Primjenjuje se na
Windows 11 version 25H2, all editions Windows Server 2025

Izvorni datum objave: 28. svibnja 2025.

KB ID: 5056852

Ovo ublažavanje otegnute provjere autentičnosti dostupno je u sljedećim izdanjima sustava Windows:

  • Windows 11, verzija 25H2 i Windows Server 2025 objavljena 28. listopada 2025. ili kasnije

U ovom članku 

Sažetak

Razdoblje usvajanja ublažavanja

Utjecaj korisnika

Konfiguracija

Ažuriranje pravilnik grupe pomoću lokalnog pravilnik grupe Editor

Ažuriranje pravilnik grupe/MDM postavki pomoću servisa Intune

Promjene CLFS API-ja

Najčešća pitanja (najčešća pitanja)

Glosar

Sažetak

Uvedeno je novo ublažavanje očvršćivanja provjere autentičnosti za upravljački program uobičajenog zapisnika datotečnog sustava ( CLFS) koji dodaje kod provjere autentičnosti poruke utemeljen na raspršivanje (HMAC) u datoteke clFS datoteke zapisnika. Kodovi za provjeru autentičnosti stvaraju se kombiniranjem podataka datoteka s sistemski jedinstvenim kriptografskim ključem koji se pohranjuje u registar i pristupa samo administratorima i sustavu. Kodovi za provjeru autentičnosti omogućit će CLFS-u provjeru integriteta datoteke, čime se jamči da su podaci o datotekama sigurni prije raščlanjivanja unutarnjih struktura podataka. CLFS pretpostavlja da je datoteka bila vanjsko izmijenjena, zlonamjerna ili na neki drugi način, ako provjera integriteta ne uspije i da će odbiti otvaranje datoteke zapisnika. Da biste nastavili, morate stvoriti novu datoteku zapisnika ili će administrator morati ručno provjeriti autentičnost pomoću naredbe fsutil.

Razdoblje usvajanja ublažavanja

Sustav koji prima ažuriranje s ovom verzijom CLFS-a vjerojatno će imati postojeće logfile u sustavu koji nema kodove za provjeru autentičnosti. Da bi se te datoteke zapisnika prelamale u novi oblik, sustav će upravljački program CLFS-a postaviti u "način učenja", koji će clFS-u uputiti da automatski doda kodove za provjeru autentičnosti u datoteke zapisnika koje ih nemaju. Automatsko dodavanje kodova za provjeru autentičnosti pojavit će se prilikom otvaranja datoteke zapisnika i samo ako nit pozivanja ima potreban pristup za pisanje u datoteku. Razdoblje prihvaćanja trenutačno traje 90 dana, počevši od vremena početka sustava s ovom verzijom CLFS-a. Nakon isteka tog 90-dnevnog razdoblja usvajanja upravljački će program automatski prelaziti u način provedbe na sljedećem početku, nakon kojeg će CLFS očekivati da sve datoteke zapisnika sadrže valjane kodove za provjeru autentičnosti. Imajte na umu da se ta vrijednost od 90 dana može promijeniti u budućnosti.

Ako se tijekom tog razdoblja prihvaćanja ne otvori datoteka zapisnika i stoga nije automatski prelamana u novi oblik, za dodavanje kodova za provjeru autentičnosti u zapisniku može se koristiti uslužni program za provjeru autentičnosti za provjeru autentičnosti. Ova operacija zahtijeva da pozivatelj bude administrator.

Utjecaj korisnika

Ovo ublažavanje može utjecati na potrošače CLFS API-ja na sljedeće načine:

  • Budući da je kriptografski ključ koji se koristi za postavljanje kodova za provjeru autentičnosti jedinstven u sustavu, logfiles više nisu prenosivi između sustava. Da bi otvorite datoteku zapisnika stvorenu na udaljenom sustavu, administrator najprije mora koristiti uslužni program za provjeru autentičnosti fsutil clfs da bi provjerio autentičnost datoteke zapisnika pomoću lokalnog ključa šifriranja sustava.

  • Nova datoteka s nastavkom ".cnpf" pohranit će se uz binarnu datoteku zapisivanja (BLF) i spremnike podataka. Ako se BLF za datoteku zapisnika nalazi na adresi "C:\Users\User\example.blf", njegova "datoteka zakrpe" trebala bi se nalaziti u "C:\Users\User\example.blf.cnpf". Ako datoteka zapisnika nije čisto zatvorena, datoteka zakrpe će držati podatke potrebne clFS-u da bi se oporavila datoteka zapisnika. Datoteka zakrpe stvorit će se s istim sigurnosnim atributima kao datoteka za koju pruža informacije o oporavku. Datoteka će najviše biti iste veličine kao i "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Za pohranu kodova za provjeru autentičnosti potreban je dodatan prostor za datoteke. Količina prostora potrebnog za kodove za provjeru autentičnosti ovisi o veličini datoteke. Na sljedećem popisu potražite procjenu koliko će dodatnih podataka biti potrebno za datoteke zapisnika:

    • 512KB datoteke spremnika zahtijevaju dodatne ~8192 bajtova za kodove provjere autentičnosti.

    • 1024KB datoteke spremnika zahtijevaju dodatne ~12288 bajtova za kodove za provjeru autentičnosti.

    • Za datoteke spremnika od 10 MB potrebni su dodatni bajtovi za provjeru autentičnosti za ~90112.

    • Za datoteke spremnika od 100 MB potrebni su dodatni ~57344 bajtova za kodove za provjeru autentičnosti.

    • Datoteke spremnika od 4 GB zahtijevaju dodatne ~2101248 bajtova za kodove za provjeru autentičnosti.

  • Zbog povećanja ulaza/izlaza za održavanje kodova za provjeru autentičnosti vrijeme potrebno za izvođenje sljedećih operacija povećalo se:

    • stvaranje datoteke zapisnika

    • datoteka zapisnika otvorena

    • pisanje novih zapisa

    Povećanje vremena stvaranja datoteke zapisnika i otvaranja datoteke zapisnika u potpunosti ovisi o veličini spremnika, s većim datotekama zapisnika s mnogo zamjetljivijim utjecajem. U prosjeku se udvostručavanje vremena potrebnog za pisanje u zapis u zapisniku.

Konfiguracija

Postavke povezane s ovim ublažavanjem pohranjuju se u registar na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Slijedi popis vrijednosti registra ključeva i njihova svrha:

  • Način rada: način rada ublažavanja

    • 0: Ublažavanje se primjenjuje. CLFS neće moći otvoriti datoteke zapisnika koje nedostaju ili nisu valjane kodove za provjeru autentičnosti. Nakon 90 dana pokretanja sustava s ovom verzijom upravljačkog programa CLFS će se automatski pretvoriti u način provedbe.

    • 1: Ublažavanje je u načinu učenja. CLFS će uvijek otvarati datoteke zapisnika. Ako u datoteci zapisnika nedostaju kodovi za provjeru autentičnosti, CLFS će generirati i upisati kodove u datoteku (pod pretpostavkom da pozivatelj ima pristup za pisanje).

    • 2: Administrator je onemogućio ublažavanje.

    • 3: Sustav je automatski onemogućio ublažavanje. Administrator ne bi trebao postaviti način rada na tu vrijednost, ali bi trebao koristiti "2" ako želi onemogućiti ublažavanje.

  • EnforcementTransitionPeriod: vrijeme koje će sustav potrošiti u razdoblju prihvaćanja u sekundama. Ako je ta vrijednost nula, sustav se neće automatski pretvoriti u primjenu.

  • LearningModeStartTime: vremenska oznaka u kojoj je način učenja pokrenut u sustavu. Ta vrijednost u kombinaciji s "EnforcementTransitionPeriod" određuje kada bi sustav trebao prelaziti u način provođenja.

  • Ključ:kriptografski ključ koji se koristi za stvaranje kodova za provjeru autentičnosti (HMACs). Administratori ne bi trebali mijenjati tu vrijednost.

Administratori mogu u potpunosti onemogućiti ublažavanje promjenom vrijednosti načina rada u 2. Da bi produljio razdoblje usvajanja ublažavanja, administrator može promijeniti EnforcementTransitionPeriod (sekunde) na bilo koju vrijednost koju odaberete (ili 0 ako želite onemogućiti automatski prijelaz u način provođenja).

Ažuriranje pravilnik grupe pomoću lokalnog pravilnik grupe Editor

ClFS provjera autentičnosti može se omogućiti ili onemogućiti pomoću pravilnik grupe postavke:

  1. Otvorite lokalnu pravilnik grupe Editor u sustavu Windows Upravljačka ploča.Pravila lokalnog računala

  2. U odjeljku Konfiguracija računala odaberite Administrativni predložak > Sustav > i na popisu Postavke dvokliknite Omogući / onemogući provjeru autentičnosti CLFS datoteke zapisnika.Omogući onemogućivanje provjere autentičnosti CLFS datoteke zapisnika

  3. Odaberite Omogući ili Onemogući, a zatim kliknite U redu. Ako je odabrano Nije konfigurirano, ublažavanje je po zadanom omogućeno.Odaberite Omogući ili Onemogući

Ažuriranje pravilnik grupe/MDM postavki pomoću servisa Intune

Da biste ažurirali pravilnik grupe i konfigurirali CLFS provjeru autentičnosti pomoću servisa Microsoft Intune:

  1. Otvorite portal Intune (https://endpoint.microsoft.com) i prijavite se pomoću vjerodajnica.

  2. Stvaranje profila: 

    1. Odaberite Uređaji > Windows > konfiguracija > Stvori > novi pravilnik.

    2. Odaberite Platforma > Windows 10 i novije verzije.

    3. Odaberite Vrsta profila > Predlošci.

    4. Potražite i odaberite Prilagođeno.Konfiguracija sustava Windows

  3. Postavite naziv i opis:Postavljanje naziva i opisa

  4. Dodajte novu postavku OMA-URI-ja:Dodavanje nove postavke OMA-URI-ja

  5. Uređivanje OMA-URI postavke: 

    1. Dodajte naziv kao što je ClfsAuthenticationCheck.

    2. Ako želite, dodajte opis.

    3. Postavite OMA-URI put na sljedeće:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Postavite vrstu podataka na Niz.

    5. Postavite vrijednost na<omogućeno/> ili <onemogućeno/>.

    6. Kliknite Spremi.Postavljanje vrijednosti i spremanje

  6. Dovršite preostalu konfiguraciju oznaka opsega i dodjela, a zatim odaberite Stvori. ​​​​​​​

Promjene CLFS API-ja

Da biste izbjegli prekid promjena CLFS API-ja, postojeći kodovi pogrešaka koriste se za prijavu pogrešaka provjere integriteta pozivatelju:

Najčešća pitanja (najčešća pitanja)

Kodovi za provjeru autentičnosti (HMACs) dodani su u CLFS datoteke zapisnika koje upravljačkim programima CLFS-a daju mogućnost otkrivanja (zlonamjernih) izmjena datoteka prije raščlanjivanja. Kada se ublažavanje prijelaza u način provedbe (90 dana nakon primitka ovog ažuriranja), CLFS će očekivati da će kodovi za provjeru autentičnosti biti prisutni i valjani za uspješno otvaranje datoteke zapisnika.

Prvih 90 dana kada je ova verzija CLFS upravljačkog programa aktivna, upravljački program automatski će dodati kodove za provjeru autentičnosti u datoteke zapisnika kada ih otvori CreateLogFileili ClfsCreateLogFile.

Nakon isteka razdoblja prihvaćanja od 90 dana, alat za provjeru autentičnosti fsutil clfs morat će se koristiti za dodavanje kodova za provjeru autentičnosti u stare ili postojeće datoteke zapisnika. Ovaj alat zahtijeva da pozivatelj bude administrator.

Budući da se kodovi za provjeru autentičnosti stvaraju pomoću šifriranog ključa jedinstvenog sustava, nećete moći otvoriti datoteke zapisnika stvorene na drugom sustavu. Da bi ispravio kodove za provjeru autentičnosti pomoću kriptografskog ključa lokalnog sustava, administrator može koristiti alat za provjeru autentičnosti fsutil clfs . Taj alat zahtijeva da pozivatelj bude u grupi Administratori.

Iako to ne preporučujemo, administrator može onemogućiti to ublažavanje tako da izmijeniHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Način] tako da bude vrijednost 2.

Da biste to učinili, upotrijebite PowerShell i pokrenite sljedeću naredbu:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glosar

Hardening je proces koji pomaže u zaštiti od neovlaštenog pristupa, uskraćivanja usluge i drugih prijetnji ograničavanjem potencijalnih slabosti koje čine sustave ranjivima.

Sigurnosni atributi koriste se za pohranu informacija i nametanje precizne kontrole pristupa nad određenim resursima.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost