Применяется к
Windows 11 version 25H2, all editions Windows Server 2025

Исходная дата публикации: 28 октября 2025 г.

Идентификатор базы знаний: 5056852

Эта защита от проверки подлинности доступна в следующих выпусках Windows:

  • обновления Windows 11 версии 25H2 и Windows Server 2025, выпущенные 28 октября 2025 г. или позже

В этой статье 

Сводка

Период внедрения мер по устранению рисков

Влияние на пользователей

Конфигурация

Обновление параметра групповая политика с помощью локальной групповая политика Редактор

Обновление параметра групповая политика/MDM с помощью Intune

Изменения в API CLFS

Часто задаваемые вопросы

Глоссарий

Сводка

Для драйвера общей файловой системы журналов (CLFS), который добавляет код проверки подлинности на основе хэша (HMAC) в базовые файлы файла журнала CLFS. Коды проверки подлинности создаются путем объединения файловых данных с уникальным системным криптографическим ключом, который хранится в реестре и доступен только администраторам и SYSTEM. Коды проверки подлинности позволяют CLFS проверка целостность файла, обеспечивая безопасность файловых данных перед анализом его внутренних структур данных. CLFS предполагает, что этот файл был изменен извне, злонамеренно или иным образом, если целостность проверка сбоем и откажется открыть файл журнала. Для продолжения необходимо создать новый файл журнала или администратору потребуется вручную проверить его подлинность с помощью команды fsutil.

Период внедрения мер по устранению рисков

Система, получающая обновление с этой версией CLFS, скорее всего, будет иметь существующие файлы журналов в системе без кодов проверки подлинности. Чтобы обеспечить переход этих файлов журнала в новый формат, система переместит драйвер CLFS в "режим обучения", в котором CLFS будет предписывать CLFS автоматически добавлять коды проверки подлинности в файлы журналов, в которых их нет. Автоматическое добавление кодов проверки подлинности будет выполняться при открытии файла журнала и только в том случае, если вызывающий поток имеет необходимый доступ для записи в файл. В настоящее время период внедрения длится 90 дней, начиная с того момента, когда система была впервые запущена с этой версией CLFS. По истечении этого 90-дневного периода внедрения драйвер автоматически перейдет в режим принудительного применения при следующем запуске, после чего CLFS ожидает, что все файлы журнала будут содержать допустимые коды проверки подлинности. Обратите внимание, что это 90-дневное значение может измениться в будущем.

Если файл журнала не был открыт в течение этого периода внедрения и, следовательно, не был автоматически переведен в новый формат, служебную программу командной строки fsutil clfs authentication можно использовать для добавления кодов проверки подлинности в файл журнала. Для выполнения этой операции требуется, чтобы вызывающий объект был администратором.

Влияние на пользователей

Это может повлиять на потребителей API CLFS следующими способами.

  • Так как криптографический ключ, используемый для создания кодов проверки подлинности, уникален системой, файлы журналов больше не переносятся между системами. Чтобы открыть файл журнала, созданный в удаленной системе, администратор должен сначала использовать служебную программу проверки подлинности fsutil clfs для проверки подлинности файла журнала с помощью криптографического ключа локальных систем.

  • Новый файл с расширением ".cnpf" будет храниться вместе с двоичным файлом ведения журнала (BLF) и контейнерами данных. Если файл BLF для файла журнала находится в папке "C:\Users\User\example.blf", его "файл исправлений" должен находиться в папке "C:\Users\User\example.blf.cnpf". Если файл журнала не закрыт, файл исправления будет содержать данные, необходимые для восстановления файла журнала CLFS. Файл исправления будет создан с теми же атрибутами безопасности , что и файл, для который он предоставляет сведения о восстановлении. Этот файл будет иметь не более того же размера, что и FlushThreshold (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Для хранения кодов проверки подлинности требуется дополнительное пространство в файлах. Объем места, необходимого для кодов проверки подлинности, зависит от размера файла. Сведения о том, сколько дополнительных данных потребуется для файлов журнала, см. в следующем списке.

    • Для файлов контейнера размером 512 КБ требуется дополнительно ~8192 байта для кодов проверки подлинности.

    • Для файлов контейнера размером 1024 КБ требуется дополнительно ~12288 байт для кодов проверки подлинности.

    • Для файлов контейнера 10 МБ требуется дополнительно ~90112 байт для кодов проверки подлинности.

    • Для файлов контейнера размером 100 МБ требуется дополнительно около 57344 байт для кодов проверки подлинности.

    • Для файлов контейнера размером 4 ГБ требуется дополнительное ~2101248 байтов для кодов проверки подлинности.

  • Из-за увеличения операций ввода-вывода для поддержания кодов проверки подлинности время, необходимое для выполнения следующих операций, увеличилось:

    • Создание файла журнала

    • Открыть файл журнала

    • запись новых записей

    Увеличение времени создания и открытия файлов журнала полностью зависит от размера контейнеров, при этом более крупные файлы журнала оказывают гораздо более заметное влияние. В среднем время, необходимое для записи записи в файле журнала, удвоилось.

Конфигурация

Параметры, связанные с этим устранением рисков, хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Ниже приведен список значений реестра разделов и их назначение.

  • Режим: рабочий режим устранения рисков

    • 0: применяется устранение рисков. CLFS не сможет открыть файлы журнала с отсутствующими или недопустимыми кодами проверки подлинности. Через 90 дней после запуска системы с этой версией драйвера CLFS автоматически перейдет в режим принудительного применения.

    • 1. Устранение рисков находится в режиме обучения. CLFS всегда будет открывать файлы журналов. Если в файле журнала отсутствуют коды проверки подлинности, CLFS создаст и запишет коды в файл (при условии, что вызывающий объект имеет доступ на запись).

    • 2. Администратор отключил устранение рисков.

    • 3. Устранение рисков было автоматически отключено системой. Администратор не должен задавать для параметра Mode это значение, но должен использовать значение "2", если он хочет отключить устранение рисков.

  • EnforcementTransitionPeriod: количество времени в секундах, которое система затратит на период внедрения. Если это значение равно нулю, система не будет автоматически переходить в принудительное применение.

  • LearningModeStartTime: метка времени, с которой был запущен режим обучения в системе. Это значение в сочетании с "EnforcementTransitionPeriod" определяет, когда система должна перейти в режим принудительного применения.

  • Ключ: криптографический ключ, используемый для создания кодов проверки подлинности (HMACs). Администраторы не должны изменять это значение.

Администраторы могут полностью отключить устранение рисков, изменив значение режима на 2. Чтобы продлить период принятия мер по устранению рисков, администратор может изменить значение EnforcementTransitionPeriod (секунды) на любое выбранное значение (или 0 , если вы хотите отключить автоматический переход в режим принудительного применения).

Обновление параметра групповая политика с помощью локальной групповая политика Редактор

Проверка подлинности CLFS может быть включена или отключена с помощью параметра групповая политика:

  1. Откройте локальный групповая политика Редактор в Windows панель управления.Политика локального компьютера

  2. В разделе Конфигурация компьютера выберите Административный шаблон > система > файловая система и в списке Параметры дважды щелкните Включить или отключить проверку подлинности файла журнала CLFS.Включить отключение проверки подлинности в файле журнала CLFS

  3. Выберите Включить или Отключить, а затем нажмите кнопку ОК. Если выбран параметр Не настроено, устранение рисков включено по умолчанию.Выберите Включить или Отключить.

Обновление параметра групповая политика/MDM с помощью Intune

Чтобы обновить групповая политика и настроить проверку подлинности CLFS с помощью Microsoft Intune, выполните следующие действия:

  1. Откройте портал Intune (https://endpoint.microsoft.com) и войдите с учетными данными.

  2. Создайте профиль: 

    1. Выберите Устройства > Конфигурация Windows >> Создать > новую политику.

    2. Выберите Платформа > Windows 10 и более поздних версий.

    3. Выберите Тип профиля > Шаблоны.

    4. Найдите и выберите Настраиваемый.Конфигурация Windows

  3. Задайте имя и описание:Установка имени и описания

  4. Добавьте новый параметр OMA-URI:Добавление нового параметра OMA-URI

  5. Изменение параметра OMA-URI: 

    1. Добавьте имя, например ClfsAuthenticationCheck.

    2. При необходимости добавьте описание.

    3. Задайте для пути OMA-URI следующее:../Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Задайте для параметра Тип данных значениеСтрока.

    5. Задайте для параметра Значение значение<enabled/> или <disabled/>.

    6. Нажмите кнопку Сохранить.Задайте значение и сохраните

  6. Завершите оставшуюся настройку тегов области и назначений, а затем нажмите кнопку Создать. ​​​​​​​

Изменения в API CLFS

Чтобы избежать критических изменений в API CLFS, существующие коды ошибок используются для передачи данных о целостности проверка сбоях вызывающей:

  • В случае сбоя CreateLogFileGetLastError вернет код ошибки ERROR_LOG_METADATA_CORRUPT .

  • Для ClfsCreateLogFile состояние STATUS_LOG_METADATA_CORRUPT возвращается, если CLFS не удается проверить целостность файла журнала.

Часто задаваемые вопросы

Коды проверки подлинности (HMACs) добавлены в файлы журналов CLFS, которые предоставляют драйверу CLFS возможность обнаруживать (вредоносные) изменения, внесенные в файлы до их анализа. Когда устранение рисков переходит в режим принудительного применения (через 90 дней после получения этого обновления), CLFS ожидает, что коды проверки подлинности будут присутствовать и действительны для успешного открытия файла журнала.

В течение первых 90 дней, когда эта версия драйвера CLFS активна, драйвер автоматически добавляет коды проверки подлинности в файлы журналов при открытии с помощью CreateLogFile или ClfsCreateLogFile.

По истечении этого 90-дневного периода внедрения необходимо будет использовать средство проверки подлинности fsutil clfs для добавления кодов проверки подлинности в старые или существующие файлы журналов. Для этого средства требуется, чтобы вызывающий объект был администратором.

Так как коды проверки подлинности создаются с помощью уникального системного криптографического ключа, вы не сможете открыть файлы журналов, созданные в другой системе. Чтобы исправить коды проверки подлинности с помощью криптографического ключа локальной системы, администратор может использовать средство проверки подлинности fsutil clfs . Для этого средства требуется, чтобы вызывающий объект был в группе Администраторы.

Хотя это не рекомендуется, администратор может отключить эту меру, изменив HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [режим] значением 2.

Для этого используйте PowerShell и выполните следующую команду:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Глоссарий

Усиление защиты — это процесс, который помогает защититься от несанкционированного доступа, отказа в обслуживании и других угроз, ограничивая потенциальные недостатки, которые делают системы уязвимыми.

Атрибуты безопасности используются для хранения информации и обеспечения точного контроля доступа к определенным ресурсам.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей