gắng thực hiện.Một bài viết KB về bảo mật quan trọng nhằm khắc phục các lỗ hổng lớn không giống với một bản vá nhỏ, chất lượng cao chỉ giải quyết các lỗi nhỏ. Trong trường hợp đầu tiên, việc dành thời gian cài đặt thủ công là đáng giá; trong trường hợp thứ hai, đôi khi chờ đợi bản cập nhật sau thay thế bài viết KB đó sẽ hợp lý hơn.

Cũng cần xem xét liệu thiết bị đó được sử dụng cho mục đích cá nhân hay là một phần của môi trường chuyên nghiệp.Trong các công ty, việc cài đặt KB thủ công thường chỉ dành cho nhân viên kỹ thuật, và người dùng cuối không có quyền hoặc không cần truy cập vào các cài đặt này. Nếu bạn đang làm việc trong môi trường doanh nghiệp, tốt nhất nên tham khảo ý kiến ​​của bộ phận CNTT trước khi tự ý thực hiện.

Tóm lại, việc cài đặt KB thủ công nên được xem như một công cụ hữu ích trong bộ công cụ của bạn.Rất hữu ích trong những trường hợp cụ thể, nhưng không phải là việc bạn nên làm hàng tuần một cách thường xuyên. Nếu bạn thấy mình phải sử dụng nó quá thường xuyên, rất có thể có vấn đề về cấu trúc trong quá trình cập nhật Windows của bạn.

Ý tưởng cốt lõi đằng sau tất cả điều này là, mặc dù Microsoft Catalog có những đặc điểm kỹ thuật riêng và các trình duyệt hiện đại không phải lúc nào cũng tương thích hoàn hảo với nó, nhưng nó vẫn hữu ích.Bạn vẫn có thể tiếp tục sử dụng nó như một nguồn vá lỗi chính thức, xác minh tính toàn vẹn của tệp và tự động áp dụng các bản cập nhật KB khi Windows Update bị kẹt. Việc tận dụng chữ ký số, kiểm tra cẩn thận gói bạn tải xuống và dành vài phút để thực hiện cài đặt một cách bình tĩnh thường tạo nên sự khác biệt giữa một hệ thống bị kẹt mãi ở "Đang cài đặt bản cập nhật 0%" và một máy tính được cập nhật, ổn định và không gặp rắc rối.

Cập nhật chữ ký Windows Defender theo cách thủ công
Bài viết liên quan:
Hướng dẫn cách cập nhật thủ công chữ ký và nền tảng của Windows Defender.