Původní datum publikování: úterý 28. října 2025
ID znalostní báze: 5056852
Toto zmírnění zabezpečení ověřování je k dispozici v následujících verzích Windows:
-
aktualizace Windows 11 verze 25H2 a Windows Server 2025 vydané 28. října 2025 nebo později
V tomto článku
Aktualizace nastavení Zásady skupiny pomocí místního Zásady skupiny Editor
Shrnutí
Pro ovladač CLFS (Common Log File System) bylo zavedeno nové omezení zabezpečení ověřování, které přidává do podkladových souborů souboru protokolu CLFS ověřovací kód zpráv založený na hodnotě hash (HMAC). Ověřovací kódy se vytvářejí kombinací dat souborů s kryptografickým klíčem jedinečným systémem, který je uložený v registru a je přístupný pouze správcům a systému. Ověřovací kódy umožní clfs zkontrolovat integritu souboru a zajistit tak bezpečnost dat souborů před analýzou jeho interních datových struktur. CLFS předpokládá, že tento soubor byl externě změněn, úmyslně nebo jinak, pokud se kontrola integrity nezdaří a odmítne otevřít soubor protokolu. Pokud chcete pokračovat, musí se buď vytvořit nový soubor protokolu, nebo ho správce bude muset ručně ověřit pomocí příkazu fsutil.
Období přijetí zmírnění rizik
Systém, který obdrží aktualizaci s touto verzí CLFS, bude mít v systému pravděpodobně existující soubory protokolu, které nemají ověřovací kódy. Aby se zajistilo, že se tyto soubory protokolů převedou do nového formátu, systém umístí ovladač CLFS do režimu učení, který dá CLFS pokyn, aby automaticky přidával ověřovací kódy do souborů protokolu, které je nemají. Automatické přidání ověřovacích kódů proběhne při otevření souboru protokolu a pouze v případě, že volající vlákno má požadovaný přístup k zápisu do souboru. V současné době trvá období přijetí 90 dnů od okamžiku, kdy byl systém poprvé spuštěn s touto verzí CLFS. Po uplynutí tohoto 90denního období přechodu ovladač automaticky přejde do režimu vynucování při dalším spuštění, po kterém bude CLFS očekávat, že všechny soubory protokolu budou obsahovat platné ověřovací kódy. Všimněte si, že tato 90denní hodnota se může v budoucnu změnit.
Pokud se soubor protokolu během tohoto období přijetí neotevře, a proto nebyl automaticky převeden na nový formát, lze k přidání ověřovacích kódů do souboru protokolu použít nástroj příkazového řádku fsutil clfs authentication . Tato operace vyžaduje, aby volající byl správce.
Dopad na uživatele
Toto zmírnění rizik může mít dopad na uživatele rozhraní API CLFS následujícími způsoby:
-
Vzhledem k tomu, že kryptografický klíč použitý k vytvoření ověřovacích kódů je jedinečný pro systém, protokolovací soubory se už mezi systémy nepřenosí. Pokud chcete otevřít soubor protokolu vytvořený ve vzdáleném systému, musí správce nejprve použít ověřovací nástroj fsutil clfs k ověření souboru protokolu pomocí kryptografického klíče místních systémů.
-
Vedle binárního souboru protokolování (BLF) a datových kontejnerů se bude ukládat nový soubor s příponou .cnpf. Pokud se soubor protokolu BLF nachází v umístění C:\Users\User\example.blf, měl by být soubor opravy umístěn v umístění C:\Users\User\example.blf.cnpf. Pokud soubor protokolu není čistě uzavřený, soubor opravy bude obsahovat data potřebná pro clfs k obnovení souboru protokolu. Soubor opravy se vytvoří se stejnými atributy zabezpečení jako soubor, pro který poskytuje informace o obnovení. Tento soubor bude mít maximálně stejnou velikost jako FlushThreshold (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).
-
K uložení ověřovacích kódů je potřeba další místo v souborech. Velikost místa potřebného pro ověřovací kódy závisí na velikosti souboru. V následujícím seznamu najdete odhad toho, kolik dalších dat bude pro vaše soubory protokolů potřeba:
-
Soubory kontejnerů 512 kB vyžadují pro ověřovací kódy další ~8192 bajtů.
-
Soubory kontejneru 1024 kB vyžadují pro ověřovací kódy dalších ~12288 bajtů.
-
10MB soubory kontejneru vyžadují další ~90112 bajtů pro ověřovací kódy.
-
Soubory kontejneru o 100 MB vyžadují další ~57344 bajtů pro ověřovací kódy.
-
4GB soubory kontejneru vyžadují další ~2101248 bajty pro ověřovací kódy.
-
-
Vzhledem k nárůstu počtu vstupně-výstupních operací pro údržbu ověřovacích kódů se prodloužila doba potřebná k provedení následujících operací:
-
vytvoření souboru protokolu
-
Soubor protokolu otevřený
-
zápis nových záznamů
Prodloužení doby vytvoření souboru protokolu a otevření souboru protokolu zcela závisí na velikosti kontejnerů, přičemž větší soubory protokolů mají mnohem znatelný dopad. V průměru se doba potřebná k zápisu do záznamu v souboru protokolu zdvojnásobila.
-
Konfigurace
Nastavení související s tímto zmírněním rizik jsou uložena v registru na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Následuje seznam hodnot registru klíčů a jejich účel:
-
Režim: Provozní režim zmírnění rizik
-
0: Zmírnění rizik se vynucuje. ClFS se nepodaří otevřít soubory protokolu, které mají chybějící nebo neplatné ověřovací kódy. Po 90 dnech od spuštění systému s touto verzí ovladače se clfs automaticky přepne do režimu vynucování.
-
1: Zmírnění rizik je v režimu učení. CLFS vždy otevře soubory protokolu. Pokud v souboru protokolu chybí ověřovací kódy, clfs kódy vygeneruje a zapíše do souboru (za předpokladu, že volající má přístup k zápisu).
-
2: Správce zakázal zmírnění rizik.
-
3: Systém automaticky zakázal zmírnění rizik. Správce by neměl nastavit režim na tuto hodnotu, ale měl by použít hodnotu 2, pokud chce omezení rizik zakázat.
-
-
EnforcementTransitionPeriod: Doba v sekundách, kterou systém stráví v období přijetí. Pokud je tato hodnota nulová, systém automaticky nepřejde na vynucení.
-
LearningModeStartTime: Časové razítko, ve kterém se v systému spustil režim učení. Tato hodnota v kombinaci s "EnforcementTransitionPeriod" určí, kdy má systém přejít do režimu vynucení.
-
Klíč: Kryptografický klíč používaný k vytváření ověřovacích kódů (HMAC). Správci by neměli tuto hodnotu upravovat.
Správci můžou zmírnění rizik úplně zakázat změnou hodnoty Mode na 2. Pokud chcete prodloužit dobu přijetí zmírnění rizik, může správce změnit hodnotu EnforcementTransitionPeriod (sekundy) na libovolnou hodnotu, kterou zvolíte (nebo 0 , pokud chcete zakázat automatický přechod do režimu vynucení).
Aktualizace nastavení Zásady skupiny pomocí místního Zásady skupiny Editor
Ověřování CLFS je možné povolit nebo zakázat pomocí nastavení Zásady skupiny:
-
Otevřete místní Zásady skupiny Editor ve Windows Ovládací panely.
-
V části Konfigurace počítače vyberte Šablona pro správu > Systém > Systém souborů a v seznamu Nastavení poklikejte na Povolit nebo zakázat ověřování souborů protokolu CLFS.
-
Vyberte Povolit nebo Zakázat a potom klikněte na OK. Pokud je vybraná možnost Nenakonfigurováno, omezení rizik je ve výchozím nastavení povolené.
Aktualizace nastavení Zásady skupiny/MDM pomocí Intune
Aktualizace Zásady skupiny a konfigurace ověřování CLFS pomocí Microsoft Intune:
-
Otevřete portál Intune (https://endpoint.microsoft.com) a přihlaste se pomocí svých přihlašovacích údajů.
-
Vytvoření profilu:
-
Vyberte Zařízení > Konfigurace windows >> Vytvořit > Nové zásady.
-
Vyberte Platform > Windows 10 a novější.
-
Vyberte Typ profilu > Šablony.
-
Vyhledejte a vyberte Vlastní.
-
-
Nastavte název a popis:
-
Přidejte nové nastavení OMA-URI:
-
Úprava nastavení OMA-URI:
-
Přidejte název, například ClfsAuthenticationCheck.
-
Volitelně můžete přidat popis.
-
Nastavte cestu OMA-URI na následující:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking
-
Nastavte datový typ na Řetězec.
-
Nastavte hodnotu na <povoleno/> nebo <zakázáno/>.
-
Klikněte na Save (Uložit).
-
-
Dokončete zbývající konfiguraci značek oboru a přiřazení a pak vyberte Vytvořit.
Změny rozhraní CLFS API
Aby nedošlo k zásadním změnám rozhraní API CLFS, používají se k hlášení chyb kontroly integrity volajícímu existující kódy chyb:
-
Pokud CreateLogFile selže, funkce GetLastError vrátí kód chyby ERROR_LOG_METADATA_CORRUPT .
-
V případě souboru ClfsCreateLogFile se stav STATUS_LOG_METADATA_CORRUPT vrátí, když se clfs nepodaří ověřit integritu souboru protokolu.
Nejčastější dotazy
Do souborů protokolů CLFS byly přidány ověřovací kódy (HHMAC), které ovladači CLFS umožňují detekovat (škodlivé) změny provedené v souborech před jejich analýzou. Když se zmírnění rizik přepne do režimu vynucování (90 dní po přijetí této aktualizace), clfs očekává, že budou k dispozici ověřovací kódy, které budou platné pro úspěšné otevření souboru protokolu.
Během prvních 90 dnů, kdy je tato verze ovladače CLFS aktivní, bude ovladač automaticky přidávat ověřovací kódy do souborů protokolů při otevření souborem CreateLogFile nebo ClfsCreateLogFile.
Po uplynutí této 90denní doby přijetí bude potřeba k přidání ověřovacích kódů do starých nebo existujících souborů protokolů použít ověřovací nástroj fsutil clfs . Tento nástroj vyžaduje, aby volající byl správce.
Vzhledem k tomu, že se ověřovací kódy vytvářejí pomocí kryptografického klíče jedinečného systému, nebudete moct otevřít soubory protokolu vytvořené v jiném systému. K opravě ověřovacích kódů pomocí kryptografického klíče místního systému může správce použít ověřovací nástroj fsutil clfs . Tento nástroj vyžaduje, aby volající byl ve skupině Administrators.
I když to nedoporučujeme, správce může toto zmírnění zakázat úpravou HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Mode] na hodnotu 2.
K tomu použijte PowerShell a spusťte následující příkaz:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2
Glosář
Posílení zabezpečení je proces, který pomáhá chránit před neoprávněným přístupem, odepřením služby a dalšími hrozbami tím, že omezuje potenciální slabiny, které činí systémy zranitelnými.
Atributy zabezpečení se používají k ukládání informací a vynucování jemně odstupňovaného řízení přístupu u konkrétních prostředků.
