Microsoft ออกมาชี้แจงอย่างเป็นทางการถึงสาเหตุที่ Windows 11 เวอร์ชัน 25H2 และ Windows Server 2025 มีขนาดไฟล์ระบบเพิ่มขึ้นอย่างเห็นได้ชัด หลังการอัปเดตความปลอดภัยครั้งสำคัญในเดือนพฤศจิกายน 2025 โดยระบุว่าเป็นผลมาจากการเสริมความแข็งแกร่งด้านความปลอดภัยในระดับโครงสร้างหลักของระบบปฏิบัติการ
ตามแนวทางปกติ Microsoft จะปล่อยแพตช์ความปลอดภัยทุกเดือนในวันอังคารที่สองของเดือน หรือที่รู้จักกันในชื่อ Patch Tuesday โดยในแพตช์เดือนพฤศจิกายน 2025 บริษัทได้เพิ่มมาตรการป้องกันใหม่ให้กับ Common Log File System (CLFS) ซึ่งเป็นระบบบันทึกข้อมูลสำคัญของ Windows
การเปลี่ยนแปลงครั้งนี้ถือเป็นอัปเดตระดับ “โครงสร้างแกนหลัก” เนื่องจาก CLFS ถูกใช้งานโดยทั้งแอปพลิเคชันและบริการระบบในระดับ user-mode และ kernel-mode
ซึ่งหัวใจของการอัปเดตคือการเพิ่ม Hash-based Message Authentication Code (HMAC) ลงในไฟล์บันทึกของ CLFS เพื่อป้องกันการแก้ไขหรือดัดแปลงข้อมูลโดยไม่ได้รับอนุญาต
HMAC เป็นกลไกทางคริปโตกราฟีที่ใช้กุญแจลับร่วมกับฟังก์ชันแฮช เพื่อยืนยันว่าเนื้อหาของไฟล์ยังคงสมบูรณ์และเป็นของแท้ หากตรวจพบว่าข้อมูลถูกแก้ไข ระบบจะไม่อนุญาตให้เปิดไฟล์ log นั้นได้ทันที
Microsoft ระบุว่า กุญแจคริปโตกราฟีที่ใช้สร้าง HMAC จะเป็นกุญแจเฉพาะของแต่ละระบบ ถูกจัดเก็บไว้ใน Registry และสามารถเข้าถึงได้เฉพาะบัญชี Administrator และ SYSTEM เท่านั้น
แม้ CLFS จะเป็นระบบบันทึกข้อมูลประสิทธิภาพสูงที่ช่วยให้ Windows มีความเสถียร รองรับการกู้คืนเมื่อระบบล่ม และใช้ติดตามเหตุการณ์สำคัญต่าง ๆ แต่ในอดีต CLFS เคยถูกใช้เป็นช่องทางโจมตีเพื่อ ยกระดับสิทธิ์ (Privilege Escalation) หลายครั้ง
การเพิ่ม HMAC จึงถือเป็นมาตรการ Hardening ที่ออกแบบมาเพื่อลดความเสี่ยงจากการโจมตีในระดับลึก และปิดช่องโหว่ที่เคยถูกใช้ในอดีต
เพื่อไม่ให้การเปลี่ยนแปลงส่งผลกระทบต่อระบบที่ใช้งานอยู่ Microsoft ได้กำหนด “Learning Mode” เป็นระยะเวลา 90 วัน หลังติดตั้งอัปเดต
ในช่วงนี้ ระบบจะเพิ่ม authentication code ให้กับไฟล์ log เดิมโดยอัตโนมัติเมื่อมีการเปิดใช้งาน หลังครบ 90 วัน CLFS จะเข้าสู่ Enforcement Mode ซึ่งบังคับให้ไฟล์ log ทุกไฟล์ต้องมี HMAC ที่ถูกต้อง มิฉะนั้นจะไม่สามารถใช้งานได้
Microsoft แนะนำให้ผู้ดูแลระบบตรวจสอบระบบที่พึ่งพา CLFS และเปิดใช้งานไฟล์ log ภายในช่วง Learning Mode หากมีไฟล์ที่ไม่ถูกเปิด จะต้องใช้คำสั่ง
fsutil clfs authenticate เพื่อเพิ่ม authentication code ด้วยตนเอง
อีกหนึ่งผลกระทบสำคัญคือ พื้นที่จัดเก็บที่เพิ่มขึ้น สำหรับเก็บ authentication codes โดย Microsoft ประเมินไว้คร่าว ๆ ดังนี้
ไฟล์ log ขนาด 512KB ใช้พื้นที่เพิ่มประมาณ 8KB
ขนาด 1MB ใช้พื้นที่เพิ่มประมาณ 12KB
ขนาด 10MB ใช้พื้นที่เพิ่มประมาณ 90KB
ขนาด 100MB ใช้พื้นที่เพิ่มประมาณ 57KB
ขนาด 4GB ใช้พื้นที่เพิ่มมากกว่า 2MB
นอกจากนี้ การดูแลรักษา authentication codes ยังทำให้ภาระงานด้าน I/O เพิ่มขึ้น ส่งผลให้เวลาในการสร้าง เปิด และเขียนไฟล์ log ใช้เวลามากขึ้น โดย Microsoft ระบุว่า เวลาเฉลี่ยในการเขียนข้อมูลลงไฟล์ log เพิ่มขึ้นประมาณสองเท่า
แม้การอัปเดตครั้งนี้จะทำให้ Windows 11 25H2 มีขนาดใหญ่ขึ้น และมีผลต่อประสิทธิภาพบางส่วน แต่ Microsoft ย้ำว่านี่คือการแลกเปลี่ยนที่จำเป็น เพื่อยกระดับความปลอดภัยในระดับโครงสร้างพื้นฐาน และลดความเสี่ยงจากการโจมตีที่ซับซ้อนมากขึ้นในอนาคต
ผู้ดูแลระบบและองค์กรสามารถศึกษารายละเอียดเชิงลึกเกี่ยวกับ CLFS Authentication และมาตรการ Hardening เพิ่มเติมได้จากเอกสารสนับสนุนของ Microsoft ภายใต้หมายเลข KB5056852 บนเว็บไซต์ทางการของบริษัท
ที่มา neowin
