Atenuarea autentificării pentru sistemul de fișiere de jurnal comun (CLFS)

În acest articol 

Rezumat

Perioada de adoptare a atenuării

Impactul utilizatorului

Configurație

Actualizarea setării Politică de grup utilizând Politică de grup Editor local

Actualizarea setării Politică de grup/MDM utilizând Intune

Modificări ale API-ului CLFS

Întrebări frecvente (Întrebări frecvente)

Glosar

Rezumat

A fost introdusă o nouă atenuare a autentificării pentru driverul Common Log File System (CLFS), care adaugă un cod de autentificare a mesajelor bazat pe hash (HMAC) la fișierele subiacente ale unui fișier logfile CLFS. Codurile de autentificare sunt create prin combinarea datelor de fișier cu o cheie criptografică unică de sistem, care este stocată în registry și accesibilă doar administratorilor și SISTEMului. Codurile de autentificare vor permite CLFS să verifice integritatea fișierului, asigurându-se că datele de fișier sunt sigure înainte de a analiza structurile interne de date. CLFS presupune că acest fișier a fost modificat extern, rău intenționat sau de altă natură, în cazul în care verificarea integrității nu reușește și va refuza să deschidă fișierul logfile. Pentru a continua, trebuie creat un fișier logfile nou sau un administrator va trebui să-l autentifice manual utilizând comanda fsutil.

Perioada de adoptare a atenuării

Un sistem care primește o actualizare cu această versiune de CLFS va avea probabil fișiere logfil existente în sistem care nu au coduri de autentificare. Pentru a vă asigura că aceste fișiere jurnal trec la noul format, sistemul va plasa driverul CLFS într-un "mod de învățare", care va instrui CLFS să adauge automat coduri de autentificare la fișierele de jurnal care nu le au. Adăugarea automată a codurilor de autentificare va avea loc la deschiderea logfile și numai în cazul în care firul de apelare are accesul necesar pentru a scrie în fișier. În prezent, perioada de adoptare durează 90 de zile, începând cu momentul în care sistemul a fost început pentru prima dată cu această versiune de CLFS. După ce această perioadă de adoptare de 90 de zile a expirat, driverul va trece automat în modul de impunere la următoarea pornire, după care CLFS se va aștepta ca toate fișierele de jurnal să conțină coduri de autentificare valide. Rețineți că această valoare de 90 de zile se poate modifica în viitor.

Dacă un fișier logfile nu este deschis în timpul acestei perioade de adoptare și, prin urmare, nu a fost comutat automat la noul format, utilitarul fsutil clfs autentifica linia de comandă poate fi utilizat pentru a adăuga coduri de autentificare la logfile. Această operațiune necesită ca apelantul să fie administrator.

Impactul utilizatorului

Această atenuare poate afecta consumatorii API-ului CLFS în următoarele moduri:

• Deoarece cheia criptografică utilizată pentru a face codurile de autentificare este unică de sistem, fișierele de jurnal nu mai sunt portabile între sisteme. Pentru a deschide un fișier logfile creat pe un sistem la distanță, un administrator trebuie să utilizeze mai întâi utilitarul de autentificare fsutil clfs pentru a autentifica fișierul logfile utilizând cheia criptografică a sistemelor locale.

• Un nou fișier, cu extensia ".cnpf" va fi stocat împreună cu fișierul de înregistrare în jurnal binar (BLF) și containerele de date. Dacă BLF pentru un fișier logfile se află la "C:\Users\Utilizator\example.blf", "fișierul său de corecție" ar trebui să fie amplasat la "C:\Users\User\example.blf.cnpf". Dacă un fișier logfile nu este închis curat, fișierul de corecție va păstra datele necesare pentru ca CLFS să recupereze fișierul logfile. Fișierul de corecție va fi creat cu aceleași atribute de securitate ca fișierul pentru care furnizează informații de recuperare. Acest fișier va avea cel mult aceeași dimensiune ca "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• Este necesar spațiu suplimentar pentru a stoca coduri de autentificare. Cantitatea de spațiu necesar pentru codurile de autentificare depinde de dimensiunea fișierului. Consultați următoarea listă pentru o estimare a cantității de date suplimentare necesare pentru fișierele jurnal:

  • Fișierele container 512KB necesită un octeți suplimentari ~8192 pentru codurile de autentificare.

  • Fișierele container 1024KB necesită un octeți suplimentari ~12288 pentru codurile de autentificare.

  • Fișierele container de 10 MB necesită un octeți suplimentari ~90112 pentru codurile de autentificare.

  • Fișierele container de 100 MB necesită un octeți suplimentari ~57344 pentru codurile de autentificare.

  • Fișierele container de 4 GB necesită ~2101248 octeți suplimentari pentru codurile de autentificare.

• Datorită creșterii operațiunilor I/O pentru menținerea codurilor de autentificare, timpul necesar pentru a efectua următoarele operațiuni a crescut:

  • creare fișiere logfile

  • logfile deschis

  • scrierea de înregistrări noi

  Creșterea timpului de creare a fișierelor logfile și deschiderea logfileului depinde în întregime de dimensiunea containerelor, fișierele logfișiere mai mari având un impact mult mai vizibil. În medie, timpul necesar pentru a scrie într-o înregistrare dintr-un fișier logfile s-a dublat.

Configurație

Setările legate de această atenuare sunt stocate în registry la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Mai jos este o listă de valori cheie de registry și scopul lor:

• Mod: Modul de operare al atenuării

  • 0: Atenuarea este impusă. CLFS nu va deschide fișierele jurnal care au coduri de autentificare lipsă sau nevalide. După 90 de zile de rulare a sistemului cu această versiune a driverului, CLFS va trece automat în modul de impunere.

  • 1: Atenuarea este în modul de învățare. CLFS va deschide întotdeauna fișiere logfiles. Dacă unui logfile îi lipsesc coduri de autentificare, ATUNCI CLFS va genera și va scrie codurile în fișier (presupunând că apelantul are acces De scriere).

  • 2: Un administrator a dezactivat atenuarea.

  • 3: Atenuarea a fost dezactivată automat de către sistem. Un administrator nu trebuie să seteze Modul la această valoare, dar ar trebui să utilizeze "2" dacă dorește să dezactiveze atenuarea.

• EnforcementTransitionPeriod: durata, în secunde, pe care sistemul o va petrece în perioada de adoptare. Dacă această valoare este zero, sistemul nu va trece automat la impunere.

• LearningModeStartTime: marca de timp la care a început modul de învățare în sistem. Această valoare, în combinație cu "EnforcementTransitionPeriod" va determina când ar trebui un sistem să treacă la modul de impunere.

• Cheie:Cheia criptografică utilizată pentru a crea coduri de autentificare (HMACs). Administratorii nu trebuie să modifice această valoare.

Administratorii pot dezactiva atenuarea cu totul, modificând valoarea mod la 2. Pentru a prelungi perioada de adoptare a atenuării, un administrator poate modifica EnforcementTransitionPeriod (secunde) la orice valoare pe care o alegeți (sau 0 dacă doriți să dezactivați tranziția automată în modul de impunere).

Actualizarea setării Politică de grup utilizând Politică de grup Editor local

Autentificarea CLFS poate fi activată sau dezactivată utilizând setarea Politică de grup:

1. Deschideți Politică de grup Editor locală în Panou de control Windows.
   
   

2. Sub Configurație computer, selectați Șablon administrativ > Sistem > Sistem de fișiere și, în lista Setare , faceți dublu clic pe Activare/dezactivare autentificare logfile CLFS.
   
   

3. Selectați Activare sau Dezactivare, apoi faceți clic pe OK. Dacă este selectată opțiunea Neconfiguită, atenuarea este activată în mod implicit.
   
   

Actualizarea setării Politică de grup/MDM utilizând Intune

Pentru a actualiza Politică de grup și a configura autentificarea CLFS utilizând Microsoft Intune:

1. Deschideți portalul Intune (https://endpoint.microsoft.com) și conectați-vă cu acreditările dvs.

2. Creați un profil: 

   1. Selectați Dispozitive > configurația Windows >> Creați > politică nouă.

   2. Selectați Platformă > Windows 10 și versiuni mai recente.

   3. Selectați Tip de profil > Șabloane.

   4. Căutați și selectați Particularizat.
      
      

3. Setați un nume și o descriere:
   
   

4. Adăugați o nouă setare OMA-URI:
   
   

5. Editare setare OMA-URI: 

   1. Adăugați un nume, cum ar fi ClfsAuthenticationCheck.

   2. Opțional, adăugați o descriere.

   3. Setați calea OMA-URI la următoarele:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. Setați tipul de date la Șir.

   5. Setați valoarea la <activat/> sau <dezactivat/>.

   6. Faceți clic pe Salvare.
      
      

6. Terminați configurația rămasă pentru Etichete de domeniu și Atribuiri, apoi selectați Creare. ​​​​​​​

Modificări ale API-ului CLFS

Pentru a evita modificările semnificative la API-ul CLFS, codurile de eroare existente sunt utilizate pentru a raporta erorile de verificare a integrității apelantului:

• Dacă CreateLogFile nu reușește, GetLastError va returna codul de eroare ERROR_LOG_METADATA_CORRUPT .

• Pentru ClfsCreateLogFile, starea STATUS_LOG_METADATA_CORRUPT este returnată atunci când CLFS nu reușește să verifice integritatea fișierului logfile.

Întrebări frecvente (Întrebări frecvente)

Glosar

Hardening este un proces care contribuie la protejarea împotriva accesului neautorizat, refuzării serviciului și a altor amenințări prin limitarea potențialelor puncte slabe care fac sistemele vulnerabile.

Atributele de securitate sunt utilizate pentru a stoca informații și a impune controlul accesului cu granulație fină asupra anumitor resurse.