Taikoma
Windows 11 version 25H2, all editions Windows Server 2025

Pradinė publikavimo data: 2025 m. spalio 28 d.

KB ID: 5056852

Šis sustigrinamas autentifikavimo mažinimas galimas šiuose "Windows" leidimuose:

  • Windows 11 25H2 versijos ir Windows Server 2025" naujinimai, išleisti 2025 m. spalio 28 d. arba vėliau

Šiame straipsnyje 

Suvestinė

Rizikos mažinimo priėmimo laikotarpis

Poveikis vartotojui

Konfigūracija

Parametras Naujinti Grupės strategija naudojant vietinę Grupės strategija Redaktorius

Grupės strategija/MDM parametro naujinimas naudojant "Intune"

CLFS API pakeitimai

Dažnai užduodami klausimai (DUK)

Žodynėlis

Suvestinė

Bendrosios žurnalų failų sistemos (CLFS) tvarkyklei, kuri įtraukia maiša pagrįstą pranešimo autentifikavimo kodą (HMAC) į esamus CLFS žurnalo failo failus, pristatytas naujas sustildymą mažinančio autentifikavimo mažinimas. Autentifikavimo kodai sukuriami sujungiant failo duomenis su sistemos unikaliu šifravimo raktu, kuris saugomas registre ir pasiekiamas tik administratoriams ir SISTEMAI. Autentifikavimo kodai leis CLFS tikrinti failo vientisumą, užtikrindami, kad failo duomenys yra saugūs prieš analizuojant jo vidines duomenų struktūras. CLFS daro prielaidą, kad šis failas buvo modifikuotas išorėje, kenkėjiškai ar kitaip, jei vientisumo patikra nepavyks ir atsisakys atidaryti žurnalo failo. Norint tęsti, reikia sukurti naują žurnalo failą arba administratorius turės rankiniu būdu autentifikuoti jį naudodamas komandą fsutil.

Rizikos mažinimo priėmimo laikotarpis

Sistemoje, gaunančioje naujinimą šia CLFS versija, greičiausiai sistemoje bus esami žurnalo failai, neturintys autentifikavimo kodų. Norint užtikrinti, kad šie žurnalo failai būtų perkelti į naują formatą, sistema įkels CLFS tvarkyklę į "mokymosi režimą", kuris nurodys CLFS automatiškai įtraukti autentifikavimo kodus į žurnalofailus, kurie jų neturi. Automatinis autentifikavimo kodų įtraukimas įvyks atidarant žurnalo failą ir tik tuo atveju, jei skambinimo gija turi reikiamą prieigą rašyti į failą. Šiuo metu priėmimo laikotarpis trunka 90 dienų, pradedant nuo to laiko, kai sistema buvo pirmą kartą paleista naudojant šią CLFS versiją. Pasibaigus šiam 90 dienų pritaikymo laikotarpiui, tvarkyklė automatiškai pereis į vykdymo režimą kitą kartą, o tada CLFS tikisi, kad visuose žurnalo failuose bus galiojantys autentifikavimo kodai. Atkreipkite dėmesį, kad ši 90 dienų reikšmė ateityje gali pasikeisti.

Jei žurnalo failas neatidarytas per šį pritaikymo laikotarpį ir todėl nebuvo automatiškai perkeltas į naują formatą, fsutil clfs autentifikuoti komandų eilutės įrankis gali būti naudojamas įtraukti autentifikavimo kodus į žurnalofailą. Šiai operacijai atlikti reikia, kad skambinantysis būtų administratorius.

Poveikis vartotojui

Šis mažinimas gali paveikti CLFS API vartotojus šiais būdais:

  • Šifravimo raktas, naudojamas autentifikavimo kodams sukurti, yra unikalus sistemos, todėl žurnalo failai nebėra perkeliami tarp sistemų. Norėdami atidaryti žurnalo failą, kuris buvo sukurtas nuotolinėje sistemoje, administratorius pirmiausia turi naudoti fsutil clfs autentifikuoti programą autentifikuoti žurnalo failą naudojant kriptografinį raktą vietinėse sistemose.

  • Naujas failas su plėtiniu .cnpf bus saugomas kartu su dvejetainiu registravimo failu (BLF) ir duomenų konteineriais. Jei logfile BLF yra "C:\Users\User\example.blf", jo "pataisų failas" turėtų būti "C:\Users\User\example.blf.cnpf". Jei žurnalo failas nėra švariai uždarytas, pataisų faile bus pateikti duomenys, reikalingi CLFS žurnalo failui atkurti. Pataisų failas bus sukurtas su tais pačiais saugos atributais , kaip ir failas, kuriam jis teikia atkūrimo informaciją. Šis failas bus daugiausia tokio paties dydžio kaip "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Norint saugoti autentifikavimo kodus, reikia papildomos vietos faile. Autentifikavimo kodams reikalingos vietos dydis priklauso nuo failo dydžio. Peržiūrėkite toliau pateiktą sąrašą ir sužinokite, kiek papildomų duomenų reikės jūsų žurnalo failams:

    • 512 KB konteinerio failams reikia papildomų ~8192 baitų autentifikavimo kodams.

    • 1024KB konteinerio failams reikia papildomų ~12288 baitų autentifikavimo kodams.

    • 10MB konteinerio failams reikia papildomų ~90112 baitų autentifikavimo kodams.

    • 100 MB konteinerio failams reikia papildomų ~57344 baitų autentifikavimo kodams.

    • 4 GB konteinerio failams autentifikavimo kodams reikia papildomų ~2101248 baitų.

  • Dėl didėjančių įvado / išvesties operacijų, skirtų autentifikavimo kodams palaikyti, pailgėjo laikas, kurio reikia šioms operacijoms atlikti:

    • žurnalo failo kūrimas

    • žurnalo failo atidarymas

    • naujų įrašų rašymas

    Žurnalo failo kūrimo ir žurnalo failo atidarymo laiko padidėjimas priklauso tik nuo konteinerių dydžio, todėl didesni žurnalo failai daro daug didesnį poveikį. Vidutiniškai žurnalo failo įrašo rašymo trukmė padvigubėjo.

Konfigūracija

Parametrai, susiję su šiuo mažinimu, saugomi registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Toliau pateikiamas sąrašas raktų registro reikšmių ir jų paskirties:

  • Režimas: rizikos mažinimo darbo režimas

    • 0: mažinimas yra įgalintas. CLFS nepavyks atidaryti žurnalo failų, kuriuose yra trūkstamų arba neleistinų autentifikavimo kodų. Praėjus 90 dienų nuo sistemos paleidimo su šia tvarkyklės versija, CLFS automatiškai pereis į vykdymo režimą.

    • 1: rizikos mažinimas veikia mokymosi režimu. CLFS visada atidarys žurnalo failus. Jei žurnalo faile trūksta autentifikavimo kodų, CLFS sugeneruos ir įrašys kodus į failą (jei skambintojas turi rašymo prieigą).

    • 2: Administratorius išjungė rizikos mažinimą.

    • 3: Rizikos mažinimas buvo išjungtas automatiškai sistema. Administratorius neturėtų nustatyti režimo į šią reikšmę, bet turėtų naudoti "2", jei nori išjungti rizikos mažinimą.

  • EnforcementTransitionPeriod: laikas sekundėmis, kurį sistema išleis priėmimo laikotarpiu. Jei ši reikšmė yra nulis, sistema automatiškai nepereis į vykdymo procesą.

  • LearningModeStartTime: laiko žyma, kada sistemoje buvo paleistas mokymosi režimas. Ši reikšmė kartu su "EnforcementTransitionPeriod" nustatys, kada sistema turėtų pereiti į vykdymo režimą.

  • Raktas:šifravimo raktas, naudojamas autentifikavimo kodams (HMACs) kurti. Administratoriai neturėtų modifikuoti šios reikšmės.

Administratoriai gali visiškai išjungti rizikos mažinimą pakeisdami režimo reikšmę į 2. Kad pratęstų mažinimo pritaikymo laikotarpį, administratorius gali pakeisti EnforcementTransitionPeriod (sekundės) į bet kurią norimą reikšmę (arba 0 , jei norite išjungti automatinį perėjimą į vykdymo režimą).

Parametras Naujinti Grupės strategija naudojant vietinę Grupės strategija Redaktorius

CLFS autentifikavimą galima įjungti arba išjungti naudojant Grupės strategija parametrą:

  1. Atidarykite vietinę Grupės strategija Redaktorius sistemoje "Windows valdymo skydas".Vietinio kompiuterio strategija

  2. Dalyje Kompiuterio konfigūracija pasirinkite Administravimo šablonas > Sistemos > Failų sistema ir sąraše Parametrai dukart spustelėkite Įjungti / išjungti CLFS žurnalo failo autentifikavimą.Įgalinti IŠJUNGTI CLFS žurnalo failo autentifikavimą

  3. Pasirinkite Įjungti arba Išjungti, tada spustelėkite Gerai. Jei pažymėta Nesukonfigūruota, rizikos mažinimas yra įjungtas pagal numatytuosius parametrus.Pasirinkite Įjungti arba Išjungti

Grupės strategija/MDM parametro naujinimas naudojant "Intune"

Norėdami atnaujinti Grupės strategija ir konfigūruoti CLFS autentifikavimą naudodami "Microsoft Intune":

  1. Atidarykite " Intune" portalą (https://endpoint.microsoft.com) ir prisijunkite naudodami savo kredencialus.

  2. Sukurkite profilį: 

    1. Pasirinkite Įrenginiai > "Windows" > konfigūracija > Kurti > naują strategiją.

    2. Pasirinkite Platformos > Windows 10 ir naujesnės versijos.

    3. Pasirinkite Profilio tipas > šablonai.

    4. Ieškokite ir pasirinkite Pasirinktinis."Windows" konfigūracija

  3. Nustatykite pavadinimą ir aprašą:Pavadinimo ir aprašo nustatymas

  4. Įtraukite naują OMA-URI parametrą:Įtraukti naują OMA-URI parametrą

  5. Redaguoti OMA-URI parametrą: 

    1. Įtraukite pavadinimą, pvz., ClfsAuthenticationCheck.

    2. Pasirinktinai įtraukite aprašą.

    3. Nustatykite OMA-URI kelią į:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Nustatykite duomenų tipą į Eilutė.

    5. Nustatykite reikšmę į <įgalintas / > arba <išjungtas / >.

    6. Spustelėkite Įrašyti.Nustatyti reikšmę ir įrašyti

  6. Baikite likusią aprėpties žymių ir priskyrimų konfigūraciją, tada pasirinkite Kurti. ​​​​​​​

CLFS API pakeitimai

Siekiant išvengti griaužtų CLFS API keitimų, esami klaidų kodai naudojami pranešti skambinančiojo vientisumo tikrinimo klaidas:

  • Jei CreateLogFile nepavyksta, tada GetLastError grąžins ERROR_LOG_METADATA_CORRUPT klaidos kodą.

  • ClfsCreateLogFile STATUS_LOG_METADATA_CORRUPT būsena grąžinama, kai CLFS nepavyksta patikrinti žurnalo failo vientisumo.

Dažnai užduodami klausimai (DUK)

Autentifikavimo kodai (HMACs) buvo įtraukti į CLFS žurnalofailus, kurie suteikia CLFS tvarkyklei galimybę aptikti (kenkėjiškus) failų pakeitimus prieš juos analizuojant. Kai rizikos mažinimo perėjimus į vykdymo režimu (90 dienų po gavimo šį naujinimą), CLFS tikisi autentifikavimo kodai turi būti ir galioja sėkmingai atidaryti žurnalo failą.

Pirmąsias 90 dienų, kai ši CLFS tvarkyklės versija yra aktyvi, tvarkyklė automatiškai įtrauks autentifikavimo kodus į žurnalofailus, kai atidaro CreateLogFile arba ClfsCreateLogFile.

Pasibaigus šiam 90 dienų pritaikymo laikotarpiui, fsutil clfs autentifikavimo įrankis turės būti naudojamas norint įtraukti autentifikavimo kodus į senus arba esamus žurnalofailus. Šiam įrankiui reikia, kad skambinantysis būtų administratorius.

Kadangi autentifikavimo kodai sukuriami naudojant sistemos unikalų šifravimo raktą, negalėsite atidaryti kitoje sistemoje sukurtų žurnalo failų. Norėdami pataisyti autentifikavimo kodus naudodami vietinės sistemos šifravimo raktą, administratorius gali naudoti fsutil clfs autentifikavimo įrankį. Šiam įrankiui reikia, kad skambinantysis būtų administratorių grupėje.

Nors mes to nerekomenduojame, administratorius gali išjungti šį mažinimą modifikdamas HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Mode], kad reikšmė būtų 2.

Norėdami tai padaryti, naudokite "PowerShell" ir vykdykite šią komandą:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Žodynėlis

Sukietėjimas yra procesas, padedantis apsisaugoti nuo neteisėtos prieigos, atsisakymo teikti paslaugas ir kitų grėsmių, apribojant galimus trūkumus, dėl kurių sistemos tampa pažeidžiamos.

Saugos atributai naudojami informacijai saugoti ir įgalinti išsamios prieigos prie konkrečių išteklių valdymą.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras