Microsoft ออกกฎใหม่เพิ่มความเข้มด้านความปลอดภัยบน Windows 11 รุ่นล่าสุด โดยห้ามไม่ให้เครื่องที่มี SID (Security Identifier) ซ้ำกันใช้งานร่วมกันบนเครือข่ายอีกต่อไป การเปลี่ยนแปลงนี้มีผลตั้งแต่ Windows 11 เวอร์ชัน 24H2, 25H2 และ Windows Server 2025 ซึ่งจะไม่อนุญาตให้เครื่องที่มี SID เดียวกันยืนยันตัวตนผ่านระบบ NTLM หรือ Kerberos ได้เหมือนเดิม ส่งผลให้เครื่องเหล่านี้ไม่สามารถเข้าใช้ไดรฟ์กลาง แชร์ไฟล์ Join Domain หรือ Remote Desktop ได้อีกหลังอัปเดตใหม่
สำหรับใครที่อาจยังไม่คุ้นชื่อ SID มันคือรหัสประจำตัวที่ระบบ Windows ใช้ในการระบุตัวตนของเครื่องหรือบัญชีผู้ใช้ เปรียบง่าย ๆ มันก็เหมือน “เลขบัตรประชาชน” ของคอมพิวเตอร์แต่ละเครื่อง ซึ่งต้องไม่ซ้ำกัน เพราะระบบจะใช้รหัสนี้ในการตรวจสอบสิทธิ์เข้าถึงไฟล์ แชร์โฟลเดอร์ เชื่อมต่อโดเมน หรือยืนยันตัวตนผ่านระบบรักษาความปลอดภัยอย่าง NTLM และ Kerberos
เวลาติดตั้ง Windows ใหม่ ระบบจะสร้าง SID เฉพาะขึ้นมาให้เครื่องนั้นโดยอัตโนมัติ ซึ่งจะติดตัวเครื่องไปตลอด เว้นแต่จะถูกรีเซ็ตด้วยเครื่องมืออย่าง Sysprep แต่ถ้าเกิดเครื่องหลายเครื่องมี SID เดียวกัน ระบบจะไม่สามารถแยกได้ว่าใครเป็นใคร เช่น ถ้าเครื่องหนึ่งได้รับสิทธิ์เข้าถึงไฟล์บางชุด เครื่องอื่นที่มี SID เดียวกันก็จะสามารถเข้าถึงได้เช่นกัน ถือเป็นช่องโหว่ด้านความปลอดภัยที่ Microsoft ต้องการปิดให้แน่นขึ้น
ในระบบองค์กร ฝ่ายไอทีมักติดตั้ง Windows แค่ครั้งเดียวบนเครื่องต้นแบบ แล้วโคลนระบบไปลงในเครื่องอื่น ๆ เพื่อประหยัดเวลาและลดภาระงาน วิธีนี้ถือเป็นเรื่องปกติในวงการ แต่เครื่องที่โคลนออกมาจะมี SID เหมือนกันหมด หากไม่รีเซ็ตก่อน ระบบจะมองว่าเครื่องทั้งหมดเป็นเครื่องเดียวกัน และเมื่อ Microsoft ปรับระบบให้ตรวจสอบ SID อย่างเข้มงวดใน Windows 11 รุ่นใหม่ เครื่องเหล่านี้จะไม่สามารถ Join Domain หรือเข้าไดรฟ์กลางได้อีกต่อไป
ดังนั้น SID จึงมีบทบาทสำคัญมากในด้านความปลอดภัยของ Windows เพราะเป็นรหัสหลักที่ใช้ควบคุมสิทธิ์และยืนยันตัวตน การมี SID ซ้ำกันจึงเท่ากับ “ปลอมตัวในระบบ” ซึ่งอาจทำให้ระบบมองผิดคนหรือเปิดช่องให้เข้าถึงข้อมูลที่ไม่ควรได้ การใช้ Sysprep เพื่อสร้าง SID ใหม่ก่อน Clone เครื่องจึงเป็นขั้นตอนพื้นฐานที่ควรทำเสมอในทุกองค์กร
สำหรับผู้ใช้ทั่วไปแทบไม่ต้องกังวล เพราะระบบจะสร้าง SID ใหม่ให้อัตโนมัติทุกครั้งที่ติดตั้ง Windows อยู่แล้ว แต่สำหรับองค์กรที่มีคอมพิวเตอร์หลายร้อยหรือหลายพันเครื่อง เรื่องนี้ถือว่ากระทบโดยตรง เพราะฝ่ายไอมักใช้วิธีโคลนหรือทำอิมเมจเครื่องเพื่อกระจายการติดตั้ง ถ้าไม่รีเซ็ต SID ให้ถูกต้อง เครื่องเหล่านั้นจะไม่สามารถเชื่อมต่อระบบเครือข่ายได้ตามปกติ
ที่ผ่านมา Windows ยังอนุญาตให้เครื่องที่มี SID ซ้ำใช้งานได้ แต่ Microsoft มองว่านี่คือช่องโหว่สำคัญ เพราะเครื่องที่ถูกโคลนอาจสวมรอยเป็นเครื่องต้นฉบับและเข้าถึงข้อมูลสำคัญได้ การเปลี่ยนแปลงครั้งนี้จึงเป็นการตัดช่องทางนั้นออกโดยสิ้นเชิง เพื่อยกระดับความปลอดภัยของระบบองค์กรให้แน่นหนายิ่งขึ้น
ตั้งแต่เวอร์ชัน 24H2 เป็นต้นไป เครื่องที่มี SID ซ้ำจะถูกปฏิเสธการเชื่อมต่อทันที ผู้ใช้อาจเจออาการระบบถามรหัสซ้ำ ๆ ล็อกอินไม่ผ่าน เข้าแชร์ไฟล์ไม่ได้ หรือ Remote Desktop เด้ง error ว่า Access Denied บางกรณี Event Viewer ยังแสดงข้อความ Machine ID ไม่ตรงกันอีกด้วย
ทางออกคือใช้เครื่องมือ Sysprep (System Preparation Tool) ที่มีอยู่ใน Windows อยู่แล้ว ซึ่งจะช่วยรีเซ็ตข้อมูลเฉพาะเครื่องเก่า ล้าง SID เดิม และสร้าง SID ใหม่ให้ไม่ซ้ำกับใคร เพื่อให้ระบบเครือข่ายตรวจสอบตัวตนได้ถูกต้องและปลอดภัย
จริง ๆ แล้ว ขั้นตอนนี้ถือเป็นเรื่องที่ทีมไอทีควรทำอยู่แล้ว เพราะถ้า SID ซ้ำกัน ระบบตรวจสอบภายในหรือ Audit จะไม่ผ่านแน่นอน แถมยังเสี่ยงปัญหาความปลอดภัยและการจัดการเครื่องใน Active Directory อีกด้วย ถึง Microsoft จะเพิ่งเริ่ม “บังคับใช้” ตอนนี้ แต่ในทางปฏิบัติ นี่คือสิ่งที่องค์กรควรทำตั้งแต่แรก
สรุปแล้ว Microsoft กำลังยกระดับความปลอดภัยของ Windows 11 ให้รัดกุมขึ้นอีกขั้น ด้วยการป้องกันเครื่องที่มี SID ซ้ำไม่ให้เข้าระบบเครือข่าย เพื่อปิดช่องโหว่การสวมรอยและลดความเสี่ยงในองค์กร ใครที่ยังใช้วิธีโคลนเครื่องแบบเดิม ควรรีบปรับวิธีทำงานโดยใช้ Sysprep ก่อนทุกครั้ง ไม่อย่างนั้นอาจเข้า Network ไม่ได้หลังอัปเดตใหม่แน่นอน
Comment