Van toepassing op
Windows 11 version 25H2, all editions Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 28 oktober 2025

KB-id: 5056852

Deze beperking voor beveiliging van verificatie is beschikbaar in de volgende Windows-releases:

  • Windows 11, versie 25H2 en Windows Server 2025-updates uitgebracht op of na 28 oktober 2025

In dit artikel 

Samenvatting

Acceptatieperiode voor risicobeperking

Gebruikersimpact

Configuratie

Groepsbeleid instelling bijwerken met behulp van de lokale groepsbeleid Editor

Groepsbeleid/MDM-instelling bijwerken met intune

Wijzigingen in de CLFS-API

Veelgestelde vragen (FAQ)

Glossarium

Samenvatting

Er is een nieuwe beperking van beveiliging van verificatie geïntroduceerd voor het CLFS-stuurprogramma ( Common Log File System ), waarmee een hash-gebaseerde berichtverificatiecode (HMAC) wordt toegevoegd aan de onderliggende bestanden van een CLFS-logboekbestand. Verificatiecodes worden gemaakt door bestandsgegevens te combineren met een systeem unieke cryptografische sleutel, die wordt opgeslagen in het register en alleen toegankelijk is voor beheerders en SYSTEM. Met de verificatiecodes kan CLFS de integriteit van het bestand controleren, zodat de bestandsgegevens veilig zijn voordat de interne gegevensstructuren worden geparserd. CLFS gaat ervan uit dat dit bestand extern is gewijzigd, kwaadwillig of anderszins, als de integriteitscontrole mislukt en het openen van het logboekbestand weigert. Als u wilt doorgaan, moet er een nieuw logboekbestand worden gemaakt of moet een beheerder het handmatig verifiëren met behulp van de opdracht fsutil.

Acceptatieperiode voor risicobeperking

Een systeem dat een update ontvangt met deze versie van CLFS, heeft waarschijnlijk bestaande logboekbestanden op het systeem die geen verificatiecodes hebben. Om ervoor te zorgen dat deze logboekbestanden worden overgezet naar de nieuwe indeling, plaatst het systeem het CLFS-stuurprogramma in een 'leermodus' die CLFS opdracht geeft om automatisch verificatiecodes toe te voegen aan logboekbestanden die deze niet hebben. De automatische toevoeging van verificatiecodes vindt plaats bij het openen van het logboekbestand en alleen als de aanroepende thread de vereiste toegang heeft om naar het bestand te schrijven. Op dit moment duurt de acceptatieperiode 90 dagen, te beginnen vanaf het moment waarop het systeem voor het eerst is gestart met deze versie van CLFS. Nadat deze acceptatieperiode van 90 dagen is verstreken, gaat het stuurprogramma automatisch over naar de afdwingingsmodus bij de volgende start, waarna CLFS verwacht dat alle logboekbestanden geldige verificatiecodes bevatten. Houd er rekening mee dat deze waarde van 90 dagen in de toekomst kan veranderen.

Als een logboekbestand niet wordt geopend tijdens deze acceptatieperiode en daarom niet automatisch is overgeschakeld naar de nieuwe indeling, kan het opdrachtregelprogramma fsutil clfs-verificatie worden gebruikt om verificatiecodes toe te voegen aan het logboekbestand. Voor deze bewerking moet de aanroeper een beheerder zijn.

Gebruikersimpact

Deze beperking kan op de volgende manieren van invloed zijn op gebruikers van de CLFS-API:

  • Omdat de cryptografische sleutel die wordt gebruikt om de verificatiecodes te maken uniek is voor het systeem, zijn logfiles niet langer overdraagbaar tussen systemen. Als u een logboekbestand wilt openen dat is gemaakt op een extern systeem, moet een beheerder eerst het hulpprogramma fsutil clfs-verificatie gebruiken om het logboekbestand te verifiëren met behulp van de cryptografische sleutel van het lokale systeem.

  • Een nieuw bestand met de extensie '.cnpf' wordt opgeslagen naast het Binary Logging File (BLF) en de gegevenscontainers. Als de BLF voor een logboekbestand zich bevindt op "C:\Users\User\example.blf", moet het bijbehorende patchbestand zich bevinden op "C:\Users\User\example.blf.cnpf". Als een logboekbestand niet netjes wordt gesloten, bevat het patchbestand gegevens die nodig zijn voor CLFS om het logboekbestand te herstellen. Het patchbestand wordt gemaakt met dezelfde beveiligingskenmerken als het bestand waarvoor het herstelgegevens bevat. Dit bestand heeft maximaal dezelfde grootte als 'FlushThreshold' (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Er is extra schijfruimte vereist om verificatiecodes op te slaan. De hoeveelheid ruimte die nodig is voor verificatiecodes, is afhankelijk van de grootte van het bestand. Raadpleeg de volgende lijst voor een schatting van hoeveel extra gegevens er nodig zijn voor uw logboekbestanden:

    • 512KB-containerbestanden vereisen een extra ~8192 bytes voor verificatiecodes.

    • 1024KB-containerbestanden vereisen een extra ~12288 bytes voor verificatiecodes.

    • Voor 10 MB containerbestanden is een extra ca. 90112 bytes vereist voor verificatiecodes.

    • Voor 100 MB containerbestanden is een extra ca. 57344 bytes vereist voor verificatiecodes.

    • Containerbestanden van 4 GB vereisen een extra ~2101248 bytes voor verificatiecodes.

  • Vanwege de toename van I/O-bewerkingen voor het onderhouden van verificatiecodes, is de tijd die nodig is om de volgende bewerkingen uit te voeren, toegenomen:

    • logfile maken

    • logfile openen

    • nieuwe records schrijven

    De toename in de tijd voor het maken en openen van logboekbestanden is volledig afhankelijk van de grootte van de containers, waarbij grotere logboekbestanden een veel duidelijker effect hebben. Gemiddeld is de hoeveelheid tijd die nodig is om naar een record in een logboekbestand te schrijven, verdubbeld.

Configuratie

De instellingen met betrekking tot deze beperking worden opgeslagen in het register op HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Hier volgt een lijst met sleutelregisterwaarden en hun doel:

  • Modus: de bedrijfsmodus van de risicobeperking

    • 0: De beperking wordt afgedwongen. CLFS kan geen logboekbestanden openen die ontbrekende of ongeldige verificatiecodes bevatten. Na 90 dagen dat het systeem met deze versie van het stuurprogramma is uitgevoerd, wordt CLFS automatisch overgezet naar de afdwingingsmodus.

    • 1: De beperking bevindt zich in de leermodus. MET CLFS worden altijd logboekbestanden geopend. Als er verificatiecodes ontbreken in een logboekbestand, worden de codes door CLFS gegenereerd en naar het bestand geschreven (ervan uitgaande dat de aanroeper schrijftoegang heeft).

    • 2: Een beheerder heeft de beperking uitgeschakeld.

    • 3: De beperking is automatisch uitgeschakeld door het systeem. Een beheerder moet de modus niet instellen op deze waarde, maar moet '2' gebruiken als hij of zij de beperking wil uitschakelen.

  • EnforcementTransitionPeriod: de hoeveelheid tijd, in seconden, die het systeem in de acceptatieperiode zal besteden. Als deze waarde nul is, wordt het systeem niet automatisch overgezet naar afdwinging.

  • LearningModeStartTime: het tijdstempel waarop de leermodus op het systeem is gestart. Deze waarde, in combinatie met 'EnforcementTransitionPeriod' bepaalt wanneer een systeem moet worden overgezet naar de afdwingingsmodus.

  • Sleutel: de cryptografische sleutel die wordt gebruikt om verificatiecodes (HMAC's) te maken. Beheerders mogen deze waarde niet wijzigen.

Beheerders kunnen de beperking helemaal uitschakelen door de waarde modus te wijzigen in 2. Als u de acceptatieperiode voor risicobeperking wilt verlengen, kan een beheerder de EnforcementTransitionPeriod (seconden) wijzigen in een waarde die u kiest (of 0 als u automatische overgang naar de afdwingingsmodus wilt uitschakelen).

Groepsbeleid instelling bijwerken met behulp van de lokale groepsbeleid Editor

CLFS-verificatie kan worden in- of uitgeschakeld met behulp van de groepsbeleid-instelling:

  1. Open de lokale groepsbeleid Editor in Windows Configuratiescherm.Beleid voor lokale computers

  2. Selecteer onder Computerconfiguratiede optie Beheersjabloon > Systeem > bestandssysteem en dubbelklik in de lijst Instelling op CLFS-logboekverificatie in- of uitschakelen.CLFS-logboekverificatie uitschakelen inschakelen

  3. Selecteer Inschakelen of Uitschakelen en klik vervolgens op OK. Als Niet geconfigureerd is geselecteerd, is de beperking standaard ingeschakeld.Selecteer In- of uitschakelen

Groepsbeleid/MDM-instelling bijwerken met intune

Om groepsbeleid bij te werken en CLFS-verificatie te configureren met behulp van Microsoft Intune:

  1. Open de Intune-portal (https://endpoint.microsoft.com) en meld u aan met uw referenties.

  2. Een profiel maken: 

    1. Selecteer Apparaten > Windows > Configuration > Create > New Policy.

    2. Selecteer Platform > Windows 10 en hoger.

    3. Selecteer Profieltype > Sjablonen.

    4. Zoek en selecteer Aangepast.Windows-configuratie

  3. Stel een naam en beschrijving in:Een naam en beschrijving instellen

  4. Een nieuwe OMA-URI-instelling toevoegen:Een nieuwe OMA-URI-instelling toevoegen

  5. OMA-URI-instelling bewerken: 

    1. Voeg een naam toe, zoals ClfsAuthenticationCheck.

    2. Voeg eventueel een beschrijving toe.

    3. Stel het OMA-URI-pad in op het volgende:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Stel het gegevenstype in op Tekenreeks.

    5. Stel de waarde in op <ingeschakeld/> of <uitgeschakeld/>.

    6. Klik op Save.Waarde instellen en Opslaan

  6. Voltooi de resterende configuratie van bereiktags en toewijzingen en selecteer vervolgens Maken. ​​​​​​​

Wijzigingen in de CLFS-API

Om fouten in de CLFS-API te voorkomen, worden bestaande foutcodes gebruikt om integriteitscontrolefouten te melden aan de aanroeper:

Veelgestelde vragen (FAQ)

Verificatiecodes (HMAC's) zijn toegevoegd aan CLFS-logboekbestanden die het CLFS-stuurprogramma de mogelijkheid bieden om (schadelijke) wijzigingen in de bestanden te detecteren voordat ze worden geparsereerd. Wanneer de beperking overgaat naar de afdwingingsmodus (90 dagen na ontvangst van deze update), verwacht CLFS dat verificatiecodes aanwezig zijn en geldig zijn om het logboekbestand te openen.

Gedurende de eerste 90 dagen dat deze versie van het CLFS-stuurprogramma actief is, voegt het stuurprogramma automatisch verificatiecodes toe aan logboekbestanden wanneer het wordt geopend door CreateLogFile of ClfsCreateLogFile.

Nadat deze acceptatieperiode van 90 dagen is verstreken, moet het fsutil clfs-verificatiehulpprogramma worden gebruikt om verificatiecodes toe te voegen aan oude of bestaande logboekbestanden. Voor dit hulpprogramma moet de aanroeper een beheerder zijn.

Omdat de verificatiecodes worden gemaakt met behulp van een systeem unieke cryptografische sleutel, kunt u geen logboekbestanden openen die op een ander systeem zijn gemaakt. Als u de verificatiecodes wilt corrigeren met behulp van de cryptografische sleutel van het lokale systeem, kan een beheerder het verificatiehulpprogramma fsutil clfs gebruiken. Voor dit hulpprogramma moet de aanroeper zich in de groep Administrators bevinden.

Hoewel dit niet wordt aanbevolen, kan een beheerder deze beperking uitschakelen door HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Modus] te wijzigen in een waarde van 2.

Gebruik hiervoor PowerShell en voer de volgende opdracht uit:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glossarium

Beveiliging is een proces dat bescherming biedt tegen onbevoegde toegang, Denial of Service en andere bedreigingen door potentiële zwakke punten te beperken die systemen kwetsbaar maken.

Beveiligingskenmerken worden gebruikt voor het opslaan van informatie en het afdwingen van gedetailleerd toegangsbeheer voor specifieke resources.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum