تخفيف مصادقة نظام ملفات السجل الشائع (CLFS)

في هذه المقالة

الملخص

فترة اعتماد التخفيف

تأثير المستخدم

تكوين

تحديث إعداد نهج المجموعة باستخدام محرر نهج المجموعة المحلي

تحديث إعداد نهج المجموعة/MDM باستخدام Intune

التغييرات على واجهة برمجة تطبيقات CLFS

الأسئلة المتداولة (FAQ)

مسرد

الملخص

تم تقديم تخفيف جديد للمصادقة المتصلبة لبرنامج تشغيل Common Log File System (CLFS) الذي يضيف رمز مصادقة رسالة يستند إلى التجزئة (HMAC) إلى الملفات الأساسية لملف سجل CLFS. يتم إنشاء رموز المصادقة عن طريق الجمع بين بيانات الملف ومفتاح تشفير فريد من نوعه للنظام، والذي يتم تخزينه في السجل ولا يمكن الوصول إليه إلا من قبل المسؤولين والنظام. ستسمح رموز المصادقة ل CLFS بالتحقق من تكامل الملف، ما يضمن أمان بيانات الملف قبل تحليل بنيات البيانات الداخلية الخاصة به. يفترض CLFS أنه تم تعديل هذا الملف خارجيا، بشكل ضار أو غير ذلك، إذا فشل فحص التكامل وسيرفض فتح logfile. للمتابعة، يجب إنشاء ملف سجل جديد أو سيحتاج المسؤول إلى مصادقته يدويا باستخدام الأمر fsutil.

فترة اعتماد التخفيف

من المحتمل أن يحتوي النظام الذي يتلقى تحديثا بهذا الإصدار من CLFS على ملفات السجل الموجودة على النظام الذي لا يحتوي على رموز مصادقة. لضمان نقل ملفات السجل هذه إلى التنسيق الجديد، سيقوم النظام بوضع برنامج تشغيل CLFS في "وضع التعلم" الذي سيوجه CLFS لإضافة رموز المصادقة تلقائيا إلى ملفات السجل التي لا تحتوي عليها. ستتم الإضافة التلقائية برموز المصادقة عند فتح logfile وفقط إذا كان مؤشر ترابط الاستدعاء لديه الوصول المطلوب للكتابة إلى الملف. حاليا، تستمر فترة الاعتماد لمدة 90 يوما، بدءا من الوقت الذي بدأ فيه النظام لأول مرة مع هذا الإصدار من CLFS. بعد انقضاء فترة الاعتماد هذه التي تبلغ 90 يوما، سينتقل برنامج التشغيل تلقائيا إلى وضع الإنفاذ في بدايته التالية، وبعد ذلك يتوقع CLFS أن تحتوي جميع ملفات السجل على رموز مصادقة صالحة. لاحظ أن هذه القيمة التي تبلغ 90 يوما قد تتغير في المستقبل.

إذا لم يتم فتح logfile خلال فترة الاعتماد هذه وبالتالي لم يتم نقله تلقائيا إلى التنسيق الجديد، يمكن استخدام الأداة المساعدة fsutil clfs مصادقة سطر الأوامر لإضافة رموز المصادقة إلى logfile. تتطلب هذه العملية أن يكون المتصل مسؤولا.

تأثير المستخدم

قد يؤثر هذا التخفيف على مستهلكي واجهة برمجة تطبيقات CLFS بالطرق التالية:

• نظرا لأن مصادقة logfile يتم إجراؤها في وقت فتح logfile، يجب على CLFS قراءة ملف السجل بأكمله من القرص من أجل التحقق من صحة رموز المصادقة قبل تحليل أي بنيات داخلية. ونتيجة لذلك، تتحمل العمليات المفتوحة ل logfile إدخال/إخراج قراءة إضافي يتناسب مع حجم ملف السجل.

  • يمكن ملاحظة مثال على هذا السلوك أثناء تسجيل دخول المستخدم وإيقاف تشغيل النظام. يحتفظ السجل ب logfile مدعوم من CLFS لخلية المستخدم (NTUSER.dat)، والذي يتم فتحه أثناء هذه الانتقالات. عند فتح logfile، تتطلب المصادقة قراءة كاملة لملف السجل، ما يؤدي إلى زيادة إدخال/إخراج القرص أثناء تسجيل الدخول وإيقاف التشغيل.

