Gilt für
Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: Dienstag, 28. Oktober 2025

KB-ID: 5056852

Diese Entschärfung der Härtung der Authentifizierung ist in den folgenden Windows-Versionen verfügbar:

  • updates Windows 11, Version 25H2 und Windows Server 2025 veröffentlicht am oder nach dem 28. Oktober 2025

Datum ändern

Beschreibung ändern

Dienstag, 24. Februar 2026

Der folgende Aufzählungspunkt wurde im Abschnitt "Benutzerbeeinträchtigung" hinzugefügt.

  • Da die Protokolldateiauthentifizierung zum Zeitpunkt des Öffnens der Protokolldatei durchgeführt wird, muss CLFS die gesamte Protokolldatei vom Datenträger lesen, um Authentifizierungscodes zu überprüfen, bevor interne Strukturen analysiert werden. Daher verursachen Vorgänge zum Öffnen von Protokolldateien zusätzliche Lese-E/A-Vorgänge, die proportional zur Größe der Protokolldatei sind.

    • Ein Beispiel für dieses Verhalten kann während der Benutzeranmeldung und beim Herunterfahren des Systems beobachtet werden. Die Registrierung verwaltet eine CLFS-gesicherte Protokolldatei für die Benutzerstruktur (NTUSER.dat), die während dieser Übergänge geöffnet wird. Wenn die Protokolldatei geöffnet wird, erfordert die Authentifizierung ein vollständiges Lesen der Protokolldatei, was zu einer Zunahme der Datenträger-E/A während der Anmeldung und des Herunterfahrens führt.

Inhalt

Zusammenfassung

Einführungszeitraum für Entschärfung

Auswirkungen auf Benutzer

Konfiguration

Aktualisieren Gruppenrichtlinie Einstellung mit dem Editor für lokale Gruppenrichtlinie

Aktualisieren der Gruppenrichtlinie/MDM-Einstellung mithilfe von Intune

Änderungen an der CLFS-API

Häufig gestellte Fragen (FAQ)

Glossar

Zusammenfassung

Für den CLFS-Treiber (Common Log File System) wurde eine neue Entschärfung der Authentifizierungshärtung eingeführt, die den zugrunde liegenden Dateien einer CLFS-Protokolldatei einen hashbasierten Nachrichtenauthentifizierungscode (HMAC) hinzufügt. Authentifizierungscodes werden erstellt, indem Dateidaten mit einem systemspezifischen kryptografischen Schlüssel kombiniert werden, der in der Registrierung gespeichert ist und nur für Administratoren und SYSTEM zugänglich ist. Die Authentifizierungscodes ermöglichen es CLFS, die Integrität der Datei zu überprüfen, um sicherzustellen, dass Dateidaten sicher sind, bevor ihre internen Datenstrukturen analysiert werden. CLFS geht davon aus, dass diese Datei extern geändert wurde, böswillig oder anderweitig, wenn die Integritätsprüfung fehlschlägt und das Öffnen der Protokolldatei verweigert. Um fortzufahren, muss entweder eine neue Protokolldatei erstellt werden, oder ein Administrator muss sie manuell mit dem Befehl fsutil authentifizieren.

Einführungszeitraum für Entschärfung

Ein System, das ein Update mit dieser Version von CLFS empfängt, verfügt wahrscheinlich über protokolldateien auf dem System, die keine Authentifizierungscodes aufweisen. Um sicherzustellen, dass diese Protokolldateien in das neue Format übergehen, versetzt das System den CLFS-Treiber in einen "Lernmodus", der CLFS anweist, automatisch Authentifizierungscodes zu Protokolldateien hinzuzufügen, die nicht über diese verfügen. Das automatische Hinzufügen von Authentifizierungscodes erfolgt beim Öffnen der Protokolldatei und nur, wenn der aufrufende Thread über den erforderlichen Zugriff zum Schreiben in die Datei verfügt. Derzeit dauert der Einführungszeitraum 90 Tage, beginnend mit dem Zeitpunkt, zu dem das System zum ersten Mal mit dieser Version von CLFS gestartet wurde. Nach Ablauf dieses 90-tägigen Einführungszeitraums wechselt der Fahrer beim nächsten Start automatisch in den Erzwingungsmodus. Danach erwartet CLFS, dass alle Protokolldateien gültige Authentifizierungscodes enthalten. Beachten Sie, dass sich dieser 90-Tage-Wert in Zukunft ändern kann.

Wenn eine Protokolldatei während dieses Einführungszeitraums nicht geöffnet wird und daher nicht automatisch auf das neue Format umgestellt wurde, kann das Befehlszeilenprogramm fsutil clfs authenticate verwendet werden, um der Protokolldatei Authentifizierungscodes hinzuzufügen. Für diesen Vorgang muss der Aufrufer administrator sein.

Auswirkungen auf Benutzer

Diese Entschärfung kann sich auf folgende Weise auf Consumer der CLFS-API auswirken:

  • Da die Protokolldateiauthentifizierung zum Zeitpunkt des Öffnens der Protokolldatei durchgeführt wird, muss CLFS die gesamte Protokolldatei vom Datenträger lesen, um Authentifizierungscodes zu überprüfen, bevor interne Strukturen analysiert werden. Daher verursachen Vorgänge zum Öffnen von Protokolldateien zusätzliche Lese-E/A-Vorgänge, die proportional zur Größe der Protokolldatei sind.

    • Ein Beispiel für dieses Verhalten kann während der Benutzeranmeldung und beim Herunterfahren des Systems beobachtet werden. Die Registrierung verwaltet eine CLFS-gesicherte Protokolldatei für die Benutzerstruktur (NTUSER.dat), die während dieser Übergänge geöffnet wird. Wenn die Protokolldatei geöffnet wird, erfordert die Authentifizierung ein vollständiges Lesen der Protokolldatei, was zu einer Zunahme der Datenträger-E/A während der Anmeldung und des Herunterfahrens führt.

  • Da der kryptografische Schlüssel, der zum Erstellen der Authentifizierungscodes verwendet wird, systemspezifisch ist, sind Protokolldateien nicht mehr zwischen Systemen portierbar. Um eine Protokolldatei zu öffnen, die auf einem Remotesystem erstellt wurde, muss ein Administrator zuerst das Hilfsprogramm fsutil clfs authenticate verwenden, um die Protokolldatei mithilfe des kryptografischen Schlüssels des lokalen Systems zu authentifizieren.

  • Eine neue Datei mit der Erweiterung ".cnpf" wird zusammen mit der Binären Protokollierungsdatei (Binary Logging File, BLF) und den Datencontainern gespeichert. Wenn sich die BLF für eine Protokolldatei unter "C:\Users\User\example.blf" befindet, sollte sich die "Patchdatei" unter "C:\Users\User\example.blf.cnpf" befinden. Wenn eine Protokolldatei nicht sauber geschlossen wird, enthält die Patchdatei Daten, die für clfs zum Wiederherstellen der Protokolldatei erforderlich sind. Die Patchdatei wird mit den gleichen Sicherheitsattributen wie die Datei erstellt, für die sie Wiederherstellungsinformationen bereitstellt. Diese Datei hat höchstens die gleiche Größe wie "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Zum Speichern von Authentifizierungscodes ist zusätzlicher Speicherplatz erforderlich. Wie viel Speicherplatz für Authentifizierungscodes benötigt wird, hängt von der Größe der Datei ab. In der folgenden Liste finden Sie eine Schätzung darüber, wie viele zusätzliche Daten für Ihre Protokolldateien benötigt werden:

    • 512 KB-Containerdateien erfordern zusätzliche ~8192 Bytes für Authentifizierungscodes.

    • 1024 KB-Containerdateien erfordern zusätzliche ~12288 Bytes für Authentifizierungscodes.

    • 10 MB Containerdateien erfordern zusätzliche ~90112 Bytes für Authentifizierungscodes.

    • 100 MB Containerdateien erfordern zusätzliche ~57344 Bytes für Authentifizierungscodes.

    • 4 GB Containerdateien erfordern zusätzliche ~2101248 Bytes für Authentifizierungscodes.

  • Aufgrund der Zunahme der E/A-Vorgänge für die Verwaltung von Authentifizierungscodes hat sich die Zeit, die zum Ausführen der folgenden Vorgänge benötigt wird, erhöht:

    Die Erhöhung der Zeit für die Erstellung von Protokolldateien und das Öffnen der Protokolldatei hängt vollständig von der Größe der Container ab, wobei größere Protokolldateien eine deutlich spürbarere Auswirkung haben. Im Durchschnitt hat sich die Zeit, die zum Schreiben in einen Datensatz in einer Protokolldatei benötigt wird, verdoppelt.

    • Logfile-Erstellung

    • Protokolldatei geöffnet

    • Schreiben neuer Datensätze

Konfiguration

Die Einstellungen im Zusammenhang mit dieser Entschärfung werden in der Registrierung unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication gespeichert. Im Folgenden sind die Schlüsselregistrierungswerte und deren Zweck aufgeführt:

  • Modus: Der Betriebsmodus der Entschärfung

    • 0: Die Entschärfung wird erzwungen. CLFS kann keine Protokolldateien öffnen, die fehlende oder ungültige Authentifizierungscodes enthalten. Nach 90 Tagen der Ausführung des Systems mit dieser Version des Treibers wechselt CLFS automatisch in den Erzwingungsmodus.

    • 1: Die Entschärfung befindet sich im Lernmodus. CLFS öffnet protokolldateien immer. Wenn in einer Protokolldatei Authentifizierungscodes fehlen, generiert und schreibt CLFS die Codes in die Datei (vorausgesetzt, der Aufrufer hat Schreibzugriff).

    • 2: Ein Administrator hat die Entschärfung deaktiviert.

    • 3: Die Entschärfung wurde automatisch vom System deaktiviert. Ein Administrator sollte den Modus nicht auf diesen Wert festlegen, sondern "2" verwenden, wenn er die Entschärfung deaktivieren möchte.

  • EnforcementTransitionPeriod: Die Zeitspanne in Sekunden, die das System im Einführungszeitraum aufwendet. Wenn dieser Wert 0 (null) ist, geht das System nicht automatisch in die Erzwingung über.

  • LearningModeStartTime: Der Zeitstempel, bei dem der Lernmodus auf dem System gestartet wurde. Dieser Wert in Kombination mit "EnforcementTransitionPeriod" bestimmt, wann ein System in den Erzwingungsmodus wechseln soll.

  • Schlüssel: Der kryptografische Schlüssel, der zum Erstellen von Authentifizierungscodes (HMACs) verwendet wird. Administratoren sollten diesen Wert nicht ändern.

Administratoren können die Entschärfung vollständig deaktivieren, indem sie den Moduswert in 2 ändern. Um den Einführungszeitraum für die Risikominderung zu verlängern, kann ein Administrator enforcementTransitionPeriod (Sekunden) in einen beliebigen Wert ändern (oder 0 , wenn Sie den automatischen Übergang in den Erzwingungsmodus deaktivieren möchten).

Aktualisieren Gruppenrichtlinie Einstellung mit dem Editor für lokale Gruppenrichtlinie

Die CLFS-Authentifizierung kann mithilfe der Gruppenrichtlinie-Einstellung aktiviert oder deaktiviert werden:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinie in Windows Systemsteuerung.Richtlinie für lokale Computer

  2. Wählen Sie unter Computerkonfigurationdie Option Administrative Vorlage > System > Dateisystem aus, und doppelklicken Sie in der Liste Einstellung auf CLFS-Protokolldateiauthentifizierung aktivieren/deaktivieren.Deaktivieren der CLFS-Protokolldateiauthentifizierung aktivieren

  3. Wählen Sie Aktivieren oder Deaktivieren aus, und klicken Sie dann auf OK. Wenn Nicht konfiguriert ausgewählt ist, ist die Entschärfung standardmäßig aktiviert.Wählen Sie Aktivieren oder Deaktivieren aus.

Aktualisieren der Gruppenrichtlinie/MDM-Einstellung mithilfe von Intune

So aktualisieren Sie Gruppenrichtlinie und konfigurieren die CLFS-Authentifizierung mithilfe von Microsoft Intune

  1. Öffnen Sie das Intune-Portal (https://endpoint.microsoft.com), und melden Sie sich mit Ihren Anmeldeinformationen an.

  2. Erstellen Sie ein Profil: 

    1. Wählen Sie Geräte > Windows >-Konfiguration aus,>Neue Richtlinie erstellen >.

    2. Wählen Sie Plattform > Windows 10 und höher aus.

    3. Wählen Sie Profiltyp > Vorlagen aus.

    4. Suchen Sie nach Benutzerdefiniert, und wählen Sie diese Option aus.Windows-Konfiguration

  3. Legen Sie einen Namen und eine Beschreibung fest:Festlegen eines Namens und einer Beschreibung

  4. Fügen Sie eine neue OMA-URI-Einstellung hinzu:Hinzufügen einer neuen OMA-URI-Einstellung

  5. Bearbeiten der OMA-URI-Einstellung: 

    1. Fügen Sie einen Namen wie ClfsAuthenticationCheck hinzu.

    2. Fügen Sie optional eine Beschreibung hinzu.

    3. Legen Sie den OMA-URI-Pfad wie folgt fest:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Legen Sie den Datentyp auf String fest.

    5. Legen Sie den Wert auf <aktiviert/> oder <deaktiviert/>fest.

    6. Klicken Sie auf Speichern.Wert festlegen und Speichern

  6. Schließen Sie die verbleibende Konfiguration von Bereichstags und Zuweisungen ab, und wählen Sie dann Erstellen aus. ​​​​​​​

Änderungen an der CLFS-API

Um Breaking Changes an der CLFS-API zu vermeiden, werden vorhandene Fehlercodes verwendet, um Integritätsprüfungsfehler an den Aufrufer zu melden:

  • Wenn CreateLogFile fehlschlägt, gibt GetLastError den ERROR_LOG_METADATA_CORRUPT Fehlercode zurück.

  • Für ClfsCreateLogFile wird die STATUS_LOG_METADATA_CORRUPT status zurückgegeben, wenn CLFS die Integrität der Protokolldatei nicht überprüfen kann.

Häufig gestellte Fragen (FAQ)

Authentifizierungscodes (HMACs) wurden zu CLFS-Protokolldateien hinzugefügt, die dem CLFS-Treiber die Möglichkeit geben, (böswillige) Änderungen an den Dateien zu erkennen, bevor sie analysiert werden. Wenn die Entschärfung in den Erzwingungsmodus wechselt (90 Tage nach Erhalt dieses Updates), erwartet CLFS, dass Authentifizierungscodes vorhanden und gültig sind, um die Protokolldatei erfolgreich zu öffnen.

In den ersten 90 Tagen, in denen diese Version des CLFS-Treibers aktiv ist, fügt der Treiber automatisch Authentifizierungscodes zu Protokolldateien hinzu, wenn er mit CreateLogFile oder ClfsCreateLogFile geöffnet wird.

Nach Ablauf dieses Einführungszeitraums von 90 Tagen muss das fsutil clfs authentication-Tool verwendet werden, um alte oder vorhandene Protokolldateien Authentifizierungscodes hinzuzufügen. Dieses Tool erfordert, dass der Aufrufer ein Administrator ist.

Da die Authentifizierungscodes mithilfe eines systemspezifischen kryptografischen Schlüssels erstellt werden, können Sie keine Protokolldateien öffnen, die auf einem anderen System erstellt wurden. Um die Authentifizierungscodes mithilfe des kryptografischen Schlüssels des lokalen Systems zu korrigieren, kann ein Administrator das fsutil clfs authenticate-Tool verwenden. Für dieses Tool muss sich der Aufrufer in der Gruppe Administratoren befinden.

Obwohl wir dies nicht empfehlen, kann ein Administrator diese Entschärfung deaktivieren, indem erHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Modus] auf den Wert 2 ändert.

Verwenden Sie hierzu PowerShell, und führen Sie den folgenden Befehl aus:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glossar

Die Härtung ist ein Prozess, der vor nicht autorisiertem Zugriff, Denial-of-Service und anderen Bedrohungen schützt, indem potenzielle Schwachstellen begrenzt werden, die Systeme anfällig machen.

Sicherheitsattribute werden verwendet, um Informationen zu speichern und eine differenzierte Zugriffssteuerung für bestimmte Ressourcen zu erzwingen.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.