Łagodzenie uwierzytelniania usługi Common Log File System (CLFS)

W tym artykule

Podsumowanie

Okres wdrażania łagodzenia

Wpływ na użytkownika

Konfiguracji

Aktualizowanie ustawienia zasady grupy przy użyciu Edytora zasady grupy lokalnego

Aktualizowanie ustawienia zasady grupy/MDM przy użyciu Intune

Zmiany interfejsu API CLFS

Często zadawane pytania (często zadawane pytania)

Słownik entry

Podsumowanie

Wprowadzono nowe środki zaradcze służące do zaostrzania uwierzytelniania dla sterownika usługi Common Log File System (CLFS), który dodaje kod uwierzytelniania wiadomości opartych na skrótach (HMAC) do plików źródłowych logfilu CLFS. Kody uwierzytelniania są tworzone przez połączenie danych plików z unikatowym systemowym kluczem kryptograficznym, który jest przechowywany w rejestrze i dostępny tylko dla administratorów i systemu. Kody uwierzytelniania umożliwią CLFS sprawdzenie integralności pliku, zapewniając bezpieczeństwo danych plików przed przeanalizowaniem wewnętrznych struktur danych. CLFS zakłada, że ten plik został zmodyfikowany zewnętrznie, złośliwie lub w inny sposób, jeśli sprawdzanie integralności nie powiedzie się i odmówi otwarcia pliku dziennika. Aby kontynuować, należy utworzyć nowy plik dziennika lub administrator musi ręcznie uwierzytelnić go za pomocą polecenia fsutil.

Okres wdrażania łagodzenia

System otrzymujący aktualizację z tą wersją CLFS prawdopodobnie będzie miał istniejące logfile w systemie, które nie mają kodów uwierzytelniania. Aby zapewnić, że te pliki logfilów zostaną przeniesione do nowego formatu, system umieści sterownik CLFS w "trybie uczenia się", który poleci CLFS automatyczne dodawanie kodów uwierzytelniania do plików logfilów, które ich nie mają. Automatyczne dodawanie kodów uwierzytelniania wystąpi przy otwartym logfile i tylko wtedy, gdy wątek rozmów ma wymagany dostęp do zapisu do pliku. Obecnie okres wdrażania trwa 90 dni, począwszy od czasu, w którym system został po raz pierwszy uruchomiony w tej wersji CLFS. Po upływie tego 90-dniowego okresu wdrażania sterownik automatycznie przejdzie w tryb wymuszania po następnym uruchomieniu, po czym CLFS będzie oczekiwać, że wszystkie pliki dzienników będą zawierać prawidłowe kody uwierzytelniania. Należy pamiętać, że ta wartość 90-dniowa może ulec zmianie w przyszłości.

Jeśli logfile nie zostanie otwarty w tym okresie wdrażania i dlatego nie został automatycznie przeniesiony do nowego formatu, fsutil clfs uwierzytelnić wiersz polecenia narzędzie może służyć do dodawania kodów uwierzytelniania do logfile. Ta operacja wymaga, aby wywołujący był administratorem.

Wpływ na użytkownika

To rozwiązanie może wpłynąć na klientów interfejsu API CLFS w następujący sposób:

• Ponieważ uwierzytelnianie logfile jest wykonywane w czasie otwarcia logfile, CLFS musi odczytać cały logfile z dysku w celu weryfikacji kodów uwierzytelniania przed analizą struktur wewnętrznych. W wyniku tego operacje otwierania logfile powodują dodatkowe operacje odczytu we/wy proporcjonalnie do rozmiaru pliku dziennika.

  • Przykład tego zachowania można zaobserwować podczas logowania użytkownika i zamykania systemu. Rejestr przechowuje plik logfilu kopii zapasowej CLFS dla gałęzi użytkownika (NTUSER.dat), który jest otwierany podczas tych przejść. Po otwarciu pliku logfile uwierzytelnianie wymaga pełnego odczytu pliku logfile, co powoduje wzrost liczby we/wy dysku podczas logowania i zamykania.

