Si applica a
Windows 11 version 25H2, all editions Windows Server 2025

Data di pubblicazione originale: 28 ottobre 2025

ID KB: 5056852

Questa prevenzione dell'autenticazione avanzata è disponibile nelle versioni di Windows seguenti:

  • Aggiornamenti di Windows 11, versione 25H2 e Windows Server 2025 rilasciati dopo il 28 ottobre 2025 incluso

Contenuto dell'articolo 

Riassunto

Periodo di adozione della mitigazione

Impatto sull'utente

Configurazione

Aggiornare Criteri di gruppo impostazione utilizzando il Criteri di gruppo Editor locale

Aggiornare Criteri di gruppo/MDM con Intune

Modifiche all'API CLFS

Domande frequenti

Glossario

Riassunto

È stata introdotta una nuova prevenzione dell'autenticazione avanzata per il driver Common Log File System (CLFS) che aggiunge un codice di autenticazione dei messaggi basato su hash (HMAC) ai file sottostanti di un file di log CLFS. I codici di autenticazione vengono creati combinando i dati dei file con una chiave di crittografia univoca del sistema, archiviata nel Registro di sistema e accessibile solo agli amministratori e al sistema. I codici di autenticazione consentono a CLFS di controllare l'integrità del file, verificando che i dati dei file siano sicuri prima di analizzare le strutture di dati interne. CLFS presuppone che questo file sia stato modificato esternamente, dannosamente o in altro modo, se il controllo di integrità non riesce e si rifiuterà di aprire il file di log. Per procedere, è necessario creare un file di log nuovo o un amministratore dovrà autenticarlo manualmente usando il comando fsutil.

Periodo di adozione della mitigazione

Un sistema che riceve un aggiornamento con questa versione di CLFS avrà probabilmente file di log esistenti nel sistema che non dispongono di codici di autenticazione. Per garantire che questi logfile vengano convertiti nel nuovo formato, il sistema inserirà il driver CLFS in una "modalità di apprendimento", che indicherà a CLFS di aggiungere automaticamente codici di autenticazione ai logfile che non li hanno. L'aggiunta automatica di codici di autenticazione verrà eseguita all'apertura del file di log e solo se il thread chiamante dispone dell'accesso necessario per scrivere nel file. Attualmente, il periodo di adozione dura 90 giorni, a partire dal momento in cui il sistema è stato avviato con questa versione di CLFS. Dopo il periodo di adozione di 90 giorni, il driver passerà automaticamente alla modalità di applicazione al successivo avvio, dopodiché CLFS si aspetta che tutti i file di log contengano codici di autenticazione validi. Si noti che questo valore di 90 giorni potrebbe cambiare in futuro.

Se un file di log non viene aperto durante questo periodo di adozione e quindi non è stato automaticamente convertito nel nuovo formato, l'utilità fsutil clfs authenticate della riga di comando può essere utilizzata per aggiungere codici di autenticazione al file di log. Questa operazione richiede che il chiamante sia un amministratore.

Impatto sull'utente

Questa prevenzione può influire sui consumatori dell'API CLFS nei modi seguenti:

  • Poiché la chiave di crittografia usata per rendere i codici di autenticazione univoci per il sistema, i logfile non sono più portatili tra i sistemi. Per aprire un file di log creato in un sistema remoto, un amministratore deve prima utilizzare l'utilità di autenticazione fsutil clfs per autenticare il file di log utilizzando la chiave di crittografia dei sistemi locali.

  • Un nuovo file, con estensione ".cnpf", verrà archiviato insieme al file BLF (Binary Logging File) e ai contenitori di dati. Se il valore BLF per un file di log si trova in "C:\Users\User\example.blf", il relativo "file di patch" dovrebbe trovarsi in "C:\Users\User\example.blf.cnpf". Se un file di log non viene chiuso in modo pulito, il file di patch conterrà i dati necessari per CLFS per recuperare il file di log. Il file di patch verrà creato con gli stessi attributi di sicurezza del file per cui fornisce informazioni di ripristino. Il file avrà al massimo le stesse dimensioni di "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • È necessario spazio aggiuntivo per archiviare i codici di autenticazione. La quantità di spazio necessaria per i codici di autenticazione dipende dalle dimensioni del file. Fare riferimento all'elenco seguente per una stima della quantità di dati aggiuntivi necessari per i file di log:

    • I file contenitore 512KB richiedono circa 8192 byte aggiuntivi per i codici di autenticazione.

    • I file contenitore 1024KB richiedono circa 12288 byte aggiuntivi per i codici di autenticazione.

    • I file contenitore da 10 MB richiedono un valore aggiuntivo di circa 90112 byte per i codici di autenticazione.

    • I file contenitore da 100 MB richiedono circa 57344 byte aggiuntivi per i codici di autenticazione.

    • I file contenitore da 4 GB richiedono una 2101248 byte aggiuntivi per i codici di autenticazione.

  • A causa dell'aumento delle operazioni di I/O per la gestione dei codici di autenticazione, è aumentato il tempo necessario per eseguire le operazioni seguenti:

    • creazione di file di log

    • file di log aperto

    • scrittura di nuovi record

    L'aumento del tempo per la creazione di file di log e l'apertura di file di log dipende interamente dalle dimensioni dei contenitori, con file di log più grandi che hanno un impatto molto più evidente. In media, la quantità di tempo necessaria per scrivere in un record in un file di log è raddoppiata.

Configurazione

Le impostazioni correlate a questa prevenzione vengono archiviate nel Registro di sistema in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Di seguito è riportato un elenco dei valori del Registro di sistema chiave e del relativo scopo:

  • Modalità: modalità operativa della prevenzione

    • 0: viene applicata la mitigazione. CLFS non aprirà i logfile con codici di autenticazione mancanti o non validi. Dopo 90 giorni di esecuzione del sistema con questa versione del driver, CLFS passerà automaticamente alla modalità di applicazione.

    • 1: la prevenzione è in modalità di apprendimento. CLFS aprirà sempre i logfile. Se a un file di log mancano i codici di autenticazione, clfs genererà e scriverà i codici nel file (presupponendo che il chiamante abbia accesso in scrittura).

    • 2: un amministratore ha disabilitato la prevenzione.

    • 3: La prevenzione è stata disabilitata automaticamente dal sistema. Un amministratore non deve impostare la modalità su questo valore, ma deve usare "2" se desidera disabilitare la prevenzione.

  • EnforcementTransitionPeriod: la quantità di tempo, in secondi, che il sistema trascorrerà nel periodo di adozione. Se questo valore è zero, il sistema non passerà automaticamente all'applicazione.

  • LearningModeStartTime: timestamp in cui è stata avviata la modalità di apprendimento nel sistema. Questo valore, in combinazione con "EnforcementTransitionPeriod" determinerà quando un sistema deve passare alla modalità di applicazione.

  • Chiave:chiave crittografica usata per creare codici di autenticazione (HMACs). Gli amministratori non devono modificare questo valore.

Gli amministratori possono disabilitare completamente la prevenzione modificando il valore Mode su 2. Per prolungare il periodo di adozione della prevenzione, un amministratore può modificare EnforcementTransitionPeriod (secondi) su qualsiasi valore scelto (o 0 se si vuole disabilitare la transizione automatica in modalità di applicazione).

Aggiornare Criteri di gruppo impostazione utilizzando il Criteri di gruppo Editor locale

L'autenticazione CLFS può essere abilitata o disabilitata utilizzando l'impostazione Criteri di gruppo:

  1. Aprire il Criteri di gruppo Editor locale in Windows Pannello di controllo.Criteri computer locali

  2. In Configurazione computer selezionare Modello amministrativo > Sistema > File system e nell'elenco Impostazioni fare doppio clic su Abilita/disabilita autenticazione file log CLFS.Abilitare l'autenticazione dei file di log CLFS

  3. Selezionare Abilita o Disabilita e quindi fare clic su OK. Se l'opzione Non configurata è selezionata, la prevenzione è abilitata per impostazione predefinita.Seleziona Abilita o Disabilita

Aggiornare Criteri di gruppo/MDM con Intune

Per aggiornare Criteri di gruppo e configurare l'autenticazione CLFS con Microsoft Intune:

  1. Aprire il portale di Intune (https://endpoint.microsoft.com) e accedere con le credenziali.

  2. Creare un profilo: 

    1. Seleziona Dispositivi > configurazione di Windows >> Crea nuovi criteri >.

    2. Seleziona Platform > Windows 10 e versioni successive.

    3. Selezionare Tipo di profilo > Modelli.

    4. Cercare e selezionare Personalizzato.Configurazione di Windows

  3. Impostare un nome e una descrizione:Impostare un nome e una descrizione

  4. Aggiungere una nuova impostazione OMA-URI:Aggiungere una nuova impostazione OMA-URI

  5. Modifica impostazione OMA-URI: 

    1. Aggiungere un nome, ad esempio ClfsAuthenticationCheck.

    2. Facoltativamente, aggiungere una descrizione.

    3. Impostare il percorso OMA-URI sul seguente:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Impostare il tipo di dati su String.

    5. Impostare il valore su<abilitato/> o <disabilitato/>.

    6. Fai clic su Salva.Imposta valore e Salva

  6. Completare la configurazione rimanente di tag di ambito e assegnazioni, quindi selezionare Crea. ​​​​​​​

Modifiche all'API CLFS

Per evitare di interrompere le modifiche all'API CLFS, vengono usati codici di errore esistenti per segnalare errori di controllo dell'integrità al chiamante:

  • Se CreateLogFile non riesce, GetLastError restituisce il codice di errore ERROR_LOG_METADATA_CORRUPT .

  • Per ClfsCreateLogFile, lo stato di STATUS_LOG_METADATA_CORRUPT viene restituito quando CLFS non verifica l'integrità del file di log.

Domande frequenti

I codici di autenticazione (HMACs) sono stati aggiunti ai logfile CLFS che offrono al driver CLFS la possibilità di rilevare modifiche (dannose) apportate ai file prima di analizzarli. Quando la mitigazione passa in modalità di applicazione (90 giorni dopo la ricezione di questo aggiornamento), CLFS prevede che i codici di autenticazione siano presenti e validi per aprire correttamente il file di log.

Per i primi 90 giorni in cui questa versione del driver CLFS è attiva, il driver aggiungerà automaticamente i codici di autenticazione ai logfiles quando viene aperto da CreateLogFile o ClfsCreateLogFile.

Dopo la scadenza di questo periodo di adozione di 90 giorni, lo strumento di autenticazione fsutil clfs dovrà essere usato per aggiungere codici di autenticazione ai file di log vecchi o esistenti. Questo strumento richiede che il chiamante sia un amministratore.

Poiché i codici di autenticazione vengono creati usando una chiave di crittografia univoca del sistema, non sarà possibile aprire file di log creati in un altro sistema. Per correggere i codici di autenticazione usando la chiave di crittografia del sistema locale, un amministratore può usare lo strumento fsutil clfs authenticate . Questo strumento richiede che il chiamante sia nel gruppo Administrators.

Anche se non lo consigliamo, un amministratore può disabilitare questa prevenzione modificando HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Modalità] con un valore pari a 2.

A questo scopo, usare PowerShell ed eseguire il comando seguente:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glossario

La protezione avanzata è un processo che consente di proteggersi da accessi non autorizzati, denial of service e altre minacce limitando potenziali punti deboli che rendono i sistemi vulnerabili.

Gli attributi di sicurezza vengono usati per archiviare le informazioni e applicare un controllo di accesso granulare su risorse specifiche.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità