Microsoft เริ่มปล่อยอัปเดต Windows รุ่นใหม่ที่มาพร้อมระบบอัปเดตใบรับรอง Secure Boot แบบอัตโนมัติ สำหรับอุปกรณ์ที่เข้าเกณฑ์บน Windows 11 เวอร์ชัน 24H2 และ 25H2 เพื่อเตรียมรับมือกับใบรับรองความปลอดภัยเดิมที่กำลังจะหมดอายุในช่วงกลางปี 2026
การเปลี่ยนแปลงครั้งนี้ถือเป็นเรื่องสำคัญสำหรับทั้งผู้ใช้ทั่วไปและองค์กร เนื่องจาก Secure Boot เป็นระบบความปลอดภัยระดับเฟิร์มแวร์ที่ช่วยป้องกันมัลแวร์ฝังตัวลึก เช่น rootkit ไม่ให้แทรกแซงกระบวนการบูตเครื่องได้ตั้งแต่ก่อนที่ Windows จะเริ่มทำงาน
Microsoft เคยออกมาแจ้งเตือนผู้ดูแลระบบตั้งแต่ปลายปีที่แล้วว่า ใบรับรอง Secure Boot ที่ใช้อยู่บนอุปกรณ์ Windows ส่วนใหญ่ในปัจจุบัน กำลังจะเริ่มหมดอายุตั้งแต่เดือนมิถุนายน ปี 2026 เป็นต้นไป และหากไม่มีการอัปเดตล่วงหน้า อาจกระทบต่อความสามารถในการบูตระบบอย่างปลอดภัยในอนาคต
Secure Boot คืออะไร และทำงานอย่างไร
Secure Boot เป็นฟีเจอร์ความปลอดภัยที่ทำงานร่วมกับ UEFI firmware โดยมีหน้าที่ตรวจสอบว่า bootloader และซอฟต์แวร์ที่ทำงานในช่วงเริ่มเปิดเครื่องนั้น เป็นซอฟต์แวร์ที่เชื่อถือได้หรือไม่
หลักการทำงานของ Secure Boot คือ
- ระบบจะตรวจสอบลายเซ็นดิจิทัลของ bootloader ทุกตัว
- ลายเซ็นต้องตรงกับใบรับรองที่ถูกบันทึกไว้ในเฟิร์มแวร์
- หากไม่ผ่านการตรวจสอบ ระบบจะไม่อนุญาตให้บูต
แนวคิดนี้ช่วยป้องกันมัลแวร์ที่พยายามฝังตัวตั้งแต่ระดับก่อนเข้า Windows ซึ่งเป็นจุดที่ระบบป้องกันไวรัสทั่วไปไม่สามารถเข้าถึงได้ และเป็นหนึ่งในรากฐานสำคัญของระบบความปลอดภัย Windows ในยุคปัจจุบัน
ปัญหาใบรับรอง Secure Boot ที่กำลังจะหมดอายุในปี 2026
Microsoft เปิดเผยว่าใบรับรอง Secure Boot ที่ใช้งานอยู่บนอุปกรณ์ Windows ส่วนใหญ่ในปัจจุบัน ถูกกำหนดอายุไว้ และจะเริ่มหมดอายุตั้งแต่เดือนมิถุนายน ปี 2026 เป็นต้นไป
หากไม่มีการอัปเดตใบรับรองล่วงหน้า อาจเกิดปัญหาตามมา เช่น
- ระบบอาจไม่สามารถบูตแบบ Secure Boot ได้อีก
- ไม่สามารถเชื่อถือ bootloader รุ่นใหม่
- อุปกรณ์อาจไม่ได้รับอัปเดตความปลอดภัยระดับ pre-boot
- Windows Boot Manager อาจสูญเสียการป้องกัน
Microsoft ระบุว่า หากปล่อยให้ใบรับรองหมดอายุโดยไม่มีการอัปเดต อุปกรณ์ที่เปิดใช้งาน Secure Boot จะมีความเสี่ยงด้านความปลอดภัยเพิ่มขึ้น และอาจกระทบต่อทั้งความปลอดภัยและความสามารถในการดูแลระบบในระยะยาว
Microsoft เริ่มอัปเดต Secure Boot อัตโนมัติผ่าน Windows Update
ตั้งแต่การอัปเดตคุณภาพของ Windows รุ่นล่าสุดเป็นต้นไป Microsoft ได้เริ่มฝังระบบคัดกรองอุปกรณ์เข้าไปใน Windows Update เพื่อระบุว่าเครื่องใดมีคุณสมบัติเหมาะสมสำหรับการรับใบรับรอง Secure Boot ใหม่แบบอัตโนมัติ
อุปกรณ์ที่จะได้รับใบรับรองใหม่ จะต้องผ่านการตรวจสอบสัญญาณการอัปเดตที่มีความน่าเชื่อถือก่อน เพื่อให้การอัปเดตเป็นไปอย่างปลอดภัยและเป็นขั้นเป็นตอน
Microsoft อธิบายว่า
ใบรับรอง Secure Boot บนอุปกรณ์ Windows ส่วนใหญ่จะเริ่มหมดอายุในช่วงกลางปี 2026 และอาจกระทบต่อความสามารถในการบูตระบบอย่างปลอดภัย หากไม่อัปเดตล่วงหน้า
ดังนั้น Windows รุ่นใหม่จึงเริ่มจัดส่งใบรับรองใหม่ให้กับอุปกรณ์ที่เข้าเกณฑ์โดยอัตโนมัติผ่าน Windows Update เพื่อให้การเปลี่ยนผ่านเป็นไปอย่างราบรื่น
หากไม่อัปเดต Secure Boot จะเกิดอะไรขึ้น
Microsoft เตือนอย่างชัดเจนว่า หากปล่อยให้ใบรับรอง Secure Boot หมดอายุโดยไม่มีการอัปเดต อุปกรณ์ Windows ที่เปิดใช้งาน Secure Boot จะเผชิญกับความเสี่ยงหลายด้าน ได้แก่
- ไม่สามารถรับอัปเดตความปลอดภัยระดับ pre-boot
- ไม่สามารถเชื่อถือ bootloader รุ่นใหม่
- เสี่ยงต่อการถูกโจมตีด้วยมัลแวร์ระดับเฟิร์มแวร์
- ระบบอาจสูญเสียการป้องกันของ Windows Boot Manager
ซึ่งจะส่งผลกระทบทั้งด้านความปลอดภัยของข้อมูล และความสามารถในการดูแลระบบในระยะยาว
องค์กรสามารถติดตั้งใบรับรอง Secure Boot ด้วยตัวเองได้
แม้ Microsoft จะเริ่มอัปเดตใบรับรอง Secure Boot ให้อัตโนมัติผ่าน Windows Update สำหรับอุปกรณ์ที่เข้าเกณฑ์ แต่สำหรับองค์กรขนาดใหญ่ที่ต้องการควบคุมกระบวนการเอง ก็ยังสามารถติดตั้งใบรับรองด้วยวิธีอื่นได้ เช่น
- ใช้ registry key
- ใช้ Windows Configuration System (WinCS)
- ใช้ Group Policy
Microsoft แนะนำให้ผู้ดูแลระบบดำเนินการตาม Secure Boot playbook ดังนี้
- สำรวจและจัดทำบัญชีรายชื่ออุปกรณ์ทั้งหมด
- ตรวจสอบสถานะ Secure Boot ด้วย PowerShell หรือ registry
- อัปเดต firmware จากผู้ผลิตเมนบอร์ดหรือโน้ตบุ๊กก่อน
- จากนั้นจึงติดตั้งใบรับรอง Secure Boot ใหม่ของ Microsoft
ขั้นตอนเหล่านี้จะช่วยลดความเสี่ยงจากปัญหาความเข้ากันได้ และทำให้การอัปเดตเป็นไปอย่างราบรื่น
ผู้ใช้ทั่วไปต้องทำอะไรหรือไม่
สำหรับผู้ใช้ทั่วไปที่ใช้ Windows 11 เวอร์ชัน 24H2 หรือ 25H2 และเปิด Windows Update ไว้ตามปกติ ระบบจะจัดการอัปเดตใบรับรอง Secure Boot ให้โดยอัตโนมัติเมื่อเครื่องเข้าเกณฑ์
อย่างไรก็ตาม Microsoft แนะนำให้ผู้ใช้
- เปิด Windows Update ไว้ตลอด
- อัปเดต BIOS หรือ UEFI firmware ให้เป็นเวอร์ชันล่าสุดจากผู้ผลิต
- อย่าปิด Secure Boot หากไม่มีความจำเป็น
เพื่อให้ระบบยังคงได้รับการป้องกันด้านความปลอดภัยอย่างต่อเนื่องในระยะยาว
สรุปภาพรวม
การเปลี่ยนใบรับรอง Secure Boot ครั้งนี้ถือเป็นการเตรียมความพร้อมครั้งสำคัญของ Microsoft ก่อนที่ใบรับรองเดิมจะหมดอายุในปี 2026
สำหรับผู้ใช้ Windows 11 ส่วนใหญ่ ระบบจะจัดการให้อัตโนมัติผ่าน Windows Update แต่สำหรับองค์กรและผู้ดูแลระบบ จำเป็นต้องวางแผนล่วงหน้าเพื่อหลีกเลี่ยงปัญหาด้านความปลอดภัยและการบูตระบบในอนาคต
Secure Boot ยังคงเป็นหนึ่งในรากฐานสำคัญของระบบความปลอดภัย Windows และการอัปเดตครั้งนี้จะช่วยให้ Windows ยังคงรักษามาตรฐานความปลอดภัยระดับเฟิร์มแวร์ต่อไปได้อีกหลายปี
ที่มา: bleepingcomputer