• Klucz kryptograficzny używany do tworzenia kodów uwierzytelniania jest unikatowy dla systemu, dlatego logfile nie są już przenośne między systemami. Aby otworzyć plik logfile utworzony w systemie zdalnym, administrator musi najpierw użyć narzędzia fsutil clfs authenticate w celu uwierzytelnienia pliku logfile przy użyciu klucza kryptograficznego systemów lokalnych.

• Nowy plik z rozszerzeniem ".cnpf" będzie przechowywany razem z binarnym plikiem rejestrowania (BLF) i kontenerami danych. Jeśli wartość BLF logfile znajduje się w folderze "C:\Users\User\example.blf", jego "plik poprawki" powinien znajdować się w folderze "C:\Users\User\example.blf.cnpf". Jeśli logfile nie zostanie czysto zamknięty, plik poprawki będzie zawierać dane potrzebne do odzyskiwania logfile przez CLFS. Plik poprawki zostanie utworzony z tymi samymi atrybutami zabezpieczeń co plik, dla których udostępnia informacje o odzyskiwaniu. Ten plik będzie co najwyżej taki sam jak "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• Do przechowywania kodów uwierzytelniania jest wymagane dodatkowe miejsce na pliki. Ilość miejsca potrzebnego na kody uwierzytelniania zależy od rozmiaru pliku. Informacje szacunkowe dotyczące ilości dodatkowych danych wymaganych dla plików dzienników można znaleźć na poniższej liście:

  • Pliki kontenera 512KB wymagają dodatkowych ~8192 bajtów kodów uwierzytelniania.

  • Pliki kontenera 1024KB wymagają dodatkowych ~12288 bajtów kodów uwierzytelniania.

  • Pliki kontenera 10 MB wymagają dodatkowych ~90112 bajtów kodów uwierzytelniania.

  • Pliki kontenera 100 MB wymagają dodatkowych ~57344 bajtów kodów uwierzytelniania.

  • Pliki kontenera 4GB wymagają dodatkowych ~2101248 bajtów kodów uwierzytelniania.

• Ze względu na wzrost liczby operacji we/wy na potrzeby obsługi kodów uwierzytelniania zwiększono czas potrzebny do wykonania następujących operacji:

  Wydłużenie czasu tworzenia plików logfile i otwierania logfile zależy w całości od rozmiaru kontenerów, a większe logfile mają znacznie bardziej zauważalny wpływ. Średnio ilość czasu potrzebnego do zapisu w rekordzie w pliku dziennika podwoiła się.

  • tworzenie pliku logfile

  • logfile open

  • pisanie nowych rekordów

Konfiguracji

Ustawienia związane z tym środkiem zaradczym są przechowywane w rejestrze w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Poniżej przedstawiono listę kluczowych wartości rejestru i ich przeznaczenia:

• Tryb: tryb działania łagodzenia

  • 0: Łagodzenie jest egzekwowane. CLFS nie będzie otwierać logfilów, które mają brakujące lub nieprawidłowe kody uwierzytelniania. Po 90 dniach uruchamiania systemu z tą wersją sterownika, CLFS automatycznie przejdzie w tryb wymuszania.

  • 1: Łagodzenie jest w trybie nauki. CLFS zawsze otwiera logfiles. Jeśli w pliku logfile brakuje kodów uwierzytelniania, funkcja CLFS wygeneruje i zapisze kody do pliku (przy założeniu, że wywołujący ma dostęp do zapisu).

  • 2: Administrator wyłączył środki zaradcze.

  • 3: Środki łagodzące zostały wyłączone automatycznie przez system. Administrator nie powinien ustawiać tej wartości w trybie, ale powinien użyć wartości "2", jeśli chce wyłączyć łagodzenie.

• EnforcementTransitionPeriod: Ilość czasu w sekundach, który system będzie spędzał w okresie wdrażania. Jeśli ta wartość wynosi zero, system nie przejdzie automatycznie do wymuszania.

• LearningModeStartTime: sygnatura czasowa, w której tryb nauki rozpoczął się w systemie. Ta wartość w połączeniu z opcją "EnforcementTransitionPeriod" określa, kiedy system powinien przejść w tryb wymuszania.

• Klucz:Klucz kryptograficzny używany do tworzenia kodów uwierzytelniania (HMAC). Administratorzy nie powinni modyfikować tej wartości.

Administratorzy mogą całkowicie wyłączyć łagodzenie, zmieniając wartość trybu na 2. Aby przedłużyć okres wdrażania łagodzenia, administrator może zmienić EnforcementTransitionPeriod (sekundy) na dowolną wybraną wartość (lub 0 , jeśli chcesz wyłączyć automatyczne przejście w tryb wymuszania).

Aktualizowanie ustawienia zasady grupy przy użyciu Edytora zasady grupy lokalnego

Uwierzytelnianie CLFS można włączyć lub wyłączyć przy użyciu ustawienia zasady grupy:

1. Otwórz Edytor zasady grupy lokalnego w systemie Windows Panel sterowania.
   
   

2. W obszarze Konfiguracja komputera wybierz pozycję Szablon administracyjny > system > systemie plików, a następnie na liście Ustawienia kliknij dwukrotnie pozycję Włącz/wyłącz uwierzytelnianie logfile CLFS.
   
   

3. Wybierz pozycję Włącz lub Wyłącz, a następnie kliknij przycisk OK. Jeśli jest zaznaczona opcja Nieskonfigurowane, łagodzenie jest domyślnie włączone.
   
   

Aktualizowanie ustawienia zasady grupy/MDM przy użyciu Intune

Aby zaktualizować zasady grupy i skonfigurować uwierzytelnianie CLFS przy użyciu Microsoft Intune:

1. Otwórz portal Intune (https://endpoint.microsoft.com) i zaloguj się przy użyciu swoich poświadczeń.

2. Utwórz profil: 

   1. Wybierz pozycję Urządzenia > konfiguracji systemu Windows >> Utwórz > nowe zasady.

   2. Wybierz pozycję > platformyWindows 10 lub nowszą.

   3. Wybierz pozycję Typ profilu > Szablony.

   4. Wyszukaj i wybierz pozycję Niestandardowe.
      
      

3. Ustaw nazwę i opis:
   
   

4. Dodaj nowe ustawienie OMA-URI:
   
   

5. Edytuj ustawienie OMA-URI: 

   1. Dodaj nazwę, taką jak ClfsAuthenticationCheck.

   2. Opcjonalnie dodaj opis.

   3. Ustaw ścieżkę OMA-URI na następującą:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. Ustaw typ danychNa ciąg.

   5. Ustaw wartość tak, aby <włączone/> lub <wyłączone/>.

   6. Kliknij przycisk Zapisz.
      
      

6. Zakończ pozostałą konfigurację tagów zakresu i zadań, a następnie wybierz pozycję Utwórz. ​​​​​​​

Zmiany interfejsu API CLFS

Aby uniknąć przełomowych zmian w interfejsie API CLFS, istniejące kody błędów są używane do zgłaszania błędów sprawdzania integralności wywołującemu:

• Jeśli createLogFile zakończy się niepowodzeniem, funkcja GetLastError zwróci kod błędu ERROR_LOG_METADATA_CORRUPT .

• W przypadku pliku ClfsCreateLogFile stan STATUS_LOG_METADATA_CORRUPT jest zwracany, gdy CLFS nie może zweryfikować integralności pliku dziennika.

Często zadawane pytania (często zadawane pytania)

Słownik entry

Hartowanie jest procesem, który pomaga chronić przed nieautoryzowanym dostępem, odmową usługi i innymi zagrożeniami, ograniczając potencjalne słabości, które narażają systemy na zagrożenia.

Atrybuty zabezpieczeń służą do przechowywania informacji i wymuszania szczegółowej kontroli dostępu nad określonymi zasobami.