Gjelder for
Windows 11 version 25H2, all editions Windows Server 2025

Opprinnelig publiseringsdato: 28. oktober 2025 kl.

KB-ID: 5056852

Denne begrensningen av herding av godkjenning er tilgjengelig i følgende Windows-versjoner:

  • Windows 11, versjon 25H2 og Windows Server 2025-oppdateringer utgitt 28. oktober 2025

I denne artikkelen 

Oppsummering

Innføringsperiode for reduksjon

Brukerpåvirkning

Konfigurasjon

Oppdater gruppepolicy-innstillingen ved hjelp av lokal gruppepolicy Redaktør

Oppdater gruppepolicy/MDM-innstilling ved hjelp av Intune

Endringer i CLFS-API

Vanlige spørsmål

Ordliste

Oppsummering

Det er innført en ny begrensning av herding av godkjenning for CLFS-driveren ( Common Log File System ), som legger til en hash-basert meldingsgodkjenningskode (HMAC) i de underliggende filene i en CLFS-loggfil. Godkjenningskoder opprettes ved å kombinere fildata med en system-unik kryptografisk nøkkel, som lagres i registeret og bare tilgjengelig for administratorer og SYSTEM. Godkjenningskodene gjør det mulig for CLFS å kontrollere integriteten til filen, slik at fildataene er trygge før de analyserer de interne datastrukturene. CLFS antar at denne filen ble endret eksternt, ondsinnet eller på annen måte, hvis integritetskontrollen mislykkes og vil nekte å åpne loggfilen. Hvis du vil fortsette, må det opprettes en ny loggfil, eller så må en administrator godkjenne den manuelt ved hjelp av fsutil-kommandoen.

Innføringsperiode for reduksjon

Et system som mottar en oppdatering med denne versjonen av CLFS, vil sannsynligvis ha eksisterende loggfiler på systemet som ikke har godkjenningskoder. For å sikre at disse loggfilene overføres til det nye formatet, vil systemet plassere CLFS-driveren i en "læringsmodus" som vil instruere CLFS om å automatisk legge til godkjenningskoder i loggfiler som ikke har dem. Det automatiske tillegget av godkjenningskoder skjer ved loggfilåpning, og bare hvis anropstråden har nødvendig tilgang til å skrive til filen. For øyeblikket varer innføringsperioden i 90 dager, fra tidspunktet da systemet først ble startet med denne versjonen av CLFS. Etter at denne 90-dagers innføringsperioden har gått bort, går driveren automatisk over til håndhevelsesmodus ved neste start, hvoretter CLFS forventer at alle loggfiler skal inneholde gyldige godkjenningskoder. Vær oppmerksom på at denne verdien på 90 dager kan endres i fremtiden.

Hvis en logfil ikke åpnes i denne innføringsperioden og derfor ikke automatisk ble overført til det nye formatet, kan kommandolinjeverktøyet fsutil clfs authenticate brukes til å legge til godkjenningskoder i logfile. Denne operasjonen krever at anroperen er administrator.

Brukerpåvirkning

Denne reduksjonen kan påvirke forbrukerne av CLFS-API-en på følgende måter:

  • Fordi den kryptografiske nøkkelen som brukes til å lage godkjenningskodene, er system-unike, er loggfiler ikke lenger flyttbare mellom systemer. Hvis du vil åpne en loggfil som ble opprettet på et eksternt system, må en administrator først bruke godkjenningsverktøyet fsutil clfs til å godkjenne loggfilen ved hjelp av den kryptografiske nøkkelen for lokale systemer.

  • En ny fil, med filtypen CNPF, lagres sammen med binær loggingsfil (BLF) og databeholdere. Hvis BLF for en loggfil er plassert på "C:\Users\User\example.blf", skal oppdateringsfilen være plassert på "C:\Users\User\example.blf.cnpf". Hvis en loggfil ikke er lukket på en ren måte, vil oppdateringsfilen inneholde data som kreves for at CLFS skal kunne gjenopprette loggfilen. Oppdateringsfilen opprettes med de samme sikkerhetsattributtene som filen den gir gjenopprettingsinformasjon for. Denne filen vil maksimalt ha samme størrelse som FlushThreshold (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Det kreves ekstra filplass for å lagre godkjenningskoder. Hvor mye plass som kreves for godkjenningskoder, avhenger av størrelsen på filen. Se følgende liste for et estimat om hvor mye tilleggsdata som kreves for loggfilene:

    • 512 KB-beholderfiler krever ytterligere ~8192 byte for godkjenningskoder.

    • 1024 KB-beholderfiler krever ytterligere ~12288 byte for godkjenningskoder.

    • 10 MB beholderfiler krever ytterligere ~90112 byte for godkjenningskoder.

    • 100 MB beholderfiler krever ytterligere ~57344 byte for godkjenningskoder.

    • 4 GB beholderfiler krever en ekstra ~2101248 byte for godkjenningskoder.

  • På grunn av økningen i I/U-operasjoner for vedlikehold av godkjenningskoder, har tiden det tar å utføre følgende operasjoner økt:

    • oppretting av logfile

    • logfile åpen

    • skriving av nye poster

    Økningen i tid for oppretting av loggfil og åpne loggfiler avhenger helt av størrelsen på beholderne, med større loggfiler som har en mye mer merkbar innvirkning. I gjennomsnitt er tiden det tar å skrive til en post i en logfil doblet.

Konfigurasjon

Innstillingene knyttet til denne begrensningen lagres i registeret på HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Følgende er en liste over viktige registerverdier og deres formål:

  • Modus: Driftsmodusen for begrensningen

    • 0: Begrensningen håndheves. CLFS kan ikke åpne loggfiler som har manglende eller ugyldige godkjenningskoder. Etter 90 dager med kjøring av systemet med denne versjonen av driveren, går CLFS automatisk over til håndhevelsesmodus.

    • 1: Begrensningen er i læringsmodus. CLFS åpner alltid loggfiler. Hvis en loggfil mangler godkjenningskoder, vil CLFS generere og skrive kodene til filen (forutsatt at anroperen har skrivetilgang).

    • 2: En administrator deaktiverte begrensningen.

    • 3: Begrensningen ble deaktivert automatisk av systemet. En administrator bør ikke angi modusen til denne verdien, men bør bruke «2» hvis de ønsker å deaktivere begrensningen.

  • EnforcementTransitionPeriod: Hvor lenge, i sekunder, at systemet vil bruke i adopsjonsperioden. Hvis denne verdien er null, går ikke systemet automatisk over til håndhevelse.

  • LearningModeStartTime: Tidsstempelet som læringsmodus startet på systemet. Denne verdien, i kombinasjon med EnforcementTransitionPeriod , bestemmer når et system skal gå over til håndhevelsesmodus.

  • Nøkkel: Den kryptografiske nøkkelen som brukes til å opprette godkjenningskoder (HMACer). Administratorer bør ikke endre denne verdien.

Administratorer kan deaktivere begrensningen helt ved å endre modusverdien til 2. Hvis du vil forlenge implementeringsperioden, kan en administrator endre EnforcementTransitionPeriod (sekunder) til en hvilken som helst verdi du velger (eller 0 hvis du vil deaktivere automatisk overgang til håndhevelsesmodus).

