Hatókör
Windows 11 version 25H2, all editions Windows Server 2025

Eredeti közzététel dátuma: 2025. október 28.

TUDÁSBÁZIS-azonosító: 5056852

Ez a megkeményedő hitelesítési kockázatcsökkentés a következő Windows-kiadásokban érhető el:

  • Windows 11 2025. október 28-án vagy azt követően kiadott 25H2-es és Windows Server 2025-ös verziójú frissítések

Ebben a cikkben 

Összefoglalás

Kockázatcsökkentési bevezetési időszak

Felhasználóra gyakorolt hatás

Konfiguráció

Csoportházirend beállítása a Helyi Csoportházirend Szerkesztő

Csoportházirend/MDM-beállítás frissítése az Intune-ból

A CLFS API változásai

Gyakori kérdések (GYIK)

Glosszárium

Összefoglalás

A Common Log File System (CLFS) illesztőprogramhoz új hitelesítési kockázatcsökkentés lett bevezetve, amely kivonatalapú üzenethitelesítési kódot (HMAC) ad hozzá a CLFS-naplófájl mögöttes fájljaihoz. A hitelesítési kódok úgy jönnek létre, hogy a fájladatokat egy rendszer-egyedi titkosítási kulccsal kombinálják, amely a beállításjegyzékben van tárolva, és csak a rendszergazdák és a SYSTEM számára érhető el. A hitelesítési kódok lehetővé teszik, hogy a CLFS ellenőrizze a fájl integritását, és biztosítsa a fájladatok biztonságát a belső adatstruktúrák elemzése előtt. A CLFS feltételezi, hogy a fájlt külsőleg módosították, rosszindulatúan vagy más módon, ha az integritás ellenőrzése sikertelen, és megtagadja a naplófájl megnyitását. A folytatáshoz létre kell hoznia egy új naplófájlt, vagy a rendszergazdának manuálisan kell hitelesítenie azt az fsutil paranccsal.

Kockázatcsökkentési bevezetési időszak

A CLFS ezen verziójával frissítést kapó rendszerek valószínűleg olyan meglévő naplófájlokkal rendelkeznek a rendszeren, amelyek nem rendelkeznek hitelesítési kódokkal. Annak érdekében, hogy ezek a naplófájlok áttérjenek az új formátumra, a rendszer a CLFS-illesztőt "tanulási módban" helyezi el, amely arra utasítja a CLFS-t, hogy automatikusan adjon hozzá hitelesítési kódokat azokhoz a naplófájlokhoz, amelyek nem rendelkeznek velük. A hitelesítési kódok automatikus hozzáadása a logfile megnyitásakor történik, és csak akkor, ha a hívó szál rendelkezik a fájl írásához szükséges hozzáféréssel. A bevezetési időszak jelenleg 90 napig tart, attól az időponttól kezdve, amikor a rendszer először elindult a CLFS ezen verziójával. A 90 napos bevezetési időszak lejárta után az illesztő a következő indításkor automatikusan kényszerítési módba vált, amely után a CLFS elvárja, hogy minden naplófájl érvényes hitelesítési kódokat tartalmazzon. Vegye figyelembe, hogy ez a 90 napos érték a jövőben változhat.

Ha ebben a bevezetési időszakban nem nyitja meg a naplófájlt, ezért nem lett automatikusan áttérve az új formátumra, az fsutil clfs authentication parancssori segédprogram használható hitelesítési kódok hozzáadásához a naplófájlhoz. Ehhez a művelethez a hívónak rendszergazdának kell lennie.

Felhasználóra gyakorolt hatás

Ez a kockázatcsökkentés a CLFS API felhasználóit a következő módokon érintheti:

  • Mivel a hitelesítési kódok létrehozásához használt titkosítási kulcs rendszer-egyedi, a naplófájlok már nem hordozhatók a rendszerek között. Egy távoli rendszeren létrehozott naplófájl megnyitásához a rendszergazdának először az fsutil clfs hitelesítési segédprogrammal kell hitelesítenie a naplófájlt a helyi rendszer titkosítási kulcsával.

  • A rendszer egy ".cnpf" kiterjesztésű új fájlt tárol a bináris naplózási fájl (BLF) és az adattárolók mellett. Ha a naplófájl BLF-fájlja a "C:\Users\User\example.blf" helyen található, a "patch file" fájlnak a következő helyen kell lennie: "C:\Users\User\example.blf.cnpf". Ha a naplófájl nincs tisztán bezárva, a javításfájl a CLFS-nek a naplófájl helyreállításához szükséges adatokat fogja tárolni. A javítási fájl ugyanazokkal a biztonsági attribútumokkal lesz létrehozva, mint az a fájl, amely számára helyreállítási információkat biztosít. Ez a fájl legfeljebb ugyanolyan méretű lesz, mint a "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • A hitelesítési kódok tárolásához további fájlterületre van szükség. A hitelesítési kódokhoz szükséges hely mennyisége a fájl méretétől függ. Az alábbi listában megtekintheti, hogy mennyi további adatra lesz szükség a naplófájlokhoz:

    • Az 512 KB-os tárolófájlokhoz további ~8192 bájt szükséges a hitelesítési kódokhoz.

    • Az 1024 KB-os tárolófájlokhoz további ~12288 bájt szükséges a hitelesítési kódokhoz.

    • A 10 MB-os tárolófájlokhoz további ~90112 bájt szükséges a hitelesítési kódokhoz.

    • A 100 MB-os tárolófájlokhoz további ~57344 bájt szükséges a hitelesítési kódokhoz.

    • A 4 GB-os tárolófájlokhoz további ~2101248 bájt szükséges a hitelesítési kódokhoz.

  • A hitelesítési kódok fenntartásához szükséges I/O-műveletek számának növekedése miatt a következő műveletek végrehajtásához szükséges idő megnőtt:

    • logfile létrehozása

    • logfile megnyitva

    • új rekordok írása

    A naplófájlok létrehozásához és a naplófájlok megnyitásához szükséges idő növekedése teljes mértékben a tárolók méretétől függ, és a nagyobb naplófájlok sokkal észrevehetőbb hatást fejtenek ki. A naplófájlban lévő rekordokba való írás átlagosan megduplázódott.

Konfiguráció

A kockázatcsökkentéssel kapcsolatos beállításokat a rendszer a beállításjegyzékben tárolja a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. A következő lista tartalmazza a kulcsregisztrációs adatbázis értékeit és rendeltetését:

  • Mód: A kockázatcsökkentés működési módja

    • 0: A kockázatcsökkentés kényszerítve van. A CLFS nem fogja megnyitni a hiányzó vagy érvénytelen hitelesítési kódokkal rendelkező naplófájlokat. Az illesztőprogram ezen verziójával rendelkező rendszer 90 napos futtatása után a CLFS automatikusan kényszerítési módba vált.

    • 1: A kockázatcsökkentés tanulási módban van. A CLFS mindig megnyitja a naplófájlokat. Ha egy naplófájlból hiányoznak hitelesítési kódok, akkor a CLFS létrehozza és beírja a kódokat a fájlba (feltéve, hogy a hívó rendelkezik Írási hozzáféréssel).

    • 2: Egy rendszergazda letiltotta a kockázatcsökkentést.

    • 3: A rendszer automatikusan letiltotta a kockázatcsökkentést. A rendszergazda nem állíthatja be a Módot erre az értékre, hanem a "2" értéket kell használnia, ha le szeretné tiltani a kockázatcsökkentést.

  • EnforcementTransitionPeriod: Az az idő másodpercben, amelyet a rendszer a bevezetési időszakban tölt. Ha ez az érték nulla, akkor a rendszer nem vált át automatikusan kényszerítésbe.

  • LearningModeStartTime: Az az időbélyeg, amikor a tanulási mód elindult a rendszeren. Ez az érték és a "EnforcementTransitionPeriod" együttes használata határozza meg, hogy a rendszer mikor válthat kényszerítési módba.

  • Key:A hitelesítési kódok (HMAC-k) létrehozásához használt titkosítási kulcs. A rendszergazdák nem módosíthatják ezt az értéket.

A rendszergazdák teljes mértékben letilthatják a kockázatcsökkentést, ha a Mód értékét 2-re módosítják. A kockázatcsökkentés bevezetési időszakának meghosszabbításához a rendszergazda módosíthatja a EnforcementTransitionPeriod (másodperc) beállítást tetszőleges értékre (vagy 0-ra , ha le szeretné tiltani az automatikus kényszerítési módba való váltást).

Csoportházirend beállítása a Helyi Csoportházirend Szerkesztő

A CLFS-hitelesítés a Csoportházirend beállítással engedélyezhető vagy tiltható le:

  1. Nyissa meg a Helyi Csoportházirend Szerkesztő a Windows Vezérlőpult-ben.Helyi számítógép-házirend

  2. A Számítógép konfigurációja területen válassza a Felügyeleti sablon > Rendszer > fájlrendszer lehetőséget, majd a Beállítás listában kattintson duplán a CLFS logfile-hitelesítés engedélyezése/letiltása elemre.A CLFS-naplófájl hitelesítésének letiltása

  3. Válassza az Engedélyezés vagy a Letiltás lehetőséget, majd kattintson az OK gombra. Ha a Nincs konfigurálva beállítás van kiválasztva, a kockázatcsökkentés alapértelmezés szerint engedélyezve van.Válassza az Engedélyezés vagy a Letiltás lehetőséget

Csoportházirend/MDM-beállítás frissítése az Intune-ból

A Csoportházirend frissítése és a CLFS-hitelesítés konfigurálása a Microsoft Intune használatával:

  1. Nyissa meg az Intune portált (https://endpoint.microsoft.com), és jelentkezzen be a hitelesítő adataival.

  2. Profil létrehozása: 

    1. Válassza az Eszközök > Windows > konfigurációja >Új szabályzat létrehozása >lehetőséget.

    2. Válassza a Platform > Windows 10 és újabb lehetőséget.

    3. Válassza a Profiltípus > Sablonok lehetőséget.

    4. Keresse meg és válassza az Egyéni lehetőséget.Windows-konfiguráció

  3. Adjon meg egy nevet és egy leírást:Név és leírás megadása

  4. Adjon hozzá egy új OMA-URI beállítást:Új OMA-URI-beállítás hozzáadása

  5. OMA-URI-beállítás szerkesztése: 

    1. Adjon hozzá egy nevet, például ClfsAuthenticationCheck.

    2. Igény szerint adjon meg egy leírást.

    3. Állítsa az OMA-URI elérési útját a következőre:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Állítsa az AdattípustSztring értékre.

    5. Állítsa az Értéket az engedélyezett/>vagy<letiltott/>< értékre .

    6. Kattintson a Save (Mentés) gombra.Érték beállítása és Mentés

  6. Fejezze be a hatókörcímkék és -hozzárendelések fennmaradó konfigurációját, majd válassza a Létrehozás lehetőséget. ​​​​​​​

A CLFS API változásai

A CLFS API kompatibilitástörő változásainak elkerülése érdekében a rendszer a meglévő hibakódokkal jelenti a hívónak az integritás-ellenőrzési hibákat:

  • Ha a CreateLogFile sikertelen, akkor a GetLastError a ERROR_LOG_METADATA_CORRUPT hibakódot adja vissza.

  • ClfsCreateLogFile esetén a rendszer akkor adja vissza a STATUS_LOG_METADATA_CORRUPT állapotot, ha a CLFS nem tudja ellenőrizni a naplófájl integritását.

Gyakori kérdések (GYIK)

Hitelesítési kódok (HMAC-k) lettek hozzáadva a CLFS-naplófájlokhoz, amelyek lehetővé teszik a CLFS-illesztő számára a fájlok elemzése előtti (rosszindulatú) módosítások észlelését. Amikor a kockázatcsökkentés kényszerítési módba vált (a frissítés fogadása után 90 nappal), a CLFS a hitelesítési kódok jelenlétére és érvényességére számít a naplófájl sikeres megnyitásához.

Az első 90 napban, amikor a CLFS-illesztőprogram ezen verziója aktív, az illesztőprogram automatikusan hitelesítési kódokat ad a naplófájlokhoz, amikor a CreateLogFile vagy a ClfsCreateLogFile nyitja meg.

A 90 napos bevezetési időszak lejárta után az fsutil clfs hitelesítési eszközt kell használni a hitelesítési kódok régi vagy meglévő naplófájlokhoz való hozzáadásához. Ehhez az eszközhöz a hívónak rendszergazdai jogosultságra van szüksége.

Mivel a hitelesítési kódok rendszer-egyedi titkosítási kulcs használatával jönnek létre, nem fogja tudni megnyitni a másik rendszeren létrehozott naplófájlokat. Ha a helyi rendszer titkosítási kulcsával szeretné kijavítani a hitelesítési kódokat, a rendszergazda használhatja az fsutil clfs hitelesítési eszközt. Ehhez az eszközhöz a hívónak a Rendszergazdák csoportban kell lennie.

Bár nem javasoljuk, a rendszergazda letilthatja ezt a kockázatcsökkentést, ha a [Mode]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication2 értékre módosítja.

Ehhez használja a PowerShellt, és futtassa a következő parancsot:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glosszárium

A megkeményedés egy olyan folyamat, amely segít megvédeni a jogosulatlan hozzáférést, a szolgáltatásmegtagadást és az egyéb fenyegetéseket azáltal, hogy korlátozza azokat a lehetséges gyengeségeket, amelyek sebezhetővé teszik a rendszereket.

A biztonsági attribútumok az információk tárolására és adott erőforrások részletes hozzáférés-vezérlésének kikényszerítésére szolgálnak.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