Отнася се за
Windows 11 version 25H2, all editions Windows Server 2025

Първоначална дата на публикуване: 28 октомври 2025 г.

ИД на КБ: 5056852

Това смекчаване на удостоверяването за втвърдяване е налично в следните издания на Windows:

  • Windows 11, версия 25H2 и актуализации на Windows Server 2025 г., издадени на или след 28 октомври 2025 г.

В тази статия 

Резюме

Период на приемане на смекчаването

Въздействие върху потребителите

Конфигурация

Актуализиране на групови правила с помощта на локалния групови правила Редактор

Актуализиране групови правила/MDM настройка с помощта на Intune

Промени в CLFS API

Често задавани въпроси (ЧЗВ)

Речник

Резюме

Въведено е ново смекчаване на удостоверяването за подсилване за драйвера на общата система за регистрационни файлове (CLFS), който добавя код за удостоверяване на съобщение, базирано на хеширане (HMAC), към базовите файлове на logfile на CLFS. Кодовете за удостоверяване се създават чрез комбиниране на файлови данни с уникален за системата криптографски ключ, който се съхранява в системния регистър и е достъпен само за администратори и СИСТЕМА. Кодовете за удостоверяване ще позволят на CLFS да проверява целостта на файла, като гарантира, че данните на файла са безопасни, преди да анализират вътрешните му структури от данни. CLFS предполага, че този файл е променен външно, злонамерено или по друг начин, ако проверката на целостта е неуспешна и ще откаже да отвори регистрационния файл. За да продължите, трябва да се създаде нов регистрационен файл или администраторът ще трябва ръчно да го удостовери с помощта на командата fsutil.

Период на приемане на смекчаването

Система, получаваща актуализация с тази версия на CLFS, вероятно ще има съществуващи регистрационни файлове в системата, които нямат кодове за удостоверяване. За да се гарантира, че тези регистрационни файлове ще бъдат прехвърлени към новия формат, системата ще постави CLFS драйвера в "режим на обучение", който ще инструктира CLFS да добавя автоматично кодове за удостоверяване към регистрационни файлове, които нямат такива. Автоматичното добавяне на кодове за удостоверяване ще възникне при отворен logfile и само ако нишката за повикване има необходимия достъп за записване във файла. В момента периодът на приемане продължава 90 дни, започвайки от момента, в който системата е започнала за първи път с тази версия на CLFS. След изтичането на този 90-дневен период на приемане драйверът автоматично ще премине в режим на прилагане при следващото стартиране, след което CLFS ще очаква всички регистрационни файлове да съдържат валидни кодове за удостоверяване. Имайте предвид, че тази 90-дневна стойност може да се промени в бъдеще.

Ако регистрационен файл не е отворен по време на този период на усвояване и следователно не е автоматично преминат към новия формат, fsutil clfs удостоверяване команден ред помощната програма може да се използва за добавяне на кодове за удостоверяване към logfile. Тази операция изисква повикващият да бъде администратор.

Въздействие върху потребителите

Това смекчаване може да повлияе на потребителите на API за CLFS по следните начини:

  • Тъй като криптографския ключ, използван за кодовете за удостоверяване, е уникален за системата, регистрационните файлове вече не са преносими между системите. За да отворите регистрационен файл, който е създаден в отдалечена система, администраторът трябва първо да използва помощната програма за удостоверяване fsutil clfs за удостоверяване на регистрационния файл с помощта на локалните системи криптографски ключ.

  • Нов файл с разширението ".cnpf" ще се съхранява заедно с двоичния регистрационен файл (BLF) и контейнерите с данни. Ако BLF за регистрационен файл се намира в "C:\Users\User\example.blf", неговият "файл на корекция" трябва да се намира в "C:\Users\User\example.blf.cnpf". Ако регистрационен файл не е затворен чисто, файлът на корекцията ще съдържа данните, необходими за CLFS за възстановяване на регистрационния файл. Файлът на корекцията ще бъде създаден със същите атрибути на защита като файла, за който предоставя информация за възстановяване. Този файл най-много ще бъде със същия размер като "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Необходимо е допълнително място за съхранение на кодовете за удостоверяване. Размерът на мястото, необходимо за кодовете за удостоверяване, зависи от размера на файла. Вижте следния списък за оценка колко допълнителни данни ще се изискват за вашите регистрационни файлове:

    • 512 КБ файлове за контейнер изискват допълнителни ~8192 байта за кодове за удостоверяване.

    • 1024 КБ файлове контейнер изискват допълнителни ~12288 байта за кодове за удостоверяване.

    • 10MB контейнерни файлове изискват допълнителни ~90112 байта за кодове за удостоверяване.

    • 100 МБ контейнерни файлове изискват допълнителни ~57344 байта за кодове за удостоверяване.

    • Файловете с 4 ГБ контейнери изискват допълнителни ~2101248 байта за кодове за удостоверяване.

  • Поради увеличаването на В/И операциите за поддържане на кодове за удостоверяване се увеличи времето, необходимо за изпълнение на следните операции:

    • създаване на регистрационен файл

    • отворен регистрационен файл

    • писане на нови записи

    Увеличаването на времето за създаване на логаритъм и отваряне на регистрационен файл зависи изцяло от размера на контейнерите, с по-големи регистрационни файлове, които имат много по-забележимо въздействие. Средно времето, необходимо за записване в запис в регистрационен файл, се удвои.

Конфигурация

Настройките, свързани с това смекчаване, се съхраняват в системния регистър на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. По-долу е предоставен списък със стойности от системния регистър на ключовете и тяхната цел:

  • Режим: Режимът на работа на смекчаването

    • 0: Наложено е смекчаване. CLFS няма да може да отвори регистрационни файлове, които имат липсващи или невалидни кодове за удостоверяване. След 90 дни от изпълнението на системата с тази версия на драйвера CLFS автоматично ще премине в режим на изпълнение.

    • 1: Смекчаването е в режим на обучение. CLFS винаги ще отваря регистрационните файлове. Ако в регистрационния файл липсват кодове за удостоверяване, CLFS ще генерира и запише кодовете във файла (ако повикващият има достъп за писане).

    • 2: Администратор е забранил смекчаването.

    • 3: Смекчаването е забранено автоматично от системата. Администратор не трябва да зададе режима на тази стойност, но трябва да използва "2", ако иска да забрани смекчаването.

  • EnforcementTransitionPeriod: Периодът от време, в секунди, през който системата ще изразходва през периода на усвояване. Ако тази стойност е нула, системата няма да премине автоматично към принудително изпълнение.

  • LearningModeStartTime: времевото клеймо, в което режимът на обучение е стартирал в системата. Тази стойност, в комбинация с "EnforcementTransitionPeriod" , ще определи кога дадена система трябва да премине в режим на изпълнение.

  • Ключ:Криптографския ключ, използван за създаване на кодове за удостоверяване (HMACs). Администраторите не трябва да променят тази стойност.

Администраторите могат да забранят смекчаването изцяло, като променят стойността на режима на 2. За да удължи периода на приемане на смекчаването, администраторът може да промени EnforcementTransitionPeriod (секунди) на всяка стойност, която изберете (или 0 , ако искате да забраните автоматичния преход в режим на изпълнение).

Актуализиране на групови правила с помощта на локалния групови правила Редактор

Удостоверяването чрез CLFS може да бъде разрешено или забранено с помощта на настройката на групови правила:

  1. Отворете локалната групови правила Редактор в Windows Контролен панел.Правила за локален компютър

  2. Под Компютърна конфигурация изберете Административен шаблон > Система > файловата система и в списъка Настройки щракнете двукратно върху Разрешаване/забраняване на удостоверяване чрез регистрационен файл на CLFS.Разрешаване на забраняване на удостоверяване чрез регистрационен файл на CLFS

  3. Изберете Разрешаване или Забраняване и след това щракнете върху OK. Ако не е конфигурирано, смекчаването е разрешено по подразбиране.Изберете "Разрешаване" или "Забраняване"

Актуализиране групови правила/MDM настройка с помощта на Intune

За да актуализирате групови правила и да конфигурирате CLFS удостоверяване с помощта на Microsoft Intune:

  1. Отворете портала на Intune (https://endpoint.microsoft.com) и влезте с идентификационните си данни.

  2. Създаване на профил: 

    1. Изберете Устройства > Конфигурация на Windows >> Създаване > нови правила.

    2. Изберете Platform > Windows 10 и по-нови версии.

    3. Изберете Тип профил > Шаблони.

    4. Потърсете и изберете По избор.Конфигурация на Windows

  3. Задайте име и описание:Задаване на име и описание

  4. Добавяне на нова настройка на OMA-URI:Добавяне на нова настройка на OMA-URI

  5. Редактиране на настройка на OMA-URI: 

    1. Добавете име, като например ClfsAuthenticationCheck.

    2. Ако желаете, добавете описание.

    3. Задайте пътя на OMA-URI на следното:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Задайте Тип на данните на String.

    5. Задайте стойността да <разрешена/> или <забранен/>.

    6. Щракнете върху Запиши.Задаване на стойност и записване

  6. Завършете оставащата конфигурация на етикетите за обхвата и възложените задачи и след това изберете Създай. ​​​​​​​

Промени в CLFS API

За да се избегнат промени, причиняващи грешки в CLFS API, съществуващите кодове на грешки се използват за съобщаване на грешки при проверка за цялост на повикващия:

  • Ако CreateLogFile е неуспешно, GetLastError ще върне ERROR_LOG_METADATA_CORRUPT код на грешка.

  • За ClfsCreateLogFile състоянието на STATUS_LOG_METADATA_CORRUPT се връща, когато CLFS не успее да провери целостта на регистрационния файл.

Често задавани въпроси (ЧЗВ)

Кодовете за удостоверяване (HMACs) са добавени към регистрационните файлове на CLFS, които дават на драйвера CLFS възможност да открива (злонамерени) модификации, направени във файловете, преди да ги анализира. Когато преходите на смекчаването в режим на изпълнение (90 дни след получаването на тази актуализация), CLFS ще очаква, че кодовете за удостоверяване ще бъдат налични и валидни за успешно отваряне на регистрационния файл.

За първите 90 дни, когато тази версия на CLFS драйвера е активна, драйверът автоматично ще добави кодове за удостоверяване към logfiles при отваряне от CreateLogFile или ClfsCreateLogFile.

След изтичането на този 90-дневен период за приемане инструментът за удостоверяване fsutil clfs ще трябва да се използва за добавяне на кодове за удостоверяване към стари или съществуващи регистрационни файлове. Този инструмент изисква повикващият да бъде администратор.

Тъй като кодовете за удостоверяване са създадени с помощта на уникален за системата криптографски ключ, няма да можете да отваряте регистрационни файлове, които са създадени в друга система. За да коригира кодовете за удостоверяване с помощта на криптографския ключ на локалната система, администраторът може да използва инструмента за удостоверяване fsutil clfs . Този инструмент изисква повикващият да бъде в групата на администраторите.

Въпреки че не го препоръчваме, администраторът може да забрани това смекчаване, като промени HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Режим] да бъде стойност 2.

За да направите това, използвайте PowerShell и изпълнете следната команда:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Речник

Втвърдяването е процес, който помага за защитата срещу неупълномощен достъп, отказ на обслужване и други заплахи чрез ограничаване на потенциалните слабости, които правят системите уязвими.

Атрибутите за защита се използват за съхраняване на информация и налагане на прецизен контрол на достъпа върху определени ресурси.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност