Ublažavanje provjere autentičnosti uobičajenog zapisnika datotečnog sustava (CLFS-a)

U ovom članku

Sažetak

Razdoblje usvajanja ublažavanja

Utjecaj korisnika

Konfiguracija

Ažuriranje pravilnik grupe pomoću uređivača lokalne pravilnik grupe

Ažuriranje pravilnik grupe/MDM postavki pomoću Intune

Promjene CLFS API-ja

Najčešća pitanja (najčešća pitanja)

Rječnik

Sažetak

Uvedeno je novo ublažavanje očvršćivanja provjere autentičnosti za upravljački program uobičajenog zapisnika datotečnog sustava ( CLFS) koji dodaje kod provjere autentičnosti poruke utemeljen na raspršivanje (HMAC) u datoteke clFS datoteke zapisnika. Kodovi za provjeru autentičnosti stvaraju se kombiniranjem podataka datoteka s sistemski jedinstvenim kriptografskim ključem koji se pohranjuje u registar i pristupa samo administratorima i sustavu. Kodovi za provjeru autentičnosti omogućit će CLFS-u provjeru integriteta datoteke, čime se jamči da su podaci o datotekama sigurni prije raščlanjivanja unutarnjih struktura podataka. CLFS pretpostavlja da je datoteka bila vanjsko izmijenjena, zlonamjerna ili na neki drugi način, ako provjera integriteta ne uspije i da će odbiti otvaranje datoteke zapisnika. Da biste nastavili, morate stvoriti novu datoteku zapisnika ili će administrator morati ručno provjeriti autentičnost pomoću naredbe fsutil.

Razdoblje usvajanja ublažavanja

Sustav koji prima ažuriranje s ovom verzijom CLFS-a vjerojatno će imati postojeće logfile u sustavu koji nema kodove za provjeru autentičnosti. Da bi se te datoteke zapisnika prelamale u novi oblik, sustav će upravljački program CLFS-a postaviti u "način učenja", koji će clFS-u uputiti da automatski doda kodove za provjeru autentičnosti u datoteke zapisnika koje ih nemaju. Automatsko dodavanje kodova za provjeru autentičnosti pojavit će se prilikom otvaranja datoteke zapisnika i samo ako nit pozivanja ima potreban pristup za pisanje u datoteku. Razdoblje prihvaćanja trenutačno traje 90 dana, počevši od vremena početka sustava s ovom verzijom CLFS-a. Nakon isteka tog 90-dnevnog razdoblja usvajanja upravljački će program automatski prelaziti u način provedbe na sljedećem početku, nakon kojeg će CLFS očekivati da sve datoteke zapisnika sadrže valjane kodove za provjeru autentičnosti. Imajte na umu da se ta vrijednost od 90 dana može promijeniti u budućnosti.

Ako se tijekom tog razdoblja prihvaćanja ne otvori datoteka zapisnika i stoga nije automatski prelamana u novi oblik, za dodavanje kodova za provjeru autentičnosti u zapisniku može se koristiti uslužni program za provjeru autentičnosti za provjeru autentičnosti. Ova operacija zahtijeva da pozivatelj bude administrator.

Utjecaj korisnika

Ovo ublažavanje može utjecati na potrošače CLFS API-ja na sljedeće načine:

• Budući da se provjera autentičnosti zapisnika izvodi u vrijeme otvaranja datoteke zapisnika, CLFS mora pročitati cijelu datoteku zapisnika s diska da bi se provjerila provjera autentičnosti kodova prije raščlanjivanja internih struktura. Zbog toga operacije otvaranja datoteke zapisnika rezultiraju dodatnim I/O čitanjem proporcionalnim veličini datoteke zapisnika.

  • Primjer tog ponašanja može se uočiti tijekom prijave korisnika i isključivanja sustava. Registar održava logfile koju podržava CLFS za korisničku košnicu (NTUSER.dat), koja se otvara tijekom tih prijelaza. Kada se datoteka zapisnika otvori, provjera autentičnosti zahtijeva potpuno čitanje datoteke zapisnika, što dovodi do povećanja ulaza/izlaza diska tijekom prijave i zatvaranja.

• Budući da je kriptografski ključ koji se koristi za postavljanje kodova za provjeru autentičnosti jedinstven u sustavu, logfiles više nisu prenosivi između sustava. Da bi otvorite datoteku zapisnika stvorenu na udaljenom sustavu, administrator najprije mora koristiti uslužni program za provjeru autentičnosti fsutil clfs da bi provjerio autentičnost datoteke zapisnika pomoću lokalnog ključa šifriranja sustava.

• Nova datoteka s nastavkom ".cnpf" pohranit će se uz binarnu datoteku zapisivanja (BLF) i spremnike podataka. Ako se BLF za datoteku zapisnika nalazi na adresi "C:\Users\User\example.blf", njegova "datoteka zakrpe" trebala bi se nalaziti u "C:\Users\User\example.blf.cnpf". Ako datoteka zapisnika nije čisto zatvorena, datoteka zakrpe će držati podatke potrebne clFS-u da bi se oporavila datoteka zapisnika. Datoteka zakrpe stvorit će se s istim sigurnosnim atributima kao datoteka za koju pruža informacije o oporavku. Datoteka će najviše biti iste veličine kao i "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• Za pohranu kodova za provjeru autentičnosti potreban je dodatan prostor za datoteke. Količina prostora potrebnog za kodove za provjeru autentičnosti ovisi o veličini datoteke. Na sljedećem popisu potražite procjenu koliko će dodatnih podataka biti potrebno za datoteke zapisnika:

  • 512KB datoteke spremnika zahtijevaju dodatne ~8192 bajtova za kodove provjere autentičnosti.

  • 1024KB datoteke spremnika zahtijevaju dodatne ~12288 bajtova za kodove za provjeru autentičnosti.

  • Za datoteke spremnika od 10 MB potrebni su dodatni bajtovi za provjeru autentičnosti za ~90112.

  • Za datoteke spremnika od 100 MB potrebni su dodatni ~57344 bajtova za kodove za provjeru autentičnosti.

  • Datoteke spremnika od 4 GB zahtijevaju dodatne ~2101248 bajtova za kodove za provjeru autentičnosti.

• Zbog povećanja ulaza/izlaza za održavanje kodova za provjeru autentičnosti vrijeme potrebno za izvođenje sljedećih operacija povećalo se:

  Povećanje vremena stvaranja datoteke zapisnika i otvaranja datoteke zapisnika u potpunosti ovisi o veličini spremnika, s većim datotekama zapisnika s mnogo zamjetljivijim utjecajem. U prosjeku se udvostručavanje vremena potrebnog za pisanje u zapis u zapisniku.

  • stvaranje datoteke zapisnika

  • datoteka zapisnika otvorena

  • pisanje novih zapisa

Konfiguracija

Postavke povezane s ovim ublažavanjem pohranjuju se u registar na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Slijedi popis vrijednosti registra ključeva i njihova svrha:

• Način rada: način rada ublažavanja

  • 0: Ublažavanje se primjenjuje. CLFS neće moći otvoriti datoteke zapisnika koje nedostaju ili nisu valjane kodove za provjeru autentičnosti. Nakon 90 dana pokretanja sustava s ovom verzijom upravljačkog programa CLFS će se automatski pretvoriti u način provedbe.

  • 1: Ublažavanje je u načinu učenja. CLFS će uvijek otvarati datoteke zapisnika. Ako u datoteci zapisnika nedostaju kodovi za provjeru autentičnosti, CLFS će generirati i upisati kodove u datoteku (pod pretpostavkom da pozivatelj ima pristup za pisanje).

  • 2: Administrator je onemogućio ublažavanje.

  • 3: Sustav je automatski onemogućio ublažavanje. Administrator ne bi trebao postaviti način rada na tu vrijednost, ali bi trebao koristiti "2" ako želi onemogućiti ublažavanje.

• EnforcementTransitionPeriod: vrijeme koje će sustav potrošiti u razdoblju prihvaćanja u sekundama. Ako je ta vrijednost nula, sustav se neće automatski pretvoriti u primjenu.

• LearningModeStartTime: vremenska oznaka u kojoj je način učenja pokrenut u sustavu. Ta vrijednost u kombinaciji s "EnforcementTransitionPeriod" određuje kada bi sustav trebao prelaziti u način provođenja.

• Ključ:kriptografski ključ koji se koristi za stvaranje kodova za provjeru autentičnosti (HMACs). Administratori ne bi trebali mijenjati tu vrijednost.

Administratori mogu u potpunosti onemogućiti ublažavanje promjenom vrijednosti načina rada u 2. Da bi produljio razdoblje usvajanja ublažavanja, administrator može promijeniti EnforcementTransitionPeriod (sekunde) na bilo koju vrijednost koju odaberete (ili 0 ako želite onemogućiti automatski prijelaz u način provođenja).

Ažuriranje pravilnik grupe pomoću uređivača lokalne pravilnik grupe

ClFS provjera autentičnosti može se omogućiti ili onemogućiti pomoću pravilnik grupe postavke:

1. Otvorite uređivač lokalnog pravilnik grupe u sustavu Windows Upravljačka ploča.
   
   

2. U odjeljku Konfiguracija računala odaberite Administrativni predložak > Sustav > i na popisu Postavke dvokliknite Omogući / onemogući provjeru autentičnosti CLFS datoteke zapisnika.
   
   

3. Odaberite Omogući ili Onemogući, a zatim kliknite U redu. Ako je odabrano Nije konfigurirano, ublažavanje je po zadanom omogućeno.
   
   

Ažuriranje pravilnik grupe/MDM postavki pomoću Intune

Da biste ažurirali pravilnik grupe i konfigurirali CLFS provjeru autentičnosti pomoću Microsoft Intune:

1. Otvorite Intune (https://endpoint.microsoft.com) i prijavite se pomoću vjerodajnica.

2. Stvaranje profila: 

   1. Odaberite Uređaji > Windows > konfiguracija > Stvori > novi pravilnik.

   2. Odaberite Platforma > Windows 10 i novije verzije.

   3. Odaberite Vrsta profila > Predlošci.

   4. Potražite i odaberite Prilagođeno.
      
      

3. Postavite naziv i opis:
   
   

4. Dodajte novu postavku OMA-URI-ja:
   
   

5. Uređivanje OMA-URI postavke: 

   1. Dodajte naziv kao što je ClfsAuthenticationCheck.

   2. Ako želite, dodajte opis.

   3. Postavite OMA-URI put na sljedeće:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. Postavite vrstu podataka na Niz.

   5. Postavite vrijednost na<omogućeno/> ili <onemogućeno/>.

   6. Kliknite Spremi.
      
      

6. Dovršite preostalu konfiguraciju oznaka opsega i dodjela, a zatim odaberite Stvori. ​​​​​​​

Promjene CLFS API-ja

Da biste izbjegli prekid promjena CLFS API-ja, postojeći kodovi pogrešaka koriste se za prijavu pogrešaka provjere integriteta pozivatelju:

• Ako CreateLogFile ne uspije, GetLastError će vratiti kôd ERROR_LOG_METADATA_CORRUPT pogreške.

• Za ClfsCreateLogFile, STATUS_LOG_METADATA_CORRUPT vraća se kada CLFS ne uspije provjeriti integritet datoteke zapisnika.

Najčešća pitanja (najčešća pitanja)

Rječnik

Hardening je proces koji pomaže u zaštiti od neovlaštenog pristupa, uskraćivanja usluge i drugih prijetnji ograničavanjem potencijalnih slabosti koje čine sustave ranjivima.

Sigurnosni atributi koriste se za pohranu informacija i nametanje precizne kontrole pristupa nad određenim resursima.