חל על
Windows 11 version 25H2, all editions Windows Server 2025

תאריך פרסום מקורי: ה-28 באוקטובר 2025

מזהה KB: 5056852

צמצום סיכונים זה של אימות קשיח זמין בהפצה הבאה של Windows:

  • Windows 11, עדכונים לגירסה 25H2 Windows Server 2025 שהופצו ב- 28 באוקטובר 2025 או לאחר מכן

במאמר זה 

סיכום

תקופת הטמעת צמצום סיכונים

השפעה על המשתמש

תצורה

עדכון מדיניות קבוצתית באמצעות ההגדרה 'אזור מדיניות קבוצתית עורך

עדכון מדיניות קבוצתית/MDM באמצעות Intune

שינויים ב- API של CLFS

שאלות נפוצות (שאלות נפוצות)

מילון מונחים

סיכום

צמצום סיכונים חדש של אימות קשיח הוצג עבור מנהל ההתקן של מערכת קבצי הרישום המשותפים (CLFS), שמוסיף קוד אימות הודעות מבוסס-Hash (HMAC) לקבצים המשמשים כקובץ יומן רישום של CLFS. קודי אימות נוצרים על-ידי שילוב נתוני קובץ עם מפתח הצפנה ייחודי למערכת, המאוחסן ברישום ונגיש רק למנהלי מערכת ול- SYSTEM. קודי האימות יאפשרו ל- CLFS לבדוק את תקינות הקובץ, ויבטיחו שהנתונים על הקבצים יהיו בטוחים לפני ניתוח מבנה הנתונים הפנימי שלהם. CLFS מניח שקובץ זה השתנה באופן חיצוני, באופן זדוני או אחר, אם בדיקת התקינות נכשלת ותסרב לפתוח את יומן הרישום. כדי להמשיך, יש ליצור קובץ יומן רישום חדש או שמנהל מערכת יצטרכו לאמת אותו באופן ידני באמצעות הפקודה fsutil.

תקופת הטמעת צמצום סיכונים

מערכת המקבלת עדכון בגירסה זו של CLFS תכלול במערכת קבצי Logfile קיימים שאינם כוללים קודי אימות. כדי להבטיח שקבצי יומן רישום אלה יועברו לתבנית החדשה, המערכת תמקם את מנהל ההתקן של CLFS ב"מצב למידה" אשר ינחה את CLFS להוסיף באופן אוטומטי קודי אימות לקבצי יומן רישום שאינם כוללים אותם. התוספת האוטומטית של קודי האימות תתרחש בעת פתיחת logfile ורק אם להליך המשנה של השיחות יש גישה נדרשת לכתיבה לקובץ. נכון לעכשיו, תקופת ההטמעה תוסר במשך 90 יום, החל מהשעה שבה המערכת התחילה לראשונה עם גירסה זו של CLFS. לאחר שתקופת ההטמעה בת 90 הימים תפוג, מנהל ההתקן עובר באופן אוטומטי למצב אכיפה בהתחלה הבאה, ולאחר מכן CLFS מצפה שכל קבצי הרישום יכילו קודי אימות חוקיים. שים לב שערך זה של 90 יום עשוי להשתנות בעתיד.

אם קובץ יומן רישום אינו נפתח במהלך תקופת הטמעה זו ולכן לא הועבר באופן אוטומטי לתבנית החדשה, ניתן להשתמש בכלי השירות של שורת הפקודה של אימות fsutil כדי להוסיף קודי אימות ל- logfile. פעולה זו דורשת שהשיחה תהיה מנהל מערכת.

השפעה על המשתמש

צמצום סיכונים זה עשוי להשפיע על הצרכנים של ה- API של CLFS בדרכים הבאות:

  • מאחר שהמפתח ההקפאה המשמש ליצירת קודי האימות הוא ייחודי למערכת, קבצי logfile אינם ניידים עוד בין מערכות. כדי לפתוח קובץ יומן רישום שנוצר במערכת מרוחקת, מנהל מערכת חייב תחילה להשתמש בכלי השירות לאימות fsutil clfs כדי לאמת את יומן הרישום באמצעות המפתח ההקפאה של המערכות המקומיות.

  • קובץ חדש, עם הסיומת ".cnpf" יאוחסן לצד הגורמים המכילים של קובץ הרישום הבינארי (BLF) והנתונים. אם BLF עבור יומן רישום ממוקם ב- "C:\Users\User\example.blf", "קובץ התיקון" שלו צריך להיות ממוקם ב- "C:\Users\User\example.blf.cnpf". אם קובץ יומן רישום אינו סגור באופן נקי, קובץ התיקון יחזיק נתונים הדרושים ל- CLFS כדי לשחזר את קובץ יומן הרישום. קובץ התיקון ייווצר עם אותן תכונות אבטחה כמו הקובץ שעבורו הוא מספק מידע שחזור. גודל קובץ זה יהיה זהה לפחות ל- "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • נדרש שטח קבצים נוסף כדי לאחסן קודי אימות. כמות השטח הדרושה עבור קודי אימות תלויה בגודל הקובץ. עיין ברשימה הבאה לקבלת הערכה לגבי כמות הנתונים הנו נוספים הנדרשים עבור קבצי יומן הרישום שלך:

    • קבצי גורם מכיל של 512KB דורשים ~8192 בתים נוספים עבור קודי אימות.

    • קבצי גורם מכיל של 1024KB דורשים ~12288 בתים נוספים עבור קודי אימות.

    • קבצי גורם מכיל של 10MB דורשים ~90112 בתים נוספים עבור קודי אימות.

    • קבצי גורם מכיל של 100MB דורשים ~57344 בתים נוספים עבור קודי אימות.

    • קבצי גורם מכיל של 4GB דורשים ~2101248 נוספים עבור קודי אימות.

  • עקב העלייה בפעולות ה- I/O לשמירה על קודי אימות, הזמן שנדרש לביצוע הפעולות הבאות גדל:

    • יצירת יומן רישום

    • logfile open

    • כתיבת רשומות חדשות

    העלייה בזמן ליצירה ולקובץ יומן רישום של פתיחה תלויה לחלוטין בגודל הגורמים המכילים, עם קבצי Logfile גדולים יותר בעלי השפעה משמעותית הרבה יותר. בממוצע, משך הזמן שנדרש לכתיבה אל רשומה בקובץ יומן רישום הוכפיל.

תצורה

ההגדרות הקשורות להפחתת הסיכון מאוחסנות ברישום ב- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. להלן רשימה של ערכי רישום מפתחות והמטרה שלהם:

  • מצב: מצב ההפעלה של צמצום הסיכונים

    • 0: צמצום הסיכונים נאכף. פתיחת קבצי יומן רישום בעלי קודי אימות חסרים או לא חוקיים תיכשל. לאחר 90 יום של הפעלת המערכת עם גירסה זו של מנהל ההתקן, CLFS עובר באופן אוטומטי למצב אכיפה.

    • 1: צמצום הסיכונים הוא במצב למידה. CLFS תמיד יפתח קבצי יומן רישום. אם חסרים קודי אימות בקובץ יומן רישום, CLFS ייצור ויכתוב את הקודים בקובץ (בהנחה שלמתקשר יש גישת כתיבה).

    • 2: מנהל מערכת הפך את צמצום הסיכונים ללא זמין.

    • 3: המערכת הפכה את צמצום הסיכונים ללא זמין באופן אוטומטי. מנהל מערכת אינו אמור להגדיר את המצב לערך זה, אלא להשתמש ב- "2" אם הוא מעוניין להפוך את צמצום הסיכונים ללא זמין.

  • EnforcementTransiodPeriod: משך הזמן, בשניות, שהמערכת תקדיש לת תקופת ההטמעה. אם ערך זה הוא אפס, המערכת לא תעבור באופן אוטומטי לאכיפת.

  • LearningModeStartTime: חותמת הזמן שבה מצב למידה התחיל במערכת. ערך זה, בשילוב עם "EnforcementTransitionPeriod" יקבע מתי מערכת תעבור למצב אכיפה.

  • מפתח:המפתח ההקפאה המשמש ליצירת קודי אימות (HMACs). מנהלי מערכת אינם צריכים לשנות ערך זה.

מנהלי מערכת יכולים להפוך את צמצום הסיכונים ללא זמין לחלוטין על-ידי שינוי הערך של Mode ל - 2. כדי להאריך את תקופת ההטמעה של צמצום הסיכונים, מנהל מערכת יכול לשנות את EnforcementTransitionPeriod (שניות) לכל ערך שתבחר (או 0 אם ברצונך להפוך את המעבר האוטומטי ללא זמין למצב אכיפה).

עדכון מדיניות קבוצתית באמצעות ההגדרה 'אזור מדיניות קבוצתית עורך

ניתן להפוך אימות CLFS לזמין או ללא זמין באמצעות הגדרת מדיניות קבוצתית אישית:

  1. פתח את הכרטיסיה 'מדיניות קבוצתית עורך' ב- Windows לוח הבקרה.מדיניות מחשב מקומי

  2. תחת תצורת מחשב, בחר תבנית מנהלית > מערכת > קבצים וברשימה הגדרות, לחץ פעמיים על הפוך אימות CLFS logfile לזמין/ללא זמין.הפוך אימות קובץ יומן רישום של CLFS לזמין

  3. בחר הפוך לזמיןאו ללא זמין ולאחר מכן לחץ על אישור. אם האפשרות לא נקבעה תצורה נבחרה, צמצום הסיכונים מופעל כברירת מחדל.בחר הפוך לזמין או ללא זמין

עדכון מדיניות קבוצתית/MDM באמצעות Intune

כדי לעדכן מדיניות קבוצתית תצורת אימות CLFS באמצעות Microsoft Intune:

  1. פתח את פורטל Intune (https://endpoint.microsoft.com) והיכנס באמצעות האישורים שלך.

  2. צור פרופיל: 

    1. בחר מכשירים > תצורת Windows > - > צור > חדשה.

    2. בחר Platform > Windows 10 ואילך.

    3. בחר סוג פרופיל > תבניות.

    4. חפש ובחר מותאם אישית.תצורת Windows

  3. הגדר שם ותיאור:הגדרת שם ותיאור

  4. הוסף הגדרת OMA-URI חדשה:הוסף הגדרת OMA-URI חדשה

  5. ערוך הגדרת OMA-URI: 

    1. הוסף שם כגון ClfsAuthenticationCheck.

    2. באפשרותך להוסיף תיאור.

    3. הגדר את נתיב OMA-URI ל: :./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. הגדר את סוג הנתונים למחרוזת.

    5. הגדר את הערך לזמין /</> או <לא זמין/>.

    6. לחץ על שמור.הגדר ערך ושמור

  6. השלם את התצורה הנותרת של תגיות טווח והקצאות, ולאחר מכן בחר צור. ​​​​​​​

שינויים ב- API של CLFS

כדי להימנע משיבוש שינויים ב- API של CLFS, קודי שגיאה קיימים משמשים לדיווח על כשלים בבדיקת תקינות למתקשר:

  • אם CreateLogFile נכשל, GetLastError יחזיר את ERROR_LOG_METADATA_CORRUPT קוד השגיאה.

  • עבור ClfsCreateLogFile, STATUS_LOG_METADATA_CORRUPT מוחזר כאשר CLFS לא מצליח לאמת את תקינות יומן הרישום.

שאלות נפוצות (שאלות נפוצות)

קודי אימות (HMACs) נוספו לקבצי יומן רישום של CLFS, אשר מאפשרים למנהל ההתקן של CLFS לזהות שינויים (זדוניים) שבוצעו בקבצים לפני ניתוחם. כאשר צמצום הסיכון יעבר למצב אכיפה (90 יום לאחר קבלת עדכון זה), CLFS מצפה שקבצי האימות יופיעו ויתוקף יפתחו בהצלחה את יומן הרישום.

ב- 90 הימים הראשונים שגירסה זו של מנהל ההתקן של CLFS פעילה, מנהל ההתקן יוסיף באופן אוטומטי קודי אימות לקבצי יומן רישום בעת פתיחתו על-ידי CreateLogFile או ClfsCreateLogFile.

לאחר תקופת ההטמעה של 90 יום זו, יהיה צורך להשתמש בכלי האימות fsutil clfs כדי להוסיף קודי אימות לקבצי יומן רישום ישנים או קיימים. כלי זה דורש שהשיחה תהיה מנהל מערכת.

מאחר וקודים של אימות נוצרים באמצעות מפתח הצפנה ייחודי למערכת, לא תוכל לפתוח קבצי יומן רישום שנוצרו במערכת אחרת. כדי לתקן את קודי האימות באמצעות מפתח ההקפאה של המערכת המקומית, מנהל מערכת יכול להשתמש בכלי האימות של fsutil clfs . כלי זה דורש שהשיחה תהיה בקבוצה Administrators.

למרות שאנחנו לא ממליצים על כך, מנהל מערכת יכול להפוך צמצום סיכונים זה ללא זמין על-ידיHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Mode] כך שהוא יהיה ערך של 2.

לשם כך, השתמש ב- PowerShell והפעל את הפקודה הבאה:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

מילון מונחים

הקששה היא תהליך שמסייע בהגנה מפני גישה לא מורשית, מניעת שירות ואיומים אחרים על-ידי הגבלת חולשות פוטנציאליות שהופיכת מערכות לפגיעות.

תכונות אבטחה משמשות לאחסון מידע ולאכיפת בקרת גישה ספציפית במשאבים ספציפיים.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות