Vzťahuje sa na
Windows 11 version 25H2, all editions Windows Server 2025

Pôvodný dátum publikovania: 28. októbra 2025

KB ID: 5056852

Toto obmedzenie stvrdnutia overovania je k dispozícii v nasledujúcich vydaniach Windowsu:

  • aktualizácie Windows 11, verzie 25H2 a Windows Server 2025 vydané 28. októbra 2025 alebo po ich vydaní

V tomto článku 

Zhrnutie

Obdobie prijatia obmedzenia

Vplyv na používateľa

Konfigurácia

Aktualizácia nastavenia skupinová politika pomocou lokálnej skupinová politika Editor

Aktualizácia nastavenia skupinová politika/MDM pomocou služby Intune

Zmeny rozhrania CLFS API

Najčastejšie otázky

Glosár

Zhrnutie

Pre ovládač CLFS (Common Log File System) bol zavedený nový zmierňujúci stvrdnutie overovania, ktorý pridáva kód overenia správy na základe hodnoty hash (HMAC) do základných súborov súboru denníka CLFS. Overovacie kódy sa vytvárajú kombináciou údajov súboru s kryptografickým kľúčom jedinečným systémom, ktorý je uložený v databáze Registry a je prístupný len pre správcov a system. Overovacie kódy umožnia CLFS skontrolovať integritu súboru, čím sa zabezpečí bezpečnosť údajov súboru pred analýzou interných štruktúr údajov. CLFS predpokladá, že tento súbor bol externe upravený, zlomyseľne alebo inak, ak kontrola integrity zlyhá a odmietne otvoriť súbor denníka. Ak chcete pokračovať, musíte vytvoriť buď nový súbor denníka, alebo ho správca bude musieť manuálne overiť pomocou príkazu fsutil.

Obdobie prijatia obmedzenia

Systém, ktorý prijíma aktualizáciu s touto verziou CLFS, bude pravdepodobne mať existujúce súbory denníka v systéme, ktoré nemajú overovacie kódy. Na zabezpečenie prechodu týchto logfilov do nového formátu systém umiestni ovládač CLFS do "režimu učenia", ktorý nastaví CLFS, aby automaticky pridával overovacie kódy do denníkov, ktoré ich nemajú. Automatické pridanie overovacích kódov sa vykoná pri otvorení súboru denníka a len v prípade, že volacia postupnosť má požadovaný prístup na zápis do súboru. V súčasnosti obdobie prijatia trvá 90 dní, počnúc časom, v ktorom bol systém prvýkrát spustený s touto verziou CLFS. Po uplynutí tohto 90-dňového obdobia prijatia vodič automaticky prejde do režimu presadzovania pri ďalšom spustení, po ktorom CLFS očakáva, že všetky súbory denníka budú obsahovať platné overovacie kódy. Všimnite si, že táto hodnota 90 dní sa môže v budúcnosti zmeniť.

Ak sa počas tohto obdobia prijatia neotvorí súbor denníka, a preto sa automaticky nepremietne do nového formátu, nástroj príkazového riadka fsutil clfs authenticate možno použiť na pridanie overovacích kódov do súboru denníka. Táto operácia vyžaduje, aby bol volajúci správcom.

Vplyv na používateľa

Toto zmiernenie môže mať vplyv na spotrebiteľov rozhrania CLFS API nasledujúcimi spôsobmi:

  • Keďže kryptografický kľúč používaný na vytvorenie overovacích kódov je jedinečným systémom, súbory denníka už nie sú prenosné medzi systémami. Ak chcete otvoriť súbor denníka vytvorený vo vzdialenom systéme, správca musí najprv použiť pomôcku fsutil clfs authenticate na overenie súboru denníka pomocou kryptografického kľúča lokálnych systémov.

  • Nový súbor s príponou ".cnpf" sa uloží spolu s binárnym súborom zapisovania do denníka (BLF) a kontajnermi údajov. Ak sa súbor BLF pre súbor denníka nachádza v umiestnení C:\Users\User\example.blf, jeho súbor opravy by sa mal nachádzať v umiestnení C:\Users\User\example.blf.cnpf. Ak sa súbor denníka nezavrie čisto, súbor opravy bude uchovávať údaje potrebné pre CLFS na obnovenie súboru denníka. Súbor opravy sa vytvorí s rovnakými atribútmi zabezpečenia ako súbor, pre ktorý poskytuje informácie o obnovení. Tento súbor bude mať najviac rovnakú veľkosť ako FlushThreshold (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Na uloženie overovacích kódov sa vyžaduje ďalší priestor pre súbor. Veľkosť priestoru potrebného pre overovacie kódy závisí od veľkosti súboru. V nasledujúcom zozname nájdete odhad, koľko ďalších údajov sa bude vyžadovať pre súbory denníka:

    • 512 KB kontajnerové súbory vyžadujú ďalšie ~8192 bajtov pre overovacie kódy.

    • 1024 KB kontajnerové súbory vyžadujú ďalšie ~12288 bajtov pre overovacie kódy.

    • 10 MB kontajner súbory vyžadujú ďalšie ~90112 bajtov pre overovacie kódy.

    • 100 MB kontajner súbory vyžadujú ďalšie ~57344 bajtov pre overovacie kódy.

    • 4GB kontajnerové súbory vyžadujú ďalšie ~2101248 bajtov pre overovacie kódy.

  • Z dôvodu zvýšenia počtu I/O operácií údržby overovacích kódov sa zvýšil čas potrebný na vykonanie nasledujúcich operácií:

    • vytvorenie súboru denníka

    • logfile open

    • písanie nových záznamov

    Čas na vytvorenie súboru denníka a otvorenie súboru denníka závisí úplne od veľkosti kontajnerov, pričom väčšie súbory denníka majú oveľa výraznejší vplyv. Množstvo času potrebného na zápis do záznamu v súbore denníka sa v priemere zdvojnásobilo.

Konfigurácia

Nastavenia súvisiace s týmto zmiernením sú uložené v databáze Registry v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Nasleduje zoznam kľúčových hodnôt databázy Registry a ich účel:

  • Režim: Operačný režim zmiernenia

    • 0: Obmedzenie rizík sa vynúti. CLFS nedokáže otvoriť súbory denníka, ktoré majú chýbajúce alebo neplatné overovacie kódy. Po 90 dňoch spustenia systému s touto verziou ovládača sa CLFS automaticky prepne do režimu presadzovania.

    • 1: Zmiernenie je v režime učenia. CLFS vždy otvorí súbory denníka. Ak v súbore denníka chýbajú overovacie kódy, funkcia CLFS vygeneruje a zapíše kódy do súboru (za predpokladu, že volajúci má prístup na zápis).

    • 2: Správca zakázal obmedzenie rizík.

    • 3: Zmiernenie bolo v systéme automaticky zakázané. Správca by nemal nastaviť režim na túto hodnotu, ale mal by použiť hodnotu 2, ak chce obmedzenie zakázať.

  • EnforcementTransitionPeriod: množstvo času v sekundách, ktoré systém strávi v období prijatia. Ak je táto hodnota nula, systém sa automaticky neprepne na vynútenie.

  • LearningModeStartTime: časová pečiatka, v ktorej sa v systéme spustil režim učenia. Táto hodnota v kombinácii s príkazom EnforcementTransitionPeriod určí, kedy má systém prejsť do režimu presadzovania.

  • Kľúč:Kryptografický kľúč použitý na vytvorenie overovacích kódov (HMACs). Správcovia by túto hodnotu nemali upravovať.

Správcovia môžu úplne zakázať zmiernenie zmenou hodnoty režimu na hodnotu 2. Ak chcete predĺžiť obdobie prijatia zmiernenia, správca môže zmeniť hodnotu EnforcementTransitionPeriod (sekundy) na ľubovoľnú hodnotu, ktorú vyberiete (alebo 0 , ak chcete vypnúť automatický prechod do režimu presadzovania).

Aktualizácia nastavenia skupinová politika pomocou lokálnej skupinová politika Editor

Overovanie CLFS je možné povoliť alebo zakázať pomocou nastavenia skupinová politika:

  1. Vo Windowse ovládací panel otvorte lokálny skupinová politika Editor.Politika lokálneho počítača

  2. V časti Konfigurácia počítača vyberte položku Šablóna na správu > systém > filesystem a v zozname Nastavenie dvakrát kliknite na položku Povoliť alebo zakázať overovanie súboru denníka CLFS.Povoliť vypnutie overovania súboru denníka CLFS

  3. Vyberte položku Povoliť alebo Zakázať a potom kliknite na tlačidlo OK. Ak nie je vybratá možnosť Nenakonfigurované, obmedzenie rizík je predvolene povolené.Vyberte položku Povoliť alebo Zakázať

Aktualizácia nastavenia skupinová politika/MDM pomocou služby Intune

Aktualizácia skupinová politika a konfigurácia overovania CLFS pomocou služby Microsoft Intune:

  1. Otvorte portál Intune (https://endpoint.microsoft.com) a prihláste sa pomocou svojich poverení.

  2. Vytvorenie profilu: 

    1. Vyberte položky Zariadenia > Konfigurácia systému Windows >> Vytvoriť > novú politiku.

    2. Vyberte položku Platform > Windows 10 a novšie verzie.

    3. Vyberte typ profilu > šablóny.

    4. Vyhľadajte a vyberte položku Vlastné.Konfigurácia systému Windows

  3. Nastavenie názvu a popisu:Nastavenie názvu a popisu

  4. Pridajte nové nastavenie OMA-URI:Pridanie nového nastavenia OMA-URI

  5. Upraviť nastavenie OMA-URI: 

    1. Pridajte názov, napríklad ClfsAuthenticationCheck.

    2. Voliteľne môžete pridať popis.

    3. Nastavte cestu OMA-URI na nasledujúcu hodnotu:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Nastavte typ údajov na hodnotu String.

    5. Nastavte hodnotu tak , aby<povolená/> alebo <vypnutá/>.

    6. Kliknite na tlačidlo Uložiť.Nastaviť hodnotu a uložiť

  6. Dokončite zostávajúcu konfiguráciu značiek a priradení rozsahu a potom vyberte položku Vytvoriť. ​​​​​​​

Zmeny rozhrania CLFS API

Ak sa chcete vyhnúť porušeniu zmien rozhrania CLFS API, existujúce kódy chýb sa používajú na nahlásenie zlyhaní kontroly integrity volajúceho:

  • Ak CreateLogFile zlyhá, funkcia GetLastError vráti kód chyby ERROR_LOG_METADATA_CORRUPT .

  • Pre ClfsCreateLogFile sa vráti stav STATUS_LOG_METADATA_CORRUPT , keď CLFS nedokáže overiť integritu súboru denníka.

Najčastejšie otázky

Overovacie kódy (HMACs) boli pridané do súborov denníka CLFS, ktoré dávajú ovládaču CLFS možnosť rozpoznať (škodlivé) zmeny vykonané v súboroch pred ich analýzou. Keď sa obmedzenie rizík prechody do režimu presadzovania (90 dní po prijatí tejto aktualizácie), CLFS bude očakávať, že overovacie kódy budú prítomné a platné pre úspešné otvorenie súboru denníka.

Počas prvých 90 dní, kedy je táto verzia ovládača CLFS aktívna, ovládač automaticky pridá overovacie kódy do súboru denníka, keď ich otvorí CreateLogFile alebo ClfsCreateLogFile.

Po uplynutí tohto 90-dňového obdobia prijatia bude potrebné použiť nástroj fsutil clfs Authenticate na pridanie overovacích kódov do starých alebo existujúcich logfilov. Tento nástroj vyžaduje, aby bol volajúci správcom.

Keďže overovacie kódy sa vytvárajú pomocou kryptografického kľúča jedinečného pre systém, nebudete môcť otvoriť súbory denníka, ktoré boli vytvorené v inom systéme. Na opravu overovacích kódov pomocou kryptografického kľúča lokálneho systému môže správca použiť nástroj fsutil clfs authenticate . Tento nástroj vyžaduje, aby bol volajúci v skupine Správcovia.

Hoci ho neodporúčame, správca môže toto obmedzenie zakázať úpravou hodnotyHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Mode] na hodnotu 2.

Ak to chcete urobiť, použite prostredie PowerShell a spustite nasledujúci príkaz:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Glosár

Stvrdnutie je proces, ktorý pomáha chrániť pred neoprávneným prístupom, odmietnutím služby a inými hrozbami obmedzením potenciálnych nedostatkov, ktoré robia systémy zraniteľnými.

Atribúty zabezpečenia sa používajú na ukladanie informácií a vynútenie diferenitnej kontroly prístupu nad konkrétnymi zdrojmi.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania