Microsoft กำลังอัปเดตนโยบายเคอร์เนลที่ใช้งานมานาน โดยก่อนหน้านี้ Windows 11 อนุญาตให้ไดรเวอร์เก่าที่ใบรับรองหมดอายุแล้วยังคงสามารถทำงานและได้รับความเชื่อถือจาก NT Kernel ได้
การเปลี่ยนแปลงครั้งนี้หมายความว่า โปรแกรม cross-signing ที่มีมาตั้งแต่ช่วงต้นยุค 2000 จะไม่สามารถใช้งานได้อีกต่อไป โดยก่อนหน้านี้ระบบดังกล่าวเปิดให้ซอฟต์แวร์ที่มีลายเซ็นแบบ NT Kernel-trusted สามารถรันได้ แม้ใบรับรองจะหมดอายุแล้วก็ตาม ส่งผลให้ผู้พัฒนาไดรเวอร์จากภายนอก เช่น ผู้ผลิตเครื่องพิมพ์ สามารถใช้งานไดรเวอร์เก่าบน Windows 11 ได้โดยไม่ต้องมีใบรับรองความปลอดภัยที่ยังใช้งานได้
อย่างไรก็ตาม สิ่งนี้กำลังจะสิ้นสุดลง โดย Microsoft จะใช้การอัปเดตในเดือนเมษายน เพื่อให้ NT Kernel รับเฉพาะไดรเวอร์ใหม่ที่ลงนามผ่านโปรแกรม Windows Hardware Compatibility Program (WHCP) เท่านั้น
WHCP จะช่วยให้มั่นใจว่าไดรเวอร์แต่ละตัวมีใบรับรองความปลอดภัยที่ถูกต้องตามมาตรฐานของ Microsoft โดยนโยบายใหม่นี้จะถูกนำไปใช้กับเวอร์ชัน
- Windows 11 24H2, 25H2, 26H1
- Windows Server 2025
- และเวอร์ชันในอนาคต
แม้จะมีการเปลี่ยนแปลงนี้ Microsoft ยังอนุญาตให้ Windows โหลดไดรเวอร์เก่าที่ “เชื่อถือได้” ได้ เพื่อรักษาความเข้ากันได้ย้อนหลัง (backward compatibility) และฟีเจอร์ plug-and-play
การอัปเดตเดือนเมษายน 2026 จะเริ่มใช้นโยบายใหม่นี้ในโหมดประเมินผล (evaluation mode) ก่อน โดยระบบจะตรวจสอบพฤติกรรมของไดรเวอร์ และจะเปิดใช้งานเต็มรูปแบบเมื่อมั่นใจว่าจะไม่กระทบต่อความเข้ากันได้ของระบบ
นอกจากนี้ Microsoft ยังมี “allow list” สำหรับไดรเวอร์แบบ cross-signed ที่เชื่อถือได้ เพื่อให้ซอฟต์แวร์และฮาร์ดแวร์ที่ใช้งานแพร่หลายยังสามารถทำงานต่อได้ในช่วงเปลี่ยนผ่าน
สำหรับองค์กรที่ยังจำเป็นต้องใช้ไดรเวอร์แบบกำหนดเอง (custom kernel drivers) Microsoft มีทางเลือกผ่าน Application Control for Business (เดิมชื่อ WDAC) ซึ่งช่วยให้องค์กรสามารถอนุมัติซอฟต์แวร์ที่เซ็นลายเซ็นแบบภายในได้ โดยเชื่อมโยงกับระบบความปลอดภัยอย่าง Secure Boot
สรุป
Microsoft กำลังพยายาม “บาลานซ์” ระหว่างความปลอดภัยและความเข้ากันได้ พร้อมผลักดันให้ไดรเวอร์ที่ผ่านมาตรฐาน WHCP กลายเป็นมาตรฐานหลักของระบบ Windows ในอนาคต
ที่มา: Neowin
