หลังจากที่ Microsoft ปล่อยอัปเดตใหญ่ Windows 11 เวอร์ชัน 25H2 อย่างเป็นทางการเมื่อเดือนที่ผ่านมา และเริ่มทยอยปล่อยให้ผู้ใช้ Windows 10/11 ที่เครื่องรองรับอัปเดตได้
ล่าสุดมีการเปิดเผยฟีเจอร์สำคัญด้านความปลอดภัยที่ Microsoft แอบบังคับใช้อย่างเงียบ ๆ ซึ่งส่งผลต่อทั้งผู้ใช้งานทั่วไป องค์กร และแอดมินไอที
การเปลี่ยนแปลงครั้งนี้เกี่ยวข้องกับระบบ SID (Security Identifier) ของเครื่อง ซึ่งเป็นตัวระบุตัวตนเฉพาะของแต่ละอุปกรณ์ในระบบ Windows ที่ใช้สำหรับตรวจสอบสิทธิ์และความปลอดภัยในการเข้าถึงทรัพยากรเครือข่าย เช่น ไฟล์แชร์, โฟลเดอร์งาน, เซิร์ฟเวอร์ และระบบ RDP
ก่อนหน้านี้ หากมีการ Clone Windows หรือทำ Image ซ้ำแล้วไม่ได้ลบ SID เดิมออก อุปกรณ์หลายเครื่องอาจใช้ SID เหมือนกันได้ ซึ่งถึงแม้เป็นพฤติกรรมที่ไม่แนะนำ แต่ในหลายองค์กรใช้กันเป็นเรื่องปกติสำหรับการติดตั้งระบบจำนวนมาก
สิ่งที่เปลี่ยนแปลงใหม่ใน Windows 11
ตั้งแต่ Windows 11 เวอร์ชัน 24H2 และ 25H2 เป็นต้นไป Microsoft จะ ไม่อนุญาตให้เครื่องที่มี SID ซ้ำกันสามารถยืนยันตัวตนผ่าน NTLM หรือ Kerberos ได้อีก
พูดง่าย ๆ คือ ถ้า Copy ระบบไปลงหลายเครื่องแล้วไม่ Reset SID ด้วย Sysprep เครื่องเหล่านั้นจะเจอปัญหาใช้งานเครือข่ายไม่ได้ เช่น
อาการที่ผู้ใช้อาจพบ
- ขึ้นหน้าต่างให้กรอก Password ซ้ำเรื่อย ๆ
- ใช้ Password ถูกต้อง แต่ Login ไม่ผ่าน
- เข้าแชร์โฟลเดอร์ Network ไม่ได้
- เชื่อม Remote Desktop ไม่ได้
- ระบบ Failover Cluster ขึ้น Access Denied
- Event Viewer ขึ้น Error เกี่ยวกับ Machine ID ไม่ตรงกัน
ข้อความ Error อาจมีลักษณะเช่น:
- Login attempt failed
- The username or password is incorrect
- There is a partial mismatch in the machine ID
พูดแบบเข้าใจง่ายคือ Windows ตอนนี้เข้มงวดมากขึ้นกับการปลอมตัวตนผ่านการ Clone เครื่องเพื่อลัดขั้นตอนด้านความปลอดภัย
ทำไมต้องทำแบบนี้?
เหตุผลหลักคือเรื่องความปลอดภัย หากเครื่องที่ Clone ระบบสามารถเข้าถึงเครือข่ายสำคัญได้เหมือนต้นฉบับ อาจเกิดความเสี่ยงดังนี้
- ระบบขององค์กรถูกเจาะผ่านเครื่อง Clone
- ความเป็นส่วนตัวและข้อมูลในเครือข่ายเสียหาย
- สิทธิ์เข้าถึงไฟล์สำคัญถูกนำไปใช้โดยไม่ได้รับอนุญาต
มาตรการนี้จึงช่วยปิดช่องโหว่ที่มีมานาน และเหมาะกับยุคที่องค์กรจำนวนมากต้องการความปลอดภัยสูงขึ้น ทั้งด้านข้อมูลและความเป็นส่วนตัว
แล้วผู้ใช้ทั่วไปต้องกังวลไหม?
ถ้าคุณติดตั้ง Windows แบบปกติ ไม่ได้ Clone ไฟล์ Image ก็ไม่ต้องกังวลอะไรเลย ระบบจะทำงานตามปกติ
แต่ถ้าคุณเป็นคนที่ชอบ Ghost เครื่อง ใช้ Clone ระบบไปใส่หลายเครื่อง หรือชอบทำ Image ไว้เผื่อย้าย SSD ไปอีกเครื่อง ต้องระวัง เพราะอาจใช้งาน Network หรือ RDP ไม่ได้หลังอัปเดต 24H2/25H2
ทางแก้: ใช้ Sysprep เสมอ
Microsoft แนะนำให้ใช้ Sysprep (System Preparation Tool) ซึ่งมีมาใน Windows อยู่แล้ว เพื่อทำให้ SID ใหม่ไม่ซ้ำกัน
หน้าที่ของ Sysprep คือ
- ลบข้อมูลเฉพาะเครื่องเก่าออก
- สร้าง SID ใหม่
- ทำให้ Image พร้อมติดตั้งแบบสากล
สำหรับแอดมินไอทีองค์กร นี่คือขั้นตอนที่ควรทำก่อน Clone ระบบเสมอ และเป็น Best Practice ที่ควรทำตั้งแต่วางแผน Deploy ระบบ
สรุปแบบสั้น
| ประเด็น | รายละเอียด |
|---|---|
| Windows 11 ทำอะไร | บังคับไม่ให้เครื่องที่มี SID ซ้ำยืนยันตัวตนผ่าน Kerberos/NTLM |
| ผลกระทบ | เข้าแชร์ไฟล์/ RDP/ ระบบองค์กรไม่ได้ |
| ใครโดนบ้าง | คน Clone Windows ไม่ลบ SID, องค์กรที่ Deploy เครื่องจำนวนมาก |
| วิธีแก้ | ใช้ Sysprep ก่อนโคลนระบบเสมอ |
มุมองค์กรและแอดมินไอที
องค์กรที่ทำ Image Deployment จำนวนมากต้องปรับ Workflow ทันที เพราะการไม่ทำ Sysprep อาจทำให้ระบบภายในใช้งานไม่ได้ เช่น ระบบไฟล์แชร์, AD, RDP และเซิร์ฟเวอร์
ถ้าคุณดูแลห้องคอม, สำนักงาน, โรงเรียน, หรือศูนย์อบรม ที่ติดตั้ง Windows ทีละหลายเครื่อง นี่คือสิ่งที่ต้องอัปเดตเข้ามาตรฐานงานทันที
ที่มา: Neowin
