ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งให้ผู้ดูแลระบบและหน่วยงานที่ใช้งาน Windows 11 ติดตามอัปเดต KB5083631 ซึ่งเป็นอัปเดตสะสมแบบ Optional Preview / Non-security update สำหรับ Windows 11 โดย Microsoft ระบุว่าอัปเดตนี้มุ่งเน้นการปรับปรุงคุณภาพ แก้ไขปัญหา และเพิ่มความสามารถใหม่ เพื่อช่วยให้หน่วยงานสามารถทดสอบความเปลี่ยนแปลงก่อนเผยแพร่ในรอบ Patch Tuesday
1. รายละเอียดอัปเดต [1]
Microsoft ได้ออกอัปเดต Windows 11 KB5083631 เมื่อวันที่ 30 เมษายน 2569 สำหรับ Windows 11 เวอร์ชัน 24H2 และ 25H2 โดยหลังติดตั้งแล้วระบบจะถูกอัปเดตเป็น Build ดังนี้
• Windows 11 version 24H2: OS Build 26100.8328
• Windows 11 version 25H2: OS Build 26200.8328
การอัปเดตดังกล่าวมีการเปลี่ยนแปลงและการแก้ไขรวม 34 รายการ โดยมีรายละเอียดที่สำคัยดังนี้
1.1 Microsoft เพิ่ม Xbox mode สำหรับ Windows 11 บนเครื่อง PC, laptop, desktop และ tablet โดยเป็นโหมดแบบเต็มหน้าจอที่ออกแบบให้เน้นการเล่นเกม ลดสิ่งรบกวนจากเบื้องหลัง และสามารถเรียกใช้งานผ่าน Xbox app, Game Bar settings หรือปุ่มลัด Windows logo key + F11
1.2 เพิ่มความสามารถให้ผู้ดูแลระบบเปิดใช้งานโหมดประมวลผล Batch files ที่ปลอดภัยขึ้น โดยช่วยป้องกันไม่ให้ไฟล์ Batch ถูกแก้ไขระหว่างการรัน ซึ่งช่วยลดความเสี่ยงจากการเปลี่ยนแปลงสคริปต์ระหว่างปฏิบัติการในบางสถานการณ์
1.3 ปรับปรุง Secure Boot certificate rollout โดยจะมีข้อมูลเพิ่มเติมเพื่อช่วยระบุอุปกรณ์ที่เหมาะสมสำหรับการรับใบรับรอง Secure Boot รุ่นใหม่โดยอัตโนมัติ
1.4 ปรับปรุง Kerberos authentication ใน Remote Desktop session ที่ใช้ Remote Credential Guard ซึ่งอาจพบข้อผิดพลาด “0xc000009a” รวมถึงแก้ปัญหาหน้าต่างแจ้งเตือนความปลอดภัยของ Remote Desktop ที่แสดงผลผิดพลาดในบางกรณีที่ใช้หลายจอภาพและมี scaling ต่างกัน
1.5 ปรับปรุง event logging ที่เกี่ยวข้องกับ CVE-2024-30098 โดยเพิ่มชื่อแอปพลิเคชันที่ได้รับผลกระทบ เพื่อช่วยให้ผู้ดูแลระบบระบุแอปที่พึ่งพา smart card certificates และอาจต้องอัปเดตตามการเปลี่ยนแปลงด้านความปลอดภัยได้ง่ายขึ้น
2. ระบบที่ได้รับผลกระทบ / ระบบที่เกี่ยวข้อง [2]
2.1 Windows 11 version 24H2
2.2 Windows 11 version 25H2
2.3 อุปกรณ์ของหน่วยงานที่บริหารจัดการผ่าน Windows Update for Business, WSUS หรือ Microsoft Update Catalog
2.4 อุปกรณ์ที่เปิดใช้งาน BitLocker และมีการกำหนดค่า Group Policy บางลักษณะที่ Microsoft ไม่แนะนำ
2.5 อุปกรณ์ที่เกี่ยวข้องกับ Secure Boot certificate rollout ซึ่ง Microsoft ระบุว่าใบรับรอง Secure Boot เดิมบางส่วนจะเริ่มหมดอายุตั้งแต่ช่วงเดือนมิถุนายน 2569 ([Microsoft Support][2])
3. ข้อควรระวังก่อนติดตั้ง
Microsoft ระบุ Known issue สำคัญว่าอุปกรณ์บางส่วนที่มีการตั้งค่า BitLocker Group Policy ในรูปแบบที่ไม่แนะนำ อาจต้องกรอก BitLocker recovery key ในการรีสตาร์ตครั้งแรกหลังติดตั้งอัปเดตนี้ โดยเฉพาะกรณีที่เปิดใช้ BitLocker บน OS drive และมีการกำหนดค่า TPM platform validation profile พร้อมเงื่อนไขด้าน PCR7 และ Secure Boot บางประการ
โดย Microsoft แนะนำให้องค์กรตรวจสอบ Group Policy ที่เกี่ยวข้องกับ BitLocker โดยเฉพาะการกำหนดค่า Configure TPM platform validation profile for native UEFI firmware configurations และตรวจสอบสถานะ PCR7 Binding ผ่าน msinfo32.exe ก่อนติดตั้งอัปเดตในวงกว้าง
4. ผลกระทบที่อาจเกิดขึ้น
แม้อัปเดตนี้ไม่ใช่แพตช์ความปลอดภัย แต่หากติดตั้งโดยไม่ทดสอบ อาจเกิดผลกระทบต่อการใช้งานในหน่วยงาน ดังนี้
4.1 อุปกรณ์บางเครื่องอาจเข้าสู่หน้า BitLocker recovery หลังรีสตาร์ต
4.2 ผู้ใช้งานอาจต้องใช้ BitLocker recovery key หากเครื่องเข้าเงื่อนไขที่ Microsoft ระบุ
4.3 อาจเกิดความเข้ากันได้กับ driver บางประเภท โดยเฉพาะกรณี cross-signed drivers ที่ไม่ได้อยู่ในรายการที่เชื่อถือ
4.4 ระบบองค์กรที่ควบคุมผ่าน Group Policy, WSUS หรือ Windows Update for Business อาจต้องทดสอบ compatibility ก่อน rollout
4.5 ผู้ดูแลระบบควรตรวจสอบผลกระทบกับ Remote Desktop, Windows Hello, File Explorer, Storage และสคริปต์ CMD/Batch ที่ใช้งานภายในหน่วยงาน
5. แนวทางการดำเนินการสำหรับผู้ดูแลระบบ
5.1 ตรวจสอบว่าในหน่วยงานมีอุปกรณ์ Windows 11 version 24H2 หรือ 25H2 ที่อยู่ในขอบเขตของ KB5083631 หรือไม่
5.2 ทดสอบอัปเดตในกลุ่ม Pilot/Test ก่อนนำไปใช้งานกับเครื่องทั้งหมดในองค์กร
5.3 ตรวจสอบและสำรอง BitLocker recovery key ของอุปกรณ์ที่เปิดใช้งาน BitLocker ก่อนติดตั้งอัปเดต
5.4 ตรวจสอบ Group Policy ที่เกี่ยวข้องกับ BitLocker โดยเฉพาะการตั้งค่า TPM platform validation profile และ PCR7
5.5 ตรวจสอบสถานะ Secure Boot และ PCR7 Binding ผ่าน “msinfo32.exe” ในเครื่องที่อยู่ภายใต้การบริหารจัดการของหน่วยงาน
5.6 ตรวจสอบความเข้ากันได้ของ driver โดยเฉพาะ third-party drivers หรือ legacy drivers ที่อาจเกี่ยวข้องกับการเปลี่ยนแปลง Windows Driver Policy
5.7 หากองค์กรใช้ Batch files หรือ CMD scripts ในกระบวนการดูแลระบบ ควรทดสอบการเปิดใช้โหมด LockBatchFilesWhenInUse ก่อนใช้งานจริง
5.8 ติดตาม Known issues จาก Microsoft อย่างต่อเนื่อง เนื่องจากอัปเดตประเภท Preview อาจมีการปรับปรุงหรือเพิ่มรายการปัญหาที่ทราบภายหลัง
แหล่งอ้างอิง