원래 게시 날짜: 2025년 10월 28일
KB ID: 5056852
이 강화 인증 완화는 다음 Windows 릴리스에서 사용할 수 있습니다.
-
2025년 10월 28일 또는 그 이후에 릴리스된 Windows 11, 버전 25H2 및 Windows Server 2025 업데이트
|
날짜 변경 |
설명 변경 |
|
2026년 2월 24일 |
"사용자 영향" 섹션에 다음 글머리 기호가 추가되었습니다.
|
이 문서에서
요약
CLFS 로그 파일의 기본 파일에 해시 기반 메시지 인증 코드(HMAC)를 추가하는 CLFS(Common Log File System) 드라이버에 대한 새로운 강화 인증 완화가 도입되었습니다. 인증 코드는 파일 데이터를 레지스트리에 저장되고 관리자 및 시스템에서만 액세스할 수 있는 시스템 고유 암호화 키와 결합하여 만들어집니다. 인증 코드를 사용하면 CLFS가 파일의 무결성을 검사 내부 데이터 구조를 구문 분석하기 전에 파일 데이터가 안전한지 확인합니다. CLFS는 무결성 검사 실패하고 로그 파일 열기를 거부하는 경우 이 파일이 외부에서 악의적으로 또는 기타 수정되었다고 가정합니다. 계속하려면 새 로그 파일을 만들어야 하거나 관리자가 fsutil 명령을 사용하여 수동으로 인증해야 합니다.
완화 채택 기간
이 버전의 CLFS로 업데이트를 수신하는 시스템에는 인증 코드가 없는 시스템에 기존 로그파일이 있을 수 있습니다. 이러한 로그파일을 새 형식으로 전환하기 위해 시스템은 CLFS 드라이버를 "학습 모드"에 배치하여 CLFS에 인증 코드가 없는 로그파일에 인증 코드를 자동으로 추가하도록 지시합니다. 인증 코드의 자동 추가는 호출 스레드가 파일에 쓰는 데 필요한 액세스 권한이 있는 경우에만 로그파일이 열릴 때 발생합니다. 현재 채택 기간은 시스템이 이 버전의 CLFS로 처음 시작된 시점부터 90일 동안 지속됩니다. 이 90일 채택 기간이 경과하면 드라이버는 다음 시작 시 자동으로 적용 모드로 전환되며, 그 후에는 CLFS에서 모든 로그파일에 유효한 인증 코드가 포함될 것으로 예상합니다. 이 90일 값은 나중에 변경될 수 있습니다.
이 채택 기간 동안 로그 파일이 열리지 않아 새 형식으로 자동으로 전환되지 않은 경우 fsutil clfs 인증 명령줄 유틸리티를 사용하여 로그 파일에 인증 코드를 추가할 수 있습니다. 이 작업을 수행하려면 호출자가 관리자여야 합니다.
사용자 영향
이 완화는 다음과 같은 방법으로 CLFS API의 소비자에게 영향을 미칠 수 있습니다.
-
logfile 인증은 로그 파일 열기 시간에 수행되므로 CLFS는 내부 구조를 구문 분석하기 전에 인증 코드의 유효성을 검사하기 위해 디스크에서 전체 로그 파일을 읽어야 합니다. 따라서 로그 파일 열기 작업에는 로그 파일 크기에 비례하여 추가 읽기 I/O가 발생합니다.
-
이 동작의 예는 사용자 로그온 및 시스템 종료 중에 관찰할 수 있습니다. 레지스트리는 이러한 전환 중에 열리는 사용자 하이브(NTUSER.dat)에 대한 CLFS 백업 로그 파일을 유지 관리합니다. 로그파일을 열면 인증에 로그파일을 완전히 읽어야 하므로 로그온 및 종료 중에 디스크 I/O가 증가합니다.
-
-
인증 코드를 만드는 데 사용되는 암호화 키는 시스템 고유이므로 로그 파일은 더 이상 시스템 간에 이식할 수 없습니다. 원격 시스템에서 만든 로그 파일을 열려면 관리자가 먼저 fsutil clfs 인증 유틸리티를 사용하여 로컬 시스템 암호화 키를 사용하여 로그 파일을 인증해야 합니다.
-
확장명 ".cnpf"가 있는 새 파일은 BLF(이진 로깅 파일) 및 데이터 컨테이너와 함께 저장됩니다. 로그파일의 BLF가 "C:\Users\User\example.blf"에 있는 경우 해당 "패치 파일"은 "C:\Users\User\example.blf.cnpf"에 있어야 합니다. 로그 파일이 완전히 닫혀 있지 않으면 패치 파일에는 CLFS가 로그파일을 복구하는 데 필요한 데이터가 저장됩니다. 패치 파일은 복구 정보를 제공하는 파일과 동일한 보안 특성을 사용하여 만들어집니다. 이 파일은 "FlushThreshold"(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold])와 최대 크기가 동일합니다.
-
인증 코드를 저장하려면 추가 파일 공간이 필요합니다. 인증 코드에 필요한 공간의 양은 파일 크기에 따라 달라집니다. 로그 파일에 필요한 추가 데이터의 양에 대한 예상은 다음 목록을 참조하세요.
-
512KB 컨테이너 파일에는 인증 코드에 최대 8192바이트가 추가로 필요합니다.
-
1024KB 컨테이너 파일에는 인증 코드에 대해 최대 12288바이트가 추가로 필요합니다.
-
10MB 컨테이너 파일에는 인증 코드에 대한 추가 최대 90112바이트가 필요합니다.
-
100MB 컨테이너 파일에는 인증 코드에 대해 최대 57344바이트가 추가로 필요합니다.
-
4GB 컨테이너 파일에는 인증 코드에 대한 추가 2101248 바이트가 필요합니다.
-
-
인증 코드를 유지 관리하기 위한 I/O 작업의 증가로 인해 다음 작업을 수행하는 데 걸리는 시간이 증가했습니다.
로그파일 만들기 및 로그파일 열기의 시간 증가는 컨테이너의 크기에 따라 달라지며, 더 큰 로그파일은 훨씬 더 눈에 띄는 영향을 줍니다. 평균적으로 로그파일의 레코드에 쓰는 데 걸리는 시간이 두 배로 증가했습니다.
-
logfile 만들기
-
logfile 열기
-
새 레코드 작성
-
구성
이 완화와 관련된 설정은 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication 레지스트리에 저장됩니다. 다음은 키 레지스트리 값과 해당 용도의 목록입니다.
-
모드: 완화의 작동 모드
-
0: 완화가 적용됩니다. CLFS는 누락되거나 잘못된 인증 코드가 있는 로그 파일을 열지 못합니다. 이 버전의 드라이버로 시스템을 90일 동안 실행한 후 CLFS는 자동으로 적용 모드로 전환됩니다.
-
1: 완화가 학습 모드에 있습니다. CLFS는 항상 로그 파일을 엽니다. 로그파일에 인증 코드가 없는 경우 CLFS는 코드를 생성하고 파일에 씁니다(호출자에게 쓰기 권한이 있다고 가정).
-
2: 관리자가 완화를 사용하지 않도록 설정했습니다.
-
3: 시스템에서 완화를 자동으로 사용하지 않도록 설정했습니다. 관리자는 모드를 이 값으로 설정해서는 안 되지만 완화를 사용하지 않도록 설정하려면 "2"를 사용해야 합니다.
-
-
EnforcementTransitionPeriod: 시스템이 채택 기간에 소비하는 시간(초)입니다. 이 값이 0이면 시스템이 자동으로 적용으로 전환되지 않습니다.
-
LearningModeStartTime: 시스템에서 학습 모드가 시작된 타임스탬프입니다. 이 값은 "EnforcementTransitionPeriod" 와 함께 시스템이 적용 모드로 전환되어야 하는 시기를 결정합니다.
-
키: HMAC(인증 코드)를 만드는 데 사용되는 암호화 키입니다. 관리자는 이 값을 수정해서는 안 됩니다.
관리자는 모드 값을 2로 변경하여 완화를 완전히 사용하지 않도록 설정할 수 있습니다. 완화 채택 기간을 연장하기 위해 관리자는 EnforcementTransitionPeriod (초)를 선택한 값(또는 적용 모드로 자동 전환을 사용하지 않도록 설정하려는 경우 0 )으로 변경할 수 있습니다.
로컬 그룹 정책 편집기를 사용하여 그룹 정책 설정 업데이트
그룹 정책 설정을 사용하여 CLFS 인증을 사용하거나 사용하지 않도록 설정할 수 있습니다.
-
Windows 제어판 로컬 그룹 정책 편집기를 엽니다.
-
컴퓨터 구성에서 관리 템플릿 > 시스템 > 파일 시스템을 선택하고 설정 목록에서 CLFS 로그 파일 인증 사용/사용 안 함을 두 번 클릭합니다.
-
사용 또는 사용 안 함을 선택한 다음 확인을 클릭합니다. 구성되지 않음을 선택하면 기본적으로 완화가 사용하도록 설정됩니다.
Intune 사용하여 그룹 정책/MDM 설정 업데이트
그룹 정책 업데이트하고 Microsoft Intune 사용하여 CLFS 인증을 구성하려면 다음을 수행합니다.
-
Intune 포털(https://endpoint.microsoft.com)을 열고 자격 증명으로 로그인합니다.
-
프로필 만들기:
-
디바이스 > Windows > 구성 > 만들기 > 새 정책을 선택합니다.
-
플랫폼 > Windows 10 이상을 선택합니다.
-
프로필 유형 > 템플릿을 선택합니다.
-
사용자 지정을 검색하여 선택합니다.
-
-
이름 및 설명을 설정합니다.
-
새 OMA-URI 설정을 추가합니다.
-
OMA-URI 설정 편집:
-
ClfsAuthenticationCheck와 같은 이름을 추가합니다.
-
필요에 따라 설명을 추가합니다.
-
OMA-URI 경로를 다음으로 설정합니다./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking
-
데이터 형식을 문자열로 설정합니다.
-
값을 사용/><설정 하거나 사용 안 함/><설정합니다.
-
저장을 클릭합니다.
-
-
범위 태그 및 할당의 나머지 구성을 완료한 다음 만들기를 선택합니다.
CLFS API 변경 내용
CLFS API의 호환성이 손상되는 변경을 방지하기 위해 기존 오류 코드는 호출자에게 무결성 검사 오류를 보고하는 데 사용됩니다.
-
CreateLogFile이 실패하면 GetLastError가 ERROR_LOG_METADATA_CORRUPT 오류 코드를 반환합니다.
-
ClfsCreateLogFile의 경우 CLFS가 로그 파일의 무결성을 확인하지 못하면 STATUS_LOG_METADATA_CORRUPT 상태 반환됩니다.
FAQ(질문과 대답)
CLFS 로그파일에 HMAC(인증 코드)가 추가되어 CLFS 드라이버에서 파일을 구문 분석하기 전에 파일 수정을 감지(악의적인) 기능을 제공합니다. 완화가 적용 모드로 전환되면(이 업데이트를 받은 후 90일) CLFS는 인증 코드가 존재하고 로그파일을 성공적으로 여는 데 유효할 것으로 예상합니다.
이 버전의 CLFS 드라이버가 활성화된 첫 90일 동안 드라이버는 CreateLogFile 또는 ClfsCreateLogFile에서 열면 자동으로 로그파일에 인증 코드를 추가합니다.
이 90일 채택 기간이 경과한 후 fsutil clfs 인증 도구를 사용하여 이전 또는 기존 로그 파일에 인증 코드를 추가해야 합니다. 이 도구를 사용하려면 호출자가 관리자여야 합니다.
인증 코드는 시스템 고유 암호화 키를 사용하여 만들어지므로 다른 시스템에서 만든 로그파일을 열 수 없습니다. 로컬 시스템의 암호화 키를 사용하여 인증 코드를 수정하기 위해 관리자는 fsutil clfs 인증 도구를 사용할 수 있습니다. 이 도구를 사용하려면 호출자가 Administrators 그룹에 있어야 합니다.
권장하지는 않지만 관리자는 [모드]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication 값 2로 수정하여 이 완화를 사용하지 않도록 설정할 수 있습니다.
이렇게 하려면 PowerShell을 사용하고 다음 명령을 실행합니다.
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2
용어집
강화 는 시스템을 취약하게 만드는 잠재적인 약점을 제한하여 무단 액세스, 서비스 거부 및 기타 위협으로부터 보호하는 프로세스입니다.
보안 특성은 정보를 저장하고 특정 리소스에 대한 세분화된 액세스 제어를 적용하는 데 사용됩니다.
