ClFS (Common Log File System) -todennuksen lieventäminen

Tässä artikkelissa

Yhteenveto

Lievennyksen käyttöönottokausi

Käyttäjän vaikutus

Kokoonpano

Päivitä ryhmäkäytäntö -asetus paikallisella ryhmäkäytäntö editorilla

Päivitä ryhmäkäytäntö/MDM-asetus Intune

CLFS-ohjelmointirajapinnan muutokset

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Sanasto

Yhteenveto

ClFS (Common Log File System) -ohjaimelle on otettu käyttöön uusi koventavan todennuksen lievennys, joka lisää hajautusarvopohjaisen viestin todennuskoodin (HMAC) CLFS-lokitiedoston pohjana oleviin tiedostoihin. Todennuskoodit luodaan yhdistämällä tiedostotiedot järjestelmän ainutkertaiseen salausavaimeen, joka tallennetaan rekisteriin ja joka on vain järjestelmänvalvojien ja JÄRJESTELMÄN käytettävissä. Todennuskoodien avulla CLFS voi tarkistaa tiedoston eheyden ja varmistaa, että tiedostotiedot ovat turvassa ennen sisäisten tietorakenteiden jäsentämistä. CLFS olettaa, että tätä tiedostoa on muokattu ulkoisesti, haitallisesti tai muuten, jos eheyden tarkistus epäonnistuu ja kieltäytyy avaamasta logfileä. Jos haluat jatkaa, joko uusi lokitiedosto on luotava tai järjestelmänvalvojan on todennettava se manuaalisesti fsutil-komennolla.

Lievennyksen käyttöönottokausi

Järjestelmässä, joka saa tämän CLFS-version päivityksen, järjestelmässä on todennäköisesti olemassa olevia lokitiedostoja, joissa ei ole todennuskoodeja. Jotta nämä lokitiedostot siirtyvät uuteen muotoon, järjestelmä sijoittaa CLFS-ohjaimen oppimistilaan, joka kehottaa CLFS:ää lisäämään automaattisesti todennuskoodit lokitiedostoihin, joissa niitä ei ole. Todennuskoodien automaattinen lisääminen tapahtuu logfile openissa ja vain, jos puheluketjulla on tarvittavat käyttöoikeudet tiedoston kirjoittamiseen. Tällä hetkellä käyttöönottojakso kestää 90 päivää alkaen siitä, kun järjestelmä käynnistettiin ensimmäisen kerran tällä CLFS-versiolla. Kun tämä 90 päivän käyttöönottojakso on päättynyt, ohjain siirtyy automaattisesti pakotustilaan seuraavassa käynnistysvaiheessa, minkä jälkeen CLFS odottaa kaikkien lokitiedostojen sisältävän kelvollisia todennuskoodeja. Huomaa, että tämä 90 päivän arvo voi muuttua tulevaisuudessa.

Jos logfile-tiedostoa ei avata tämän käyttöönottojakson aikana eikä sitä ole siksi automaattisesti siirrytty uuteen muotoon, fsutil clfs todentaa komentorivin apuohjelmaa voidaan käyttää todennuskoodien lisäämiseen lokitiedostoon. Tämä toiminto edellyttää, että soittaja on järjestelmänvalvoja.

Käyttäjän vaikutus

Tämä lievennys voi vaikuttaa CLFS-ohjelmointirajapinnan kuluttajiin seuraavilla tavoilla:

• Koska logfile-todennus suoritetaan logfile-avoimena aikana, CLFS:n on luettava koko lokitiedosto levyltä todennuskoodien vahvistamiseksi ennen sisäisten rakenteiden jäsentämistä. Tämän seurauksena logfile-avoimille toiminnoille aiheutuu ylimääräistä luku-I/O-lukua suhteessa logfilen kokoon.

  • Esimerkki tästä toiminnosta voidaan havaita käyttäjän kirjautumisen ja järjestelmän sammutuksen aikana. Rekisteri ylläpitää CLFS-taustaista lokitiedostoa käyttäjärakennetta (NTUSER.dat) varten, joka avataan näiden siirtymien aikana. Kun lokitiedosto avataan, todennus edellyttää lokitiedoston täydellistä lukemista, mikä johtaa levyn I/O lisääntymiseen kirjautumisen ja sammutuksen aikana.

• Koska salausavain, jota käytetään todennuskoodien tekemiseen, on järjestelmän yksilöivä, lokitiedostot eivät enää ole siirrettävissä järjestelmien välillä. Jos haluat avata etäjärjestelmässä luodun lokitiedoston, järjestelmänvalvojan on ensin todennettava lokitiedosto käyttämällä fsutil clfs -todennusapuohjelmaa paikallisten järjestelmien salausavaimen avulla.

• Binaarikirjaustiedoston (BLF) ja tietosäilöjen viereen tallennetaan uusi tiedosto, jonka tunniste on ".cnpf". Jos logfilen BLF-tiedosto sijaitsee kohdassa "C:\Users\User\example.blf", sen "korjaustiedoston" pitäisi sijaita kohdassa "C:\Users\User\example.blf.cnpf". Jos logfile ei ole täysin suljettu, korjaustiedosto sisältää tiedot, joita TARVITAAN CLFS:n logfilen palauttamiseen. Korjaustiedosto luodaan samoilla suojausmääritteillä kuin tiedosto, jota varten se antaa palautustiedot. Tämä tiedosto on vähintään samankokoinen kuin FlushThreshold (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• Todennuskoodien tallentamiseen tarvitaan lisää tiedostotilaa. Todennuskoodeissa tarvittava tila määräytyy tiedoston koon mukaan. Seuraavassa luettelossa on arvio siitä, kuinka paljon lisätietoja lokitiedostoihin tarvitaan:

  • 512KB-säilötiedostot edellyttävät todennuskoodeille ~8192 tavua lisää.

  • 1024KB-säilötiedostot edellyttävät todennuskoodeille ~12288 tavua lisää.

  • 10 Mt:n säilötiedostot edellyttävät todennuskoodeille ~90112 tavua lisää.

  • 100 Mt:n säilötiedostot edellyttävät todennuskoodeille ~57344 tavua lisää.

  • 4 Gt:n säilötiedostot edellyttävät todennuskoodeille ylimääräisiä ~2101248 tavuja.

• Todennuskoodien ylläpidon I/O-toimintojen lisääntyessä seuraavien toimintojen suorittamiseen kuluva aika on kasvanut:

  Logfilen luomisen ja logfilen avaamisen ajan pidentyminen riippuu täysin säilöjen koosta, ja suuremmilla lokitiedostoilla on paljon merkittävämpi vaikutus. Lokitiedostossa olevaan tietueeseen kirjoittamiseen kuluva aika on keskimäärin kaksinkertaistunut.

  • logfile-luonti

  • logfile open

  • uusien tietueiden kirjoittaminen

Kokoonpano

Tähän lievennykseen liittyvät asetukset tallennetaan rekisteriin HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Seuraavassa on luettelo keskeisistä rekisteriarvoista ja niiden tarkoituksesta:

• Tila: Lievennyksen käyttötila

  • 0: Lievennys otetaan käyttöön. CLFS ei pysty avaamaan lokitiedostoja, joissa on puuttuvia tai virheellisiä todennuskoodeja. 90 päivän kuluttua siitä, kun järjestelmä on suorittanut tämän ohjaimen version, CLFS siirtyy automaattisesti pakotustilaan.

  • 1: Lievennys on oppimistilassa. CLFS avaa aina lokitiedostot. Jos lokitiedostosta puuttuu todennuskoodeja, CLFS luo ja kirjoittaa koodit tiedostoon (olettaen, että soittajalla on kirjoitusoikeudet).

  • 2: Järjestelmänvalvoja poisti lievennyksen käytöstä.

  • 3: Järjestelmä poisti lievennyksen käytöstä automaattisesti. Järjestelmänvalvojan ei pitäisi määrittää tilaksi tätä arvoa, mutta hänen tulisi käyttää arvoa 2, jos hän haluaa poistaa lievennyksen käytöstä.

• EnforcementTransitionPeriod: Järjestelmän käyttöönoton aikana käyttämä aika sekunteina. Jos tämä arvo on nolla, järjestelmä ei siirry automaattisesti toimeenpanoon.

• LearningModeStartTime: Aikaleima, jolla oppimistila käynnistyi järjestelmässä. Tämä arvo yhdessä EnforcementTransitionPeriod-arvon kanssa määrittää, milloin järjestelmän pitäisi siirtyä pakotustilaan.

• Avain:Salausavain, jota käytetään todennuskoodien (HMACs) luomiseen. Järjestelmänvalvojien ei pitäisi muokata tätä arvoa.

Järjestelmänvalvojat voivat poistaa lievennyksen kokonaan käytöstä muuttamalla tila-arvoksi2. Jos haluat pidentää lievennyksen käyttöönoton aikaa, järjestelmänvalvoja voi muuttaa EnforcementTransitionPeriod (sekunnit) -arvoksi minkä tahansa valitsemasi arvon (tai 0 , jos haluat poistaa käytöstä automaattisen siirtymisen pakotustilaan).

Päivitä ryhmäkäytäntö -asetus paikallisella ryhmäkäytäntö editorilla

CLFS-todennus voidaan ottaa käyttöön tai poistaa käytöstä ryhmäkäytäntö-asetuksella:

1. Avaa Paikallinen ryhmäkäytäntö -editori Windows Ohjauspaneeli:ssä.
   
   

2. Valitse Tietokoneasetukset-kohdassaHallintamalli > Järjestelmä > tiedostojärjestelmä ja kaksoisnapsauta Asetus-luettelossaOta käyttöön tai poista käytöstä CLFS-lokitiedostotodennus.
   
   

3. Valitse Ota käyttöön tai Poista käytöstä ja valitse sitten OK. Jos Ei määritetty -vaihtoehto on valittuna, lievennys on oletusarvoisesti käytössä.
   
   

Päivitä ryhmäkäytäntö/MDM-asetus Intune

Voit päivittää ryhmäkäytäntö ja määrittää CLFS-todennuksen Microsoft Intune avulla:

1. Avaa Intune -portaali (https://endpoint.microsoft.com) ja kirjaudu sisään tunnistetiedoillasi.

2. Profiilin luominen: 

   1. Valitse Laitteet ,> Windows > -määritys > Luo > uusi käytäntö.

   2. Valitse Ympäristön > Windows 10 ja uudemmat.

   3. Valitse Profiilityyppi > Mallit.

   4. Etsi ja valitse Mukautettu.
      
      

3. Määritä nimi ja kuvaus:
   
   

4. Lisää uusi OMA-URI-asetus:
   
   

5. Muokkaa OMA-URI-asetusta: 

   1. Lisää nimi, kuten ClfsAuthenticationCheck.

   2. Voit halutessasi lisätä kuvauksen.

   3. Määritä OMA-URI-polku seuraavalle:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. Määritä tietotyypiksiMerkkijono.

   5. Määritä arvoksi<käytössä/> tai <poistettu käytöstä/>.

   6. Valitse Tallenna.
      
      

6. Viimeistele scope-tunnisteiden ja tehtävien jäljellä olevat määritykset ja valitse sitten Luo. ​​​​​​​

CLFS-ohjelmointirajapinnan muutokset

Clfs-ohjelmointirajapintaan tehtyjen muutosten estämiseksi olemassa olevia virhekoodeja käytetään raportoimaan eheyden tarkistusvirheistä soittajalle:

• Jos CreateLogFile epäonnistuu, GetLastError palauttaa ERROR_LOG_METADATA_CORRUPT-virhekoodin.

• ClfsCreateLogFile palauttaa STATUS_LOG_METADATA_CORRUPT tilan, kun CLFS ei pysty tarkistamaan logfilen eheyttä.

Usein kysytyt kysymykset (usein kysytyt kysymykset)

Sanasto

Karkeuttaminen on prosessi, joka auttaa suojautumaan luvattomalta pääsyltä, palvelunestolta ja muilta uhilta rajoittamalla mahdollisia heikkouksia, jotka tekevät järjestelmistä haavoittuvia.

Suojausmääritteitä käytetään tietojen tallentamiseen ja hienosäätöisen käytön hallintaan tietyissä resursseissa.