Rakenduskoht
Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2025

Avaldamise algne kuupäev: 28. oktoober 2025

KB ID: 5056852

See tugevdav autentimise leevendus on saadaval järgmistes Windowsi väljaannetes:

  • Windows 11 versiooni 25H2 ja Windows Server 2025 värskendused, mis on välja antud 28. oktoobril 2025 või hiljem

Muuda kuupäeva

Muuda kirjeldust

24. veebruar 2026

Lisati jaotisesse "Kasutaja mõju" järgmine täpploend.

  • Kuna logifaili autentimine toimub logfile'i avamise ajal, peab CLFS enne sisemiste struktuuride sõelumist autentimiskoodide valideerimiseks lugema kettalt kogu logifaili. Selle tulemusena kaasneb logifaili avamise toimingutega täiendav lugemine I/O, mis on proportsionaalne logifaili mahuga.

    • Sellise käitumise näidet võib täheldada kasutaja sisselogimisel ja süsteemi sulgemisel. Register säilitab kasutaja taru (NTUSER.dat) CLFS-i varundatud logifaili, mis avatakse nende üleminekute ajal. Logifaili avamisel nõuab autentimine logifaili täielikku lugemist, mille tulemusena suureneb sisselogimisel ja sulgemisel ketta I/O arv.

Selle artikli teemad

Kokkuvõte

Leevendusmeetmete kasutuselevõtu periood

Kasutaja mõju

Konfiguratsiooni

Rühmapoliitika sätete värskendamine kohaliku Rühmapoliitika redaktori abil

Rühmapoliitika/MDM-i sätte värskendamine Intune abil

CLFS API muudatused

Korduma kippuvad küsimused (KKK)

Sõnastik

Kokkuvõte

Ühise logifailisüsteemi (CLFS) draiveri jaoks, mis lisab CLFS-i logifaili aluseks olevatele failidele räsipõhise sõnumi autentimiskoodi (HMAC), on kasutusele võetud uus tugevdav autentimise leevendus. Autentimiskoodid luuakse failiandmete kombineerimisel süsteemikohase krüptovõtmega, mis talletatakse registris ja millele pääsevad juurde ainult administraatorid ja süsteemiadministraatorid. Autentimiskoodid võimaldavad CLFS-il kontrollida faili terviklust, tagades failiandmete ohutuse enne selle sisemiste andmestruktuuride sõelumist. CLFS eeldab, et seda faili muudeti väliselt, pahatahtlikult või muul viisil, kui tervikluskontroll nurjub ja keeldub logifaili avamisest. Jätkamiseks tuleb luua uus logifail või administraator peab selle käsu fsutil abil käsitsi autentima.

Leevendusmeetmete kasutuselevõtu periood

Süsteemil, mis saab selle CLFS-i versiooni värskenduse, on süsteemis tõenäoliselt juba logifailid, millel pole autentimiskoode. Selleks, et need logifailid uude vormingusse üle läheksid, paigutab süsteem CLFS-draiveri õpirežiimi, mis juhendab CLFS-i automaatselt lisama autentimiskoode logifailidele, millel neid pole. Autentimiskoodide automaatne lisamine toimub logifaili avamisel ja ainult siis, kui kutsuval lõimel on faili kirjutamiseks vajalik juurdepääs. Praegu kestab lapsendamisperiood 90 päeva, alates ajast, mil süsteem selle CLFS-i versiooniga esimest korda käivitati. Pärast 90-päevase kasutuselevõtu perioodi lõppu läheb draiver järgmisel käivitamisel automaatselt üle jõustamisrežiimile, mille järel eeldatakse, et kõik logifailid sisaldavad kehtivaid autentimiskoode. Pange tähele, et see 90-päevane väärtus võib tulevikus muutuda.

Kui logifaili selle kasutuselevõtu perioodi jooksul ei avata ja seetõttu ei viidud seda automaatselt üle uude vormingusse, saab logifailile autentimiskoodide lisamiseks kasutada käsurea utiliiti clfs authenticate . Selle toimingu jaoks peab kutsuja olema administraator.

Kasutaja mõju

See leevendus võib mõjutada CLFS API tarbijaid järgmistel viisidel.

  • Kuna logifaili autentimine toimub logfile'i avamise ajal, peab CLFS enne sisemiste struktuuride sõelumist autentimiskoodide valideerimiseks lugema kettalt kogu logifaili. Selle tulemusena kaasneb logifaili avamise toimingutega täiendav lugemine I/O, mis on proportsionaalne logifaili mahuga.

    • Sellise käitumise näidet võib täheldada kasutaja sisselogimisel ja süsteemi sulgemisel. Register säilitab kasutaja taru (NTUSER.dat) CLFS-i varundatud logifaili, mis avatakse nende üleminekute ajal. Logifaili avamisel nõuab autentimine logifaili täielikku lugemist, mille tulemusena suureneb sisselogimisel ja sulgemisel ketta I/O arv.

  • Kuna autentimiskoodide muutmiseks kasutatav krüptovõti on süsteemi kordumatu, pole logifailid enam süsteemide vahel kaasaskantavad. Kaugsüsteemis loodud logifaili avamiseks peab administraator logaritmisfaili autentimiseks kohaliku süsteemi krüptovõtme abil esmalt kasutama fsutil clfs authenticate utiliiti.

  • BLF-faili ja andmeümbriste kõrval talletatakse uus fail, mille laiend on ".cnpf". Kui logifaili BLF asub asukohas C:\Users\User\example.blf, peaks selle "paigafail" paiknema asukohas C:\Users\User\example.blf.cnpf. Kui logifail pole puhtalt suletud, talletab paigafail andmeid, mida CLFS vajab logifaili taastamiseks. Paigafail luuakse sama turbeatribuudiga , mis failil, mille jaoks see taasteteavet pakub. See fail on kõige rohkem sama suur kui "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Autentimiskoodide talletamiseks on vaja täiendavat failiruumi. Autentimiskoodide jaoks vajalik ruumi hulk sõltub faili mahust. Järgmisest loendist leiate hinnangu selle kohta, kui palju täiendavaid andmeid teie logifailide jaoks vaja läheb.

    • 512 KB ümbrisefailid nõuavad autentimiskoodide jaoks täiendavat ~8192 baiti.

    • 1024 KB ümbrisefailid nõuavad autentimiskoodide jaoks täiendavat ~12288 baiti.

    • 10 MB ümbrisefailide autentimiskoodide jaoks on vaja täiendavat ~90112 baiti.

    • 100 MB ümbrisefailide autentimiskoodide jaoks on vaja täiendavat ~57344 baiti.

    • 4 GB ümbrisefailid nõuavad autentimiskoodide jaoks täiendavaid ~2101248 baite.

  • Autentimiskoodide haldamisega seotud I/O-toimingute suurenemise tõttu on suurenenud järgmiste toimingute tegemiseks kuluv aeg:

    Logifaili loomise ja logifaili avamise aja kasv sõltub täielikult ümbriste suurusest, suurematel logifailidel on palju märgatavam mõju. Logifaili kirjesse kirjutamiseks kuluv aeg on keskmiselt kahekordistunud.

    • logifaili loomine

    • logifail on avatud

    • uute kirjete kirjutamine

Konfiguratsiooni

Selle leevendusega seotud sätted salvestatakse registrisse aadressil HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Järgnevalt on toodud põhiliste registriväärtuste loend ja nende otstarve.

  • Režiim: leevenduse töörežiim

    • 0: leevendus on jõustatud. CLFS ei ava logifaile, millel on puuduvaid või sobimatuid autentimiskoode. Pärast 90 päeva möödumist selle draiveriversiooniga süsteemi käitamisest läheb CLFS automaatselt üle jõustamisrežiimile.

    • 1: Leevendus on õpperežiimis. CLFS avab alati logifailid. Kui logifailil puuduvad autentimiskoodid, genereerib ja kirjutab CLFS koodid faili (eeldusel, et helistajal on kirjutamisõigus).

    • 2. Administraator on leevenduse keelanud.

    • 3: Süsteem keelas leevenduse automaatselt. Administraator ei tohiks režiimile seda väärtust seada, kuid peaks leevenduse keelamiseks kasutama väärtust "2".

  • EnforcementTransitionPeriod: aeg sekundites, mille süsteem kasutuselevõtu perioodil kulutab. Kui see väärtus on null, ei siire süsteem automaatselt jõustamisele.

  • LearningModeStartTime: ajatempel, millel õppimisrežiim süsteemis algas. See väärtus koos "EnforcementTransitionPeriod" määrab, millal süsteem peaks üle saama jõustamisrežiimi.

  • Võti:krüptograafiline võti, mida kasutatakse autentimiskoodide (HMACs) loomiseks. Administraatorid ei tohiks seda väärtust muuta.

Administraatorid saavad leevenduse täielikult keelata, muutes režiimi väärtuseks 2. Leevendusmeetmete kasutuselevõtu perioodi pikendamiseks saab administraator muuta EnforcementTransitionPeriod (sekundites) mis tahes teie valitud väärtuseks (või 0 , kui soovite automaatse ülemineku jõustamisrežiimi keelata).

Rühmapoliitika sätete värskendamine kohaliku Rühmapoliitika redaktori abil

CLFS-i autentimise saab lubada või keelata Rühmapoliitika sätte abil.

  1. Avage Windows Juhtpaneel kohaliku Rühmapoliitika redaktori aken.Kohaliku arvuti poliitika

  2. Jaotises Arvuti konfiguratsioon valige Haldusmall > Süsteem > Failisüsteem ja topeltklõpsake loendis Sätted väärtust LUBA/keela CLFS-i logifaili autentimine.LUBA CLFS-i logifaili autentimise keelamine

  3. Valige Luba või Keela ja seejärel klõpsake nuppu OK. Kui ruut Pole konfigureeritud on valitud, on leevendus vaikimisi lubatud.Valige Luba või Keela

Rühmapoliitika/MDM-i sätte värskendamine Intune abil

CLFS-i autentimise Rühmapoliitika värskendamiseks ja konfigureerimiseks Microsoft Intune abil tehke järgmist.

  1. Avage Intune portaal (https://endpoint.microsoft.com) ja logige oma identimisteabega sisse.

  2. Looge profiil: 

    1. Valige Seadmed > Windows > konfiguratsioon > Loo > uus poliitika.

    2. Valige Platvorm > Windows 10 ja uuemad versioonid.

    3. Valige mallide > profiilitüüp.

    4. Otsige ja valige Kohandatud.Windowsi konfiguratsioon

  3. Määrake nimi ja kirjeldus:Määra nimi ja kirjeldus

  4. Lisage uus OMA-URI säte:Uue OMA-URI sätte lisamine

  5. Oma URI sätte redigeerimine: 

    1. Lisage nimi (nt ClfsAuthenticationCheck).

    2. Soovi korral saate lisada kirjelduse.

    3. Seadke OMA-URI tee järgmiselt:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Määrake andmetüübiksString.

    5. Määrake väärtuseks<lubatud/> või <keelatud/>.

    6. Klõpsake nuppu Salvesta.Väärtuse seadmine ja salvestamine

  6. Viige lõpule ulatuste siltide ja määrangute ülejäänud konfiguratsioon ja seejärel valige Loo. ​​​​​​​

CLFS API muudatused

CLFS API katkestuste vältimiseks kasutatakse helistaja tervikluskontrolli tõrgetest teatamiseks olemasolevaid tõrkekoode.

Korduma kippuvad küsimused (KKK)

Autentimiskoodid (HMACs) on lisatud CLFS-i logifailidesse, mis võimaldavad CLFS-i draiveril tuvastada (pahatahtlikke) muudatusi, mis on tehtud failides enne nende sõelumist. Kui leevendus läheb jõustamisrežiimi (90 päeva pärast selle värskenduse saamist), clFS eeldab, et autentimiskoodid on olemas ja kehtivad logifaili avamisel.

Esimese 90 päeva jooksul, mil see CLFS-draiveri versioon on aktiivne, lisab draiver automaatselt autentimiskoodid logifailidele, kui selle avab CreateLogFile või ClfsCreateLogFile.

Pärast 90-päevase kasutuselevõtu perioodi lõppu tuleb vanadele või olemasolevatele logifailidele autentimiskoodide lisamiseks kasutada nutikaid autentimisriistu. Selle tööriista kasutamiseks peab helistaja olema administraator.

Kuna autentimiskoodid luuakse süsteemipõhise krüptovõtme abil, ei saa te avada teises süsteemis loodud logifaile. Autentimiskoodide parandamiseks kohaliku süsteemi krüptovõtme abil saab administraator kasutada fsutil clfs autentimistööriista . Selle tööriista kasutamiseks peab helistaja olema administraatorite rühmas.

Kuigi me ei soovita seda, saab administraator selle leevenduse keelata, muutes HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Režiim] väärtuseks 2.

Selleks kasutage PowerShelli ja käivitage järgmine käsk:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Sõnastik

Karmistamine on protsess, mis aitab kaitsta volitamata juurdepääsu, teenuse keelamise ja muude ohtude eest, piirates võimalikke nõrkusi, mis muudavad süsteemid haavatavaks.

Turbeatribuute kasutatakse teabe talletamiseks ja kindlate ressursside üle täpse juurdepääsu kontrolli jõustamiseks.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.