• نظرا لأن مفتاح التشفير المستخدم لجعل رموز المصادقة فريدة من نوعها للنظام، لم تعد ملفات السجل قابلة للنقل بين الأنظمة. لفتح ملف سجل تم إنشاؤه على نظام بعيد، يجب على المسؤول أولا استخدام الأداة المساعدة fsutil clfs للمصادقة على logfile باستخدام مفتاح تشفير الأنظمة المحلية.

• سيتم تخزين ملف جديد، مع الملحق ".cnpf" جنبا إلى جنب مع ملف التسجيل الثنائي (BLF) وحاويات البيانات. إذا كان BLF ل logfile موجودا في "C:\Users\User\example.blf"، فيجب أن يكون "ملف التصحيح" الخاص به موجودا في "C:\Users\User\example.blf.cnpf". إذا لم يتم إغلاق ملف السجل بشكل نظيف، فسيحتفظ ملف التصحيح بالبيانات المطلوبة ل CLFS لاسترداد ملف السجل. سيتم إنشاء ملف التصحيح بنفس سمات الأمان مثل الملف الذي يوفر معلومات الاسترداد له. سيكون هذا الملف على الأكثر بنفس حجم "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• مطلوب مساحة ملف إضافية لتخزين رموز المصادقة. يعتمد مقدار المساحة المطلوبة برموز المصادقة على حجم الملف. راجع القائمة التالية للحصول على تقدير حول مقدار البيانات الإضافية المطلوبة لملفات السجل الخاصة بك:

  • تتطلب ملفات حاوية 512 كيلوبايت حوالي 8192 بايت إضافية برموز المصادقة.

  • تتطلب ملفات حاوية 1024KB ~12288 بايت إضافية برموز المصادقة.

  • تتطلب ملفات حاوية 10 ميغابايت حوالي 90112 بايت إضافية برموز المصادقة.

  • تتطلب ملفات حاوية 100 ميغابايت حوالي 57344 بايت إضافية برموز المصادقة.

  • تتطلب ملفات الحاوية 4 غيغابايت وحدات بايت إضافية ~2101248 برموز المصادقة.

• نظرا للزيادة في عمليات الإدخال/الإخراج للحفاظ على رموز المصادقة، زاد الوقت المستغرق لتنفيذ العمليات التالية:

  تعتمد الزيادة في الوقت لإنشاء logfile وفتح logfile بشكل كامل على حجم الحاويات، مع وجود ملفات سجل أكبر لها تأثير أكثر وضوحا. في المتوسط، تضاعف مقدار الوقت المستغرق للكتابة إلى سجل في ملف السجل.

  • إنشاء ملف السجل

  • ملف السجل مفتوح

  • كتابة سجلات جديدة

تكوين

يتم تخزين الإعدادات المتعلقة بتخفيف المخاطر هذا في السجل في HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. فيما يلي قائمة بقيم التسجيل الرئيسية والغرض منها:

• الوضع: وضع التشغيل للتخفيف

  • 0: يتم فرض التخفيف. سيفشل CLFS في فتح ملفات السجل التي تحتوي على رموز مصادقة مفقودة أو غير صالحة. بعد 90 يوما من تشغيل النظام باستخدام هذا الإصدار من برنامج التشغيل، سينتقل CLFS تلقائيا إلى وضع الإنفاذ.

  • 1: التخفيف في وضع التعلم. سيفتح CLFS دائما ملفات السجل. إذا كان ملف السجل يفتقد إلى رموز المصادقة، فسينشئ CLFS التعليمات البرمجية ويكتبها في الملف (بافتراض أن المتصل لديه حق الوصول للكتابة).

  • 2: قام المسؤول بتعطيل التخفيف.

  • 3: تم تعطيل التخفيف تلقائيا بواسطة النظام. يجب على المسؤول عدم تعيين الوضع إلى هذه القيمة ولكن يجب أن يستخدم "2" إذا كان يرغب في تعطيل التخفيف.

• EnforcementTransitionPeriod: مقدار الوقت، بالثوان، الذي سيقضيه النظام في فترة الاعتماد. إذا كانت هذه القيمة صفرا، فلن ينتقل النظام تلقائيا إلى الإنفاذ.

• LearningModeStartTime: الطابع الزمني الذي بدأ فيه وضع التعلم على النظام. ستحدد هذه القيمة، بالاقتران مع "EnforcementTransitionPeriod" متى يجب أن ينتقل النظام إلى وضع الإنفاذ.

• المفتاح:مفتاح التشفير المستخدم لإنشاء رموز المصادقة (HMACs). يجب ألا يقوم المسؤولون بتعديل هذه القيمة.

يمكن للمسؤولين تعطيل التخفيف تماما عن طريق تغيير قيمة الوضع إلى 2. لإطالة فترة اعتماد التخفيف، يمكن للمسؤول تغيير EnforcementTransitionPeriod (ثوان) إلى أي قيمة تختارها (أو 0 إذا كنت تريد تعطيل الانتقال التلقائي إلى وضع الإنفاذ).

تحديث إعداد نهج المجموعة باستخدام محرر نهج المجموعة المحلي

يمكن تمكين مصادقة CLFS أو تعطيلها باستخدام إعداد نهج المجموعة:

1. افتح محرر نهج المجموعة المحلي في Windows لوحة التحكم.
   
   

2. ضمن تكوين الكمبيوتر، حدد القالب الإداري > النظام > نظام الملفات وفي قائمة الإعدادات ، انقر نقرا مزدوجا فوق تمكين / تعطيل مصادقة ملف سجل CLFS.
   
   

3. حدد تمكين أو تعطيل ثم انقر فوق موافق. إذا تم تحديد Not Configured، يتم تمكين التخفيف بشكل افتراضي.
   
   

تحديث إعداد نهج المجموعة/MDM باستخدام Intune

لتحديث نهج المجموعة مصادقة CLFS وتكوينها باستخدام Microsoft Intune:

1. افتح مدخل Intune (https://endpoint.microsoft.com) وسجل الدخول باستخدام بيانات الاعتماد الخاصة بك.

2. إنشاء ملف تعريف: 

   1. حدد الأجهزة > تكوين Windows >> إنشاء نهج جديد >.

   2. حدد النظام الأساسي > Windows 10 والإصدارات الأحدث.

   3. حدد نوع ملف التعريف > Templates.

   4. ابحث عن Custom وحدده.
      
      

3. تعيين اسم ووصف:
   
   

4. إضافة إعداد OMA-URI جديد:
   
   

5. تحرير إعداد OMA-URI: 

   1. أضف اسما مثل ClfsAuthenticationCheck.

   2. إضافة وصف اختياريا.

   3. تعيين مسار OMA-URI إلى ما يلي:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. تعيين نوع البيانات إلى سلسلة.

   5. قم بتعيين القيمة إلى <ممكن/> أو <معطل/>.

   6. انقر فوق حفظ.
      
      

6. أكمل التكوين المتبقي لعلامات النطاق والتعيينات، ثم حدد إنشاء. ​​​​​​​

التغييرات على واجهة برمجة تطبيقات CLFS

لتجنب كسر التغييرات على واجهة برمجة تطبيقات CLFS، يتم استخدام رموز الخطأ الموجودة للإبلاغ عن حالات فشل التحقق من التكامل إلى المتصل:

• إذا فشل CreateLogFile ، فسيرجع GetLastError رمز الخطأ ERROR_LOG_METADATA_CORRUPT .

• بالنسبة إلى ClfsCreateLogFile، يتم إرجاع حالة STATUS_LOG_METADATA_CORRUPT عندما يفشل CLFS في التحقق من تكامل logfile.

الأسئلة المتداولة (FAQ)

مسرد

التصلب هو عملية تساعد على الحماية من الوصول غير المصرح به وحجب الخدمة والتهديدات الأخرى من خلال الحد من نقاط الضعف المحتملة التي تجعل الأنظمة عرضة للخطر.

تستخدم سمات الأمان لتخزين المعلومات وفرض التحكم الدقيق في الوصول على موارد محددة.