Sākotnējās publicēšanas datums: 2025. gada 28. oktobris
KB ID: 5056852
Šī vājā autentifikācijas mazināšana ir pieejama šādos Windows laidienos:
-
Windows 11 2025. gada 25 Windows Server oktobra atjauninājumi, kas izlaisti pēc 2025. gada 28. oktobra
Šajā rakstā
Atjaunināšanas grupas politika, izmantojot lokālo grupas politika Redaktors
Datu grupas politika/MDM iestatīšana, izmantojot Intune
Kopsavilkums
Bieži lietotās žurnālfailu sistēmas (Common Log File System — CLFS) draiverim ir ieviests jauns autentifikācijas mazināšanas paņēmiens, kas CLFS žurnālfaila pamatā esošajiem failiem pievieno ziņojumu autentifikācijas kodu (hash-based message authentication code — HMAC ). Autentifikācijas kodi tiek izveidoti, apvienojot failu datus ar sistēmas unikālo šifrēšanas atslēgu, kas tiek glabāta reģistrā un pieejama tikai administratoriem un SYSTEM. Autentifikācijas kodi ļaus CLFS pārbaudīt faila integritāti, nodrošinot failu datu drošību, pirms parsējot iekšējo datu struktūras. CLFS pieņem, ka šis fails ir atvērts ārēji modificēts ļaunprātīgi vai citādi, ja integritātes pārbaude neizdodas un noraida žurnālfaila atvēršanas atļauju. Lai turpinātu, jāizveido jauns žurnālfails vai administratoram tas ir manuāli jāautentificējas, izmantojot komandu fsutil.
.
Sistēmai, kas saņem atjauninājumu ar šo CLFS versiju, visdrīzāk būs esošie žurnālfaili sistēmā, kuriem nav autentifikācijas kodu. Lai šie žurnālfaili tiktu ievietoti jaunajā formātā, sistēma CLFS draiveri novietos "mācību režīmā", kas instruē CLFS automātiski pievienot autentifikācijas kodus žurnālfailiem, kuriem to nav. Automātiska autentifikācijas kodu pievienošana notiek atvērtajā žurnālfailā un tikai tad, ja zvanu pavedienam ir nepieciešamā piekļuve, lai rakstītu failā. Pašlaik apvilkšanas periods ilgst 90 dienas, sākot no laika, kad sistēma pirmo reizi tika sākta ar šo CLFS versiju. Pēc šī 90 dienu apšanas perioda intervāla draiveris automātiski pāries izpildes režīmā tā nākamajā sākumā, pēc tam CLFS sagaida, ka visi žurnālfaili saturēs derīgus autentifikācijas kodus. Ņemiet vērā, ka šī 90 dienu vērtība nākotnē var mainīties.
Ja šajā apvilkšanas periodā žurnālfails netiek atvērts un līdz ar to netika automātiski pāriets uz jauno formātu, fsutil clfs autentifikācijas komandrindas utilītu var izmantot, lai pievienotu autentifikācijas kodus žurnālfailam. Šīs darbības veikšanai zvanītājam ir jābūt administratoram.
Ietekme uz lietotāju
Šis risku mazināšanas paņēmiens var ietekmēt CLFS API patērētājus šādos veidos:
-
Tā kā šifrēšanas atslēga, kas tiek izmantota autentifikācijas kodu padarīšanai par sistēmas unikālajām, žurnālfaili vairs nav pārvietojami starp sistēmām. Lai atvērtu attālā sistēmā izveidotu žurnālfailu, administratoram vispirms jāizmanto fsutil clfs autentifikācijas utilīta, lai autentificētu žurnālfailu, izmantojot lokālo sistēmu šifrēšanas atslēgu.
-
Blakus binārās reģistrēšanas failam (Binary Logging File - BLF) un datu konteineriem tiks glabāts jauns fails ar paplašinājumu ".cnpf". Ja žurnāla faila BLF atrodas mapē "C:\Users\User\example.blf", tā "ielāpa failam" jāatrodas vietā "C:\Users\User\example.blf.cnpf". Ja žurnālfails netiek notīrīts aizvērts, ielāpa failā būs dati, kas nepieciešami CLFS žurnālfaila atkopšanai. Ielāpa fails tiks izveidots ar tādiem pašiem drošības atribūtiem kā fails, kas nodrošina atkopšanas informāciju. Faila lielums būs tāds pats kā "PludkumsTēriet" (vienāds ar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [Pludmetriet]).
-
Autentifikācijas kodu glabāšanai ir nepieciešama papildu failu vieta. Autentifikācijai nepieciešamo vietu skaits ir atkarīgs no faila lieluma. Skatiet tālāk norādīto sarakstu, lai iegūtu novērtējumu par to, cik daudz papildu datu būs nepieciešami jūsu žurnālfailiem:
-
512 KB konteinera failiem autentifikācijas kodiem ir nepieciešami papildu ~8192 baiti.
-
1024 KB konteinera failiem autentifikācijas kodiem ir nepieciešami papildu ~12288 baiti.
-
10 MB konteinera failiem autentifikācijas kodiem ir nepieciešami papildu ~90112 baiti.
-
100 MB konteinera failiem autentifikācijas kodiem ir nepieciešami papildu ~57344 baiti.
-
4 GB konteinera failiem autentifikācijas kodiem ir 2101248 ~bezmaksas baiti.
-
-
Autentifikācijas kodu uzturēšanā ir palielināts I/O apjoms, tāpēc ir palielināts laiks, kas nepieciešams šādu darbību veikšanai:
-
logfile creation
-
logfile open
-
Writing of new records
Žurnālafaila izveides un žurnālfaila atvēršanas laika pieaugums ir pilnībā atkarīgs no konteineru lieluma, un lielākam žurnālfailiem ir daudz pamanāmāka ietekme. Žurnālfailā ierakstam nepieciešamais vidējais laiks ir dubults.
-
Konfigurācijas
Ar šo risku saistītie iestatījumi tiek glabāti reģistrā vietnē HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Tālāk ir saraksts ar atslēgas reģistra vērtībām un to mērķi:
-
Režīms: risku mazināšanas režīms
-
0. Ir spēkā risku mazināšana. CLFS neizdosies atvērt žurnālfailus, kuros trūkst vai ir nederīgi autentifikācijas kodi. Pēc 90 dienu sistēmas darbības, izmantojot šo draivera versiju, CLFS automātiski pāries ieviešanas režīmā.
-
1. Risku mazināšana ir mācību režīmā. CLFS vienmēr atvērs žurnālfailus. Ja žurnālfailā trūkst autentifikācijas kodu, CLFS ģenerēs un failā pierakstīs kodus (pieņemot, ka zvanītājam ir rakstīšanas piekļuve).
-
2. Administrators ir atspējojis risku mazināšanas iespēju.
-
3. Sistēma automātiski atspējoja risku mazināšanas pasākumu. Administratoram nav jāiestata režīma vērtība, bet, ja viņš vēlas atspējot risku, jāizmanto "2".
-
-
EnforcementTransitionPeriod: laika apjoms sekundēs, ko sistēma pavadīs apšanas periodā. Ja šī vērtība ir nulle, sistēma netiks automātiski pāries ieviešanas procesā.
-
LearningModeStartTime: laikspiedols, kurā sistēmā sāka izmantot mācību režīmu. Šī vērtība apvienojumā ar "EnforcementTransitionPeriod" nosaka, kad sistēmai ir jāveic pāreja ieviešanas režīmā.
-
Atslēga:šifrēšanas atslēga, kas tiek izmantota autentifikācijas kodu (HMAC) veidojiet. Administratori šo vērtību nedrīkst modificēt.
Administratori var pavisam atspējot risku, mainot režīma vērtību uz 2. Lai pagarinātu risku mazināšanas pieņemšanas periodu, administrators var mainīt EnforcementTransitionPeriod (sekundes) uz jebkuru jūsu izvēlēto vērtību (vai 0 , ja vēlaties atspējot automātisko pāreju ieviešanas režīmā).
Atjaunināšanas grupas politika, izmantojot lokālo grupas politika Redaktors
CLFS autentifikāciju var iespējot vai atspējot, izmantojot grupas politika iestatījumu:
-
Atveriet lokālo grupas politika Redaktors Windows vadības panelis.
-
Sadaļā Datora konfigurācija atlasiet Administratīvās veidnes > sistēma > Filesystem un iestatījumu sarakstā veiciet dubultklikšķi uz Iespējot / atspējot CLFS žurnālfaila autentifikāciju.
-
Atlasiet Iespējot vaiAtspējot un pēc tam noklikšķiniet uz Labi. Ja ir atlasīta opcija Nav konfigurēts, pēc noklusējuma tiek iespējots risku mazināšanas līdzeklis.
Datu grupas politika/MDM iestatīšana, izmantojot Intune
Lai atjauninātu grupas politika un konfigurētu CLFS autentifikāciju, izmantojot pakalpojumu Microsoft Intune:
-
Atveriet Intune portālu (lietojumprogrammu https://endpoint.microsoft.com) un piesakieties ar saviem akreditācijas datiem.
-
Izveidojiet profilu:
-
Atlasiet Ierīces > windows > konfigurācijas > Izveidot > jaunu politiku.
-
Atlasiet Platformas > Windows 10 un jaunākas versijas.
-
Atlasiet Profila tips > Veidnes.
-
Meklējiet un atlasiet Pielāgots.
-
-
Iestatiet nosaukumu un aprakstu:
-
Pievienojiet jaunu OMA-URI iestatījumu:
-
Rediģējiet OMA-URI iestatījumu:
-
Pievienojiet nosaukumu, piemēram, ClfsAuthenticationCheck.
-
Varat arī pievienot aprakstu.
-
Iestatiet OMA-URI ceļu uz šādu ceļu:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking
-
Iestatiet datu tipam vērtībuString.
-
Iestatiet vērtību kā<iespējots/> vai <atspējots/>.
-
Noklikšķiniet uz Saglabāt.
-
-
Pabeidziet pārējo tvēruma atzīmju un uzdevumu konfigurāciju un pēc tam atlasiet Izveidot.
CLFS API izmaiņas
Lai izvairītos no CLFS API izmaiņu pārtraukšanas, lai ziņotu zvanītājam par integritātes pārbaudes kļūmēm, tiek izmantoti esošie kļūdu kodi:
-
Ja CreateLogFile neizdodas, funkcija GetLastError atgriezīs ERROR_LOG_METADATA_CORRUPT kodu.
-
Ja ClfsCreateLogFile, STATUS_LOG_METADATA_CORRUPT statuss tiek atgriezts, kad CLFS neizdodas pārbaudīt žurnālfaila integritāti.
Bieži uzdotie jautājumi (bieži uzdotie jautājumi)
Autentifikācijas kodi (HMAC) ir pievienoti CLFS žurnālfailiem, kas sniedz CLFS draiverim iespēju noteikt (ļaunprātīgas) failu modifikācijas pirms to parsēšanas. Ja risku mazināšanas pārejas ieviešanas režīmā (90 dienas pēc šī atjauninājuma saņemšanas), CLFS sagaida, ka autentifikācijas kodi būs prezentē un būs derīgi, lai veiksmīgi atvērtu žurnālfailu.
Pirmajās 90 dienās, kad šī CLFS draivera versija ir aktīva, draiveris automātiski pievienos autentifikācijas kodus žurnālfailiem, atverot ar CreateLogFile vai ClfsCreateLogFile.
Pēc šī 90 dienu apvilkšanas perioda intervāla beigām jāizmanto fsutil clfs autentificēšanas rīks, lai pievienotu autentifikācijas kodus vecajiem vai esošajiem žurnālfailiem. Lai varētu izmantot šo rīku, zvanītājam ir jābūt administratoram.
Tā kā autentifikācijas kodi ir izveidoti, izmantojot sistēmas unikālo šifrēšanas atslēgu, jūs nevarēsit atvērt logfiles, kas tika izveidoti citā sistēmā. Lai labotu autentifikācijas kodus, izmantojot lokālās sistēmas šifrēšanas atslēgu, administrators var izmantot fsutil clfs autentifikācijas rīku. Lai varētu izmantot šo rīku, zvanītājam ir jābūt administratoru grupā.
Lai gan mēs to neiesakām, administrators var atspējot šo risku, modificējotHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Režīms], lai tas būtu 2 vērtība.
Lai to izdarītu, izmantojiet PowerShell un izpildiet šādu komandu:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2
Glosārijs
Rūdīšana ir process, kas palīdz aizsargāties pret nesankcionētu piekļuvi, pakalpojuma noliegšanu un citiem draudiem, ierobežojot potenciālos draudus, kas padara sistēmas neaizsargātas.
Drošības atribūti tiek izmantoti, lai glabātu informāciju un ieviestu precizētu piekļuves kontroli pār noteiktiem resursiem.