Oppdater gruppepolicy-innstillingen ved hjelp av lokal gruppepolicy Redaktør

CLFS-godkjenning kan aktiveres eller deaktiveres ved hjelp av gruppepolicy-innstillingen:

  1. Åpne lokal gruppepolicy Redaktør i Windows Kontrollpanel.Policy for lokal datamaskin

  2. Velg Administrativ mal > System > Filesystem under Datamaskinkonfigurasjon, og dobbeltklikk aktiver/deaktiver CLFS-loggfilgodkjenning i innstillingslisten.Aktiver deaktiver godkjenning av CLFS-loggfil

  3. Velg Aktiver eller Deaktiver, og klikk deretter OK. Hvis Ikke konfigurert er valgt, aktiveres begrensningen som standard.Velg Aktiver eller deaktiver

Oppdater gruppepolicy/MDM-innstilling ved hjelp av Intune

Slik oppdaterer du gruppepolicy og konfigurerer CLFS-godkjenning ved hjelp av Microsoft Intune:

  1. Åpne Intune-portalen (https://endpoint.microsoft.com) og logg på med legitimasjonen din.

  2. Opprett en profil: 

    1. Velg enheter > Windows > Configuration > Opprett > ny policy.

    2. Velg plattform > Windows 10 og nyere.

    3. Velg profiltype > maler.

    4. Søk etter og velg Egendefinert.Windows-konfigurasjon

  3. Angi navn og beskrivelse:Angi navn og beskrivelse

  4. Legg til en ny OMA-URI-innstilling:Legg til en ny OMA-URI-innstilling

  5. Rediger OMA-URI-innstilling: 

    1. Legg til et navn, for eksempel ClfsAuthenticationCheck.

    2. Du kan også legge til en beskrivelse.

    3. Angi OMA-URI-banen til følgende:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Angi datatypen til Streng.

    5. Angi verdien som <aktivert/> eller <deaktivert/>.

    6. Klikk på Lagre.Angi verdi og Lagre

  6. Fullfør den gjenstående konfigurasjonen av omfangskoder og tildelinger, og velg deretter Opprett. ​​​​​​​

Endringer i CLFS-API

Hvis du vil unngå å bryte endringer i CLFS-API-en, brukes eksisterende feilkoder til å rapportere integritetskontrollfeil til anroperen:

  • Hvis CreateLogFile mislykkes, returnerer GetLastErrorfeilkoden ERROR_LOG_METADATA_CORRUPT .

  • For ClfsCreateLogFile returneres STATUS_LOG_METADATA_CORRUPT status når CLFS ikke bekrefter integriteten til loggfilen.

Vanlige spørsmål

Godkjenningskoder (HMACer) er lagt til CLFS-loggfiler som gir CLFS-driveren muligheten til å oppdage (ondsinnede) endringer som er gjort i filene før de analyseres. Når begrensningen går over til håndhevelsesmodus (90 dager etter at du har mottatt denne oppdateringen), forventer CLFS at godkjenningskoder er til stede og gyldige for å kunne åpne loggfilen.

De første 90 dagene denne versjonen av CLFS-driveren er aktiv, vil driveren automatisk legge til godkjenningskoder i loggfiler når den åpnes av CreateLogFile eller ClfsCreateLogFile.

Etter at denne 90-dagers innføringsperioden har gått bort, må godkjenningsverktøyet fsutil clfs brukes til å legge til godkjenningskoder i gamle eller eksisterende logfiler. Dette verktøyet krever at anroperen er administrator.

Siden godkjenningskodene opprettes ved hjelp av en system-unik kryptografisk nøkkel, kan du ikke åpne loggfiler som ble opprettet på et annet system. Hvis du vil korrigere godkjenningskodene ved hjelp av det lokale systemets kryptografiske nøkkel, kan en administrator bruke godkjenningsverktøyet fsutil clfs . Dette verktøyet krever at innringeren er i Administrator-gruppen.

Selv om vi ikke anbefaler det, kan en administrator deaktivere denne begrensningen ved å endre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Modus] til å være en verdi på 2.

Hvis du vil gjøre dette, bruker du PowerShell og kjører følgende kommando:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Ordliste

Herding er en prosess som bidrar til å beskytte mot uautorisert tilgang, tjenestenekt og andre trusler ved å begrense potensielle svakheter som gjør systemene sårbare.

Sikkerhetsattributter brukes til å lagre informasjon og fremtvinge finkornet tilgangskontroll over bestemte ressurser.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter