Ισχύει για
Windows 11 version 25H2, all editions Windows Server 2025

Αρχική ημερομηνία δημοσίευσης: 28 Οκτωβρίου 2025

KB ID: 5056852

Αυτός ο μετριασμός του ελέγχου ταυτότητας θωλάκισης είναι διαθέσιμος στις ακόλουθες εκδόσεις των Windows:

  • ενημερώσεις Windows 11, έκδοση 25H2 και Windows Server 2025 που κυκλοφόρησαν στις ή μετά τις 28 Οκτωβρίου 2025

Σε αυτό το άρθρο 

Σύνοψη

Περίοδος υιοθέτησης μετριασμού

Αντίκτυπος στους χρήστες

Διαμόρφωση

Ενημέρωση της ρύθμισης Πολιτική ομάδας με χρήση της τοπικής Πολιτική ομάδας Πρόγραμμα επεξεργασίας

Ενημέρωση της ρύθμισης Πολιτική ομάδας/MDM με χρήση του Intune

Αλλαγές στο API CLFS

Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)

Γλωσσάριο

Σύνοψη

Ένας νέος μετριασμός του ελέγχου ταυτότητας θωάνωσης έχει εισαχθεί για το πρόγραμμα οδήγησης του Common Log File System (CLFS), ο οποίος προσθέτει έναν κώδικα ελέγχου ταυτότητας μηνυμάτων που βασίζεται σε κατακερματισμού (HMAC) στα υποκείμενα αρχεία ενός αρχείου καταγραφής CLFS. Οι κωδικοί ελέγχου ταυτότητας δημιουργούνται συνδυάζοντας δεδομένα αρχείων με ένα μοναδικό κλειδί κρυπτογράφησης του συστήματος, το οποίο αποθηκεύεται στο μητρώο και είναι προσβάσιμο μόνο σε διαχειριστές και SYSTEM. Οι κωδικοί ελέγχου ταυτότητας θα επιτρέπουν στο CLFS να ελέγχει την ακεραιότητα του αρχείου, εξασφαλίζοντας ότι τα δεδομένα του αρχείου είναι ασφαλή πριν από την ανάλυση των εσωτερικών δομών δεδομένων του. Το CLFS υποθέτει ότι αυτό το αρχείο τροποποιήθηκε εξωτερικά, κακόβουλα ή με άλλο τρόπο, εάν ο έλεγχος ακεραιότητας αποτύχει και θα αρνηθεί να ανοίξει το αρχείο καταγραφής. Για να συνεχίσετε, πρέπει να δημιουργηθεί ένα νέο αρχείο καταγραφής ή ένας διαχειριστής θα πρέπει να κάνει μη αυτόματο έλεγχο ταυτότητας χρησιμοποιώντας την εντολή fsutil.

Περίοδος υιοθέτησης μετριασμού

Ένα σύστημα που λαμβάνει μια ενημέρωση με αυτή την έκδοση του CLFS πιθανότατα θα έχει υπάρχοντα αρχεία καταγραφής στο σύστημα που δεν έχουν κωδικούς ελέγχου ταυτότητας. Για να διασφαλιστεί η μετάβαση αυτών των αρχείων καταγραφής στη νέα μορφή, το σύστημα θα τοποθετήσει το πρόγραμμα οδήγησης CLFS σε μια "λειτουργία εκμάθησης" που θα δώσει εντολή στο CLFS να προσθέτει αυτόματα κωδικούς ελέγχου ταυτότητας σε αρχεία καταγραφής που δεν τα έχουν. Η αυτόματη προσθήκη κωδικών ελέγχου ταυτότητας θα πραγματοποιηθεί στο logfile open και μόνο εάν το νήμα κλήσης έχει την απαιτούμενη πρόσβαση για εγγραφή στο αρχείο. Επί του παρόντος, η περίοδος υιοθέτησης διαρκεί 90 ημέρες, ξεκινώντας από τη στιγμή κατά την οποία το σύστημα ξεκίνησε για πρώτη φορά με αυτή την έκδοση του CLFS. Μετά τη λήξη αυτής της περιόδου υιοθέτησης 90 ημερών, το πρόγραμμα οδήγησης θα μεταβεί αυτόματα σε λειτουργία επιβολής κατά την επόμενη έναρξή του, μετά την οποία το CLFS θα αναμένει ότι όλα τα αρχεία καταγραφής θα περιέχουν έγκυρους κωδικούς ελέγχου ταυτότητας. Σημειώστε ότι αυτή η τιμή των 90 ημερών ενδέχεται να αλλάξει στο μέλλον.

Εάν ένα αρχείο καταγραφής δεν ανοίξει κατά τη διάρκεια αυτής της περιόδου υιοθέτησης και επομένως δεν μεταπηδηθεί αυτόματα στη νέα μορφή, το βοηθητικό πρόγραμμα γραμμής ελέγχου ταυτότητας fsutil clfs μπορεί να χρησιμοποιηθεί για την προσθήκη κωδικών ελέγχου ταυτότητας στο αρχείο καταγραφής. Αυτή η λειτουργία απαιτεί ο καλών να είναι διαχειριστής.

Αντίκτυπος στους χρήστες

Αυτός ο μετριασμός μπορεί να επηρεάσει τους καταναλωτές του API CLFS με τους εξής τρόπους:

  • Επειδή το κρυπτογραφικό κλειδί που χρησιμοποιείται για τη δημιουργία των κωδικών ελέγχου ταυτότητας είναι μοναδικό στο σύστημα, τα αρχεία καταγραφής δεν είναι πλέον φορητά μεταξύ των συστημάτων. Για να ανοίξει ένα αρχείο καταγραφής που δημιουργήθηκε σε ένα απομακρυσμένο σύστημα, ο διαχειριστής πρέπει πρώτα να χρησιμοποιήσει το βοηθητικό πρόγραμμα ελέγχου ταυτότητας fsutil clfs για τον έλεγχο ταυτότητας του αρχείου καταγραφής χρησιμοποιώντας το κλειδί κρυπτογράφησης των τοπικών συστημάτων.

  • Ένα νέο αρχείο, με την επέκταση ".cnpf" θα αποθηκευτεί μαζί με το αρχείο δυαδικής καταγραφής (BLF) και τα κοντέινερ δεδομένων. Εάν το αρχείο καταγραφής BLF για ένα αρχείο καταγραφής βρίσκεται στη θέση "C:\Users\User\example.blf", το "αρχείο ενημέρωσης κώδικα" θα πρέπει να βρίσκεται στο "C:\Users\User\example.blf.cnpf". Εάν ένα αρχείο καταγραφής δεν κλείσει καθαρά, το αρχείο ενημέρωσης κώδικα θα περιέχει τα δεδομένα που απαιτούνται για το CLFS για την ανάκτηση του αρχείου καταγραφής. Το αρχείο της ενημερωμένης έκδοσης κώδικα θα δημιουργηθεί με τα ίδια χαρακτηριστικά ασφαλείας με το αρχείο για το οποίο παρέχει πληροφορίες ανάκτησης. Αυτό το αρχείο το πολύ θα έχει το ίδιο μέγεθος με το "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Για την αποθήκευση κωδικών ελέγχου ταυτότητας απαιτείται πρόσθετος χώρος αρχείων. Το μέγεθος του χώρου που απαιτείται για τους κωδικούς ελέγχου ταυτότητας εξαρτάται από το μέγεθος του αρχείου. Ανατρέξτε στην παρακάτω λίστα για μια εκτίμηση σχετικά με το πόσα πρόσθετα δεδομένα θα απαιτούνται για τα αρχεία καταγραφής σας:

    • Τα αρχεία κοντέινερ 512KB απαιτούν επιπλέον ~8192 byte για κωδικούς ελέγχου ταυτότητας.

    • Τα αρχεία κοντέινερ 1024KB απαιτούν επιπλέον ~12288 byte για κωδικούς ελέγχου ταυτότητας.

    • Τα αρχεία κοντέινερ 10 MB απαιτούν επιπλέον ~90112 byte για κωδικούς ελέγχου ταυτότητας.

    • Τα αρχεία κοντέινερ 100 MB απαιτούν επιπλέον ~57344 byte για κωδικούς ελέγχου ταυτότητας.

    • Τα αρχεία κοντέινερ 4 GB απαιτούν επιπλέον ~2101248 byte για κωδικούς ελέγχου ταυτότητας.

  • Λόγω της αύξησης των λειτουργιών εισόδου/εισόδου για τη διατήρηση κωδικών ελέγχου ταυτότητας, ο χρόνος που απαιτείται για την εκτέλεση των ακόλουθων λειτουργιών έχει αυξηθεί:

    • δημιουργία αρχείου καταγραφής

    • άνοιγμα αρχείου καταγραφής

    • σύνταξη νέων εγγραφών

    Η αύξηση του χρόνου για δημιουργία αρχείου καταγραφής και άνοιγμα αρχείου καταγραφής εξαρτάται εξ ολοκλήρου από το μέγεθος των κοντέινερ, με μεγαλύτερα αρχεία καταγραφής να έχουν πολύ πιο αισθητή επίδραση. Κατά μέσο όρο, ο χρόνος που απαιτείται για την εγγραφή σε μια εγγραφή σε ένα αρχείο καταγραφής έχει διπλασιαστεί.

Διαμόρφωση

Οι ρυθμίσεις που σχετίζονται με αυτόν τον μετριασμό αποθηκεύονται στο μητρώο στο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Ακολουθεί μια λίστα με τις βασικές τιμές μητρώου και το σκοπό τους:

  • Λειτουργία: Η λειτουργία της μετριασμού

    • 0: Η μετριασμός επιβάλλεται. Το CLFS θα αποτύχει να ανοίξει αρχεία καταγραφής που έχουν κωδικούς ελέγχου ταυτότητας που λείπουν ή δεν είναι έγκυροι. Μετά από 90 ημέρες εκτέλεσης του συστήματος με αυτή την έκδοση του προγράμματος οδήγησης, το CLFS θα μεταβεί αυτόματα σε λειτουργία επιβολής.

    • 1: Ο μετριασμός είναι σε λειτουργία εκμάθησης. Το CLFS θα ανοίγει πάντα αρχεία καταγραφής. Εάν λείπουν κωδικοί ελέγχου ταυτότητας από ένα αρχείο καταγραφής, τότε το CLFS θα δημιουργήσει και θα εγγράψει τους κωδικούς στο αρχείο (με την προϋπόθεση ότι ο καλών έχει πρόσβαση εγγραφής).

    • 2: Ένας διαχειριστής απενεργοποίησε τον μετριασμό.

    • 3: Ο μετριασμός απενεργοποιήθηκε αυτόματα από το σύστημα. Ένας διαχειριστής δεν πρέπει να ορίσει την κατάσταση λειτουργίας σε αυτήν την τιμή, αλλά θα πρέπει να χρησιμοποιήσει το "2" εάν επιθυμεί να απενεργοποιήσει τη μετριασμό.

  • EnforcementTransitionPeriod: Το χρονικό διάστημα, σε δευτερόλεπτα, που θα αφιερώσει το σύστημα στην περίοδο υιοθέτησης. Εάν αυτή η τιμή είναι μηδέν, τότε το σύστημα δεν θα μεταβεί αυτόματα σε επιβολή.

  • LearningModeStartTime: Η χρονική σήμανση στην οποία ξεκίνησε η λειτουργία εκμάθησης στο σύστημα. Αυτή η τιμή, σε συνδυασμό με την τιμή "EnforcementTransitionPeriod" θα καθορίσει πότε ένα σύστημα θα πρέπει να μεταβεί σε λειτουργία επιβολής.

  • Κλειδί:Το κλειδί κρυπτογράφησης που χρησιμοποιείται για τη δημιουργία κωδικών ελέγχου ταυτότητας (HMACs). Οι διαχειριστές δεν πρέπει να τροποποιούν αυτήν την τιμή.

Οι διαχειριστές μπορούν να απενεργοποιήσουν εντελώς τη μετριασμό, αλλάζοντας την τιμή λειτουργίας σε 2. Για να παρατείνει την περίοδο υιοθέτησης μετριασμού, ένας διαχειριστής μπορεί να αλλάξει το EnforcementTransitionPeriod (δευτερόλεπτα) σε οποιαδήποτε τιμή επιλέξετε (ή 0 εάν θέλετε να απενεργοποιήσετε την αυτόματη μετάβαση σε λειτουργία επιβολής).

Ενημέρωση της ρύθμισης Πολιτική ομάδας με χρήση της τοπικής Πολιτική ομάδας Πρόγραμμα επεξεργασίας

Ο έλεγχος ταυτότητας CLFS μπορεί να ενεργοποιηθεί ή να απενεργοποιηθεί χρησιμοποιώντας τη ρύθμιση Πολιτική ομάδας:

  1. Ανοίξτε την Τοπική Πολιτική ομάδας Πρόγραμμα επεξεργασίας στα Windows Πίνακας Ελέγχου.Πολιτική τοπικού υπολογιστή

  2. Στην περιοχή Ρυθμίσεις παραμέτρων υπολογιστή, επιλέξτε Πρότυπο διαχείρισης > Σύστημα > Σύστημα Και στη λίστα Ρύθμιση , κάντε διπλό κλικ στην επιλογή Ενεργοποίηση / απενεργοποίηση ελέγχου ταυτότητας αρχείου καταγραφής CLFS.Ενεργοποίηση απενεργοποίησης ελέγχου ταυτότητας αρχείου καταγραφής CLFS

  3. Επιλέξτε Ενεργοποίηση ή Απενεργοποίηση και, στη συνέχεια, κάντε κλικ στο κουμπί OK. Εάν είναι επιλεγμένο το στοιχείο Δεν έχει ρυθμιστεί, ο μετριασμός είναι ενεργοποιημένος από προεπιλογή.Επιλέξτε "Ενεργοποίηση" ή "Απενεργοποίηση"

Ενημέρωση της ρύθμισης Πολιτική ομάδας/MDM με χρήση του Intune

Για να ενημερώσετε Πολιτική ομάδας και να ρυθμίσετε τις παραμέτρους του ελέγχου ταυτότητας CLFS χρησιμοποιώντας το Microsoft Intune:

  1. Ανοίξτε την πύλη Intune (https://endpoint.microsoft.com) και συνδεθείτε με τα διαπιστευτήριά σας.

  2. Δημιουργία προφίλ: 

    1. Επιλέξτε Συσκευές > Ρύθμιση παραμέτρων windows >> Δημιουργία >νέα πολιτική.

    2. Επιλέξτε Πλατφόρμα > Windows 10 και νεότερες εκδόσεις.

    3. Επιλέξτε Τύπος προφίλ > Πρότυπα.

    4. Αναζητήστε και επιλέξτε Προσαρμογή.Ρύθμιση παραμέτρων των Windows

  3. Ορισμός ονόματος και περιγραφής:Ορισμός ονόματος και περιγραφής

  4. Προσθήκη νέας ρύθμισης OMA-URI:Προσθήκη νέας ρύθμισης OMA-URI

  5. Επεξεργασία ρύθμισης OMA-URI: 

    1. Προσθέστε ένα όνομα, όπως ClfsAuthenticationCheck.

    2. Προαιρετικά, προσθέστε μια περιγραφή.

    3. Ορισμός της διαδρομής OMA-URI στην ακόλουθη:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Ορίστε τον τύπο δεδομένων σε Συμβολοσειρά.

    5. Ορίστε την τιμή σε <ενεργοποιημένη/> ή <απενεργοποιημένη/>.

    6. Κάντε κλικ στην επιλογή Αποθήκευση.Ορισμός τιμής και Αποθήκευση

  6. Ολοκληρώστε τις υπόλοιπες ρυθμίσεις παραμέτρων για τις ετικέτες και τις αναθέσεις εύρους και, στη συνέχεια, επιλέξτε Δημιουργία. ​​​​​​​

Αλλαγές στο API CLFS

Για να αποφύγετε τις αλλαγές στο CLFS API, οι υπάρχοντες κωδικοί σφάλματος χρησιμοποιούνται για την αναφορά αποτυχιών ελέγχου ακεραιότητας στον καλούντα:

  • Εάν το CreateLogFile αποτύχει, τότε το GetLastError θα επιστρέψει τον κωδικό σφάλματος ERROR_LOG_METADATA_CORRUPT .

  • Στο ClfsCreateLogFile, η κατάσταση STATUS_LOG_METADATA_CORRUPT επιστρέφεται όταν το CLFS αποτυγχάνει να επαληθεύσει την ακεραιότητα του αρχείου καταγραφής.

Συνήθεις ερωτήσεις (Συνήθεις ερωτήσεις)

Οι κωδικοί ελέγχου ταυτότητας (HMACs) έχουν προστεθεί στα αρχεία καταγραφής CLFS που δίνουν στο πρόγραμμα οδήγησης CLFS τη δυνατότητα εντοπισμού (κακόβουλων) τροποποιήσεων που έγιναν στα αρχεία πριν από την ανάλυση τους. Όταν ο μετριασμός μεταβεί σε λειτουργία επιβολής (90 ημέρες μετά τη λήψη αυτής της ενημέρωσης), το CLFS αναμένει ότι οι κωδικοί ελέγχου ταυτότητας θα είναι παρόντες και έγκυροι για να ανοίξουν με επιτυχία το αρχείο καταγραφής.

Για τις πρώτες 90 ημέρες που είναι ενεργή αυτή η έκδοση του προγράμματος οδήγησης CLFS, το πρόγραμμα οδήγησης θα προσθέσει αυτόματα κωδικούς ελέγχου ταυτότητας σε αρχεία καταγραφής κατά το άνοιγμα από το CreateLogFile ή το ClfsCreateLogFile.

Μετά τη λήξη αυτής της περιόδου υιοθέτησης 90 ημερών, το εργαλείο ελέγχου ταυτότητας fsutil clfs θα πρέπει να χρησιμοποιηθεί για την προσθήκη κωδικών ελέγχου ταυτότητας σε παλιά ή υπάρχοντα αρχεία καταγραφής. Αυτό το εργαλείο απαιτεί ο καλών να είναι διαχειριστής.

Δεδομένου ότι οι κωδικοί ελέγχου ταυτότητας δημιουργούνται με τη χρήση ενός μοναδικού κλειδιού κρυπτογράφησης του συστήματος, δεν θα μπορείτε να ανοίξετε αρχεία καταγραφής που δημιουργήθηκαν σε άλλο σύστημα. Για να διορθώσει τους κωδικούς ελέγχου ταυτότητας χρησιμοποιώντας το κλειδί κρυπτογράφησης του τοπικού συστήματος, ένας διαχειριστής μπορεί να χρησιμοποιήσει το εργαλείο ελέγχου ταυτότητας fsutil clfs . Αυτό το εργαλείο απαιτεί ο καλών να είναι στην ομάδα Διαχειριστών.

Παρόλο που δεν το συνιστούμε, ένας διαχειριστής μπορεί να απενεργοποιήσει αυτόν τον μετριασμό τροποποιώντας HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [λειτουργία] να είναι τιμή 2.

Για να το κάνετε αυτό, χρησιμοποιήστε το PowerShell και εκτελέστε την ακόλουθη εντολή:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Γλωσσάριο

Η θωάννωση είναι μια διαδικασία που συμβάλλει στην προστασία από μη εξουσιοδοτημένη πρόσβαση, άρνηση υπηρεσίας και άλλες απειλές, περιορίζοντας πιθανές αδυναμίες που καθιστούν τα συστήματα ευάλωτα.

Τα χαρακτηριστικά ασφαλείας χρησιμοποιούνται για την αποθήκευση πληροφοριών και την επιβολή λεπτομερή ελέγχου πρόσβασης σε συγκεκριμένους πόρους.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας