Datum izvirne objave: 28. oktober 2025
ID zbirke znanja: 5056852
To zmanjšanje za utrjevanje preverjanja pristnosti je na voljo v teh izdajah sistema Windows:
-
Windows 11, različica 25H2, in posodobitve Windows Server 2025, izdane 28. oktobra 2025 ali po tem
|
Spremeni datum |
Opis spremembe |
|
24. februar 2026 |
V razdelek »Vpliv uporabnika« smo dodali to oznako.
|
V tem članku
Obdobje uvajanja ublažitve posledic
Posodobitev pravilnik skupine z urejevalnikom lokalnih pravilnik skupine nastavitev
Povzetek
Za gonilnik clFS (Common Log File System) je bilo uvedeno novo zmanjšanje za utrjevanje preverjanja pristnosti, ki temeljnim datotekam dnevniške datoteke CLFS doda kodo za preverjanje pristnosti sporočila z lojzo (HMAC). Kode za preverjanje pristnosti so ustvarjene z združevanjem datotečnih podatkov s sistemskim kriptografskim ključem, ki je shranjen v registru in dostopen le skrbnikom in sistemu. Kode za preverjanje pristnosti omogočajo, da CLFS preveri celovitost datoteke in zagotovi varnost datotenih podatkov, preden razčleni svoje notranje podatkovne strukture. CLFS predvideva, da je bila datoteka zlonamerno spremenjena, zlonamerna ali kako drugače, če preverjanje celovitosti ne uspe in zavrne odpiranje dnevniške datoteke. V nadaljevanju je treba ustvariti svežo dnevniško datoteko ali pa jo mora skrbnik ročno preveriti z ukazom fsutil.
Obdobje uvajanja ublažitve posledic
Sistem, ki prejme posodobitev s to različico clFS, bo verjetno imel obstoječe dnevniške datoteke v sistemu, ki nimajo kod za preverjanje pristnosti. Če želite zagotoviti, da se te dnevniške datoteke prenesejo v novo obliko zapisa, bo sistem gonilnik za CLFS dodal v »način učenja«, ki bo clFS navodilo, naj samodejno doda kode za preverjanje pristnosti v dnevniške datoteke, ki jih nimajo. Samodejno dodajanje kod za preverjanje pristnosti se bo prikazalo pri odprti dnevniških datotekah in le, če ima klicna nit zahtevan dostop za pisanje v datoteko. Trenutno obdobje uvajanja traja 90 dni, z začetkom pri času, ko se je sistem prvič zagnal s to različico clFS. Po tem 90-dnevnem obdobju uvajanja se bo gonilnik ob naslednjem zagonu samodejno prelel v način uvajanja, po katerem bo CLFS pričakoval, da bodo v vseh dnevniških datotekah veljavne kode za preverjanje pristnosti. Upoštevajte, da se bo ta 90-dnevni vrednost v prihodnje morda spremenila.
Če se dnevniške datoteke ne odprejo v tem obdobju uvajanja in zato ni bila samodejno pre prehodu na novo obliko zapisa, je mogoče pripomoček fsutil clfs authenticate command line utility uporabiti za dodajanje kod za preverjanje pristnosti v dnevniško datoteko. Za ta postopek mora biti klicatelj skrbnik.
Vpliv na uporabnika
To ublažitev lahko vpliva na potrošnike API-ja CLFS na naslednje načine:
-
Ker se preverjanje pristnosti dnevniške datoteke izvede ob odprtem času dnevniške datoteke, mora CLFS prebrati celotno dnevniško datoteko z diska, da preveri veljavnost kod za preverjanje pristnosti, preden so razčlenjevane vse notranje strukture. Zaradi tega so postopki odprtih dnevniških datotek dodatni, da so V/I prebrani sorazmerno z velikostjo dnevniške datoteke.
-
Primer tega vedenja lahko opazimo med prijavo uporabnika in zaustavitvijo sistema. Register vzdržuje dnevniško datoteko, ki je varnostno kopirana s clFS, za panj uporabnika (NTUSER.dat), ki se odpre med temi prehodi. Ko odprete dnevniško datoteko, preverjanje pristnosti zahteva popolno branje dnevniške datoteke, kar povzroči povečanje V/I diska med prijavo in zaustavitvijo.
-
-
Ker je kriptografski ključ, s katerim so kode za preverjanje pristnosti enolične, dnevniške datoteke med sistemi niso več prenosne. Če želite odpreti dnevniško datoteko, ki je bila ustvarjena v oddaljenem sistemu, mora skrbnik najprej uporabiti pripomoček za preverjanje pristnosti fsutil clfs za preverjanje pristnosti dnevniške datoteke z uporabo lokalnega šifrirnega ključa sistema.
-
Nova datoteka s pripono ».cnpf« bo shranjena skupaj z dvojiško dnevniško datoteko (BLF) in vsebniki podatkov. Če je BLF za dnevniško datoteko na mestu »C:\Users\User\example.blf«, mora biti njegova »datoteka popravka« na naslovu »C:\Users\User\example.blf.cnpf«. Če dnevniške datoteke ni čisto zaprta, datoteka popravka vsebuje podatke, ki jih CLFS potrebuje za obnovitev dnevniške datoteke. Datoteka popravka bo ustvarjena z enakimi varnostnimi atributi kot datoteka, za kateri zagotavlja informacije za obnovitev. Ta datoteka bo največ enake velikosti kot »FlushThreshold« (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).
-
Če želite shraniti kode za preverjanje pristnosti, potrebujete dodaten prostor za datoteke. Količina prostora, potrebnega za kode za preverjanje pristnosti, je odvisna od velikosti datoteke. Za oceno, koliko dodatnih podatkov bodo potrebni za vaše dnevniške datoteke, si oglejte naslednji seznam:
-
Datoteke vsebnika 512KB zahtevajo dodatne bajte ~8192 za kode za preverjanje pristnosti.
-
Datoteke vsebnika 1024KB zahtevajo dodatne bajte ~12288 za kode za preverjanje pristnosti.
-
Datoteke vsebnika 10 MB zahtevajo dodatne bajte ~90112 za kode za preverjanje pristnosti.
-
Datoteke vsebnika 100 MB zahtevajo dodatne bajte ~57344 za kode za preverjanje pristnosti.
-
Datoteke vsebnika 4 GB zahtevajo dodatne ~2101248 bajte za kode za preverjanje pristnosti.
-
-
Zaradi povečanja postopkov V/I za vzdrževanje kod za preverjanje pristnosti se je povečal čas, potreben za izvajanje teh operacij:
Povečanje časa za ustvarjanje dnevniške datoteke in odpiranje dnevniške datoteke je v celoti odvisno od velikosti vsebnikov, z večjimi dnevniške datoteke, ki imajo veliko bolj opazen vpliv. V povprečju se je število časa, potrebnega za pisanje v zapis v dnevniških datotekah, podvojite.
-
ustvarjanje dnevniške datoteke
-
logfile open
-
pisanje novih zapisov
-
Konfiguracijo
Nastavitve, povezane s to ublažitvijo posledic, so shranjene v registru v HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Spodaj je seznam vrednosti registra ključev in njihov namen:
-
Način: Način delovanja ublažitve posledic
-
0: Ublažitev je uveljavljena. Datoteke CLFS ne bodo uspele odpreti dnevniških datotek, ki imajo manjkajoče ali neveljavne kode za preverjanje pristnosti. Po 90 dneh zagona sistema s to različico gonilnika bo CLFS samodejno preskok v način uveljavljanja.
-
1: Ublažitev posledic je v načinu učenja. CLFS vedno odpre dnevniške datoteke. Če v dnevniških datotekah manjkajo kode za preverjanje pristnosti, clFS ustvari kode in jih zapiše v datoteko (če ima klicatelj dostop za pisanje).
-
2: Skrbnik je onemogočil ublažitev posledic.
-
3: Ublažitev je bila samodejno onemogočena s sistemom. Skrbnik načina ne sme nastaviti na to vrednost, vendar mora uporabiti »2«, če želijo onemogočiti ublažitev posledic.
-
-
EnforcementTransitionPeriod: Količina časa v sekundah, ki ga bo sistem porabil v obdobju uvajanja. Če je ta vrednost nič, sistem ne bo samodejno preureden v uveljavitev.
-
LearningModeStartTime: Časovni žig, v katerem se je način učenja zagnal v sistemu. Ta vrednost v kombinaciji z možnostjo »EnforcementTransitionPeriod « določa, kdaj naj sistem preteče v način uveljavljanja.
-
Ključ:Kriptografski ključ, uporabljen za ustvarjanje kod za preverjanje pristnosti (HMACs). Skrbniki te vrednosti ne smejo spreminjati.
Skrbniki lahko v celoti onemogočijo ublažitev posledic tako, da vrednost »Način« spremenite na 2. Skrbnik lahko za podaljšanje obdobja uvajanja ublažitve posledic spremeni ukaz EnforcementTransitionPeriod (sekunde) na poljubno vrednost (ali 0 , če želite onemogočiti samodejni prehod v način uveljavljanja).
Posodobitev pravilnik skupine z urejevalnikom lokalnih pravilnik skupine nastavitev
Preverjanje pristnosti CLFS je mogoče omogočiti ali onemogočiti z pravilnik skupine nastavitev:
-
Odprite urejevalnik lokalnih pravilnik skupine v sistemu Windows nadzorna plošča.
-
V razdelku Konfiguracija računalnika izberite Skrbniška predloga > Sistem > Datotečni sistem in na seznamu Nastavitev dvokliknite Omogoči/onemogoči preverjanje pristnosti dnevniške datoteke CLFS.
-
Izberite Omogoči ali Onemogoči in nato kliknite V redu. Če je izbrana možnost Ni konfigurirano, je ublažitev posledic privzeto omogočena.
Posodobitev pravilnik skupine/MDM z uporabo Intune
Če želite posodobiti pravilnik skupine in konfigurirati preverjanje pristnosti clFS s Microsoft Intune:
-
Odprite portal Intune (https://endpoint.microsoft.com) in se prijavite s poverilnicami.
-
Ustvarite profil:
-
Izberite Naprave, > konfiguracijo > windows > Ustvari > nov pravilnik.
-
Izberite Platform > Windows 10 in novejše različice.
-
Izberite Vrsta profila > Predloge.
-
Poiščite in izberite Po meri.
-
-
Nastavite ime in opis:
-
Dodajte novo nastavitev OMA-URI:
-
Urejanje nastavitve OMA-URI:
-
Dodajte ime, kot je ClfsAuthenticationCheck.
-
Po želji lahko dodate opis.
-
Nastavite pot OMA-URI na to:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking
-
Nastavite podatkovni tip naNiz.
-
Vrednost nastavite tako, da<omogočeno/> ali <onemogočeno/>.
-
Kliknite Shrani.
-
-
Dokončajte preostalo konfiguracijo oznak obsega in dodelitev, nato pa izberite Ustvari.
Spremembe API-ja CLFS
Če se želite izogniti prelomom sprememb API-ja CLFS, se obstoječe kode napak uporabljajo za poročanje o napakah pri pregledu celovitosti klicatelju:
-
Če CreateLogFile ne uspe, funkcija GetLastError vrne ERROR_LOG_METADATA_CORRUPT napake.
-
Za ClfsCreateLogFile je vrnjeno STATUS_LOG_METADATA_CORRUPT , ko CLFS ne uspe preveriti celovitosti dnevniške datoteke.
Pogosta vprašanja
Kode preverjanja pristnosti (HMACs) so bile dodane v dnevniške datoteke CLFS, zaradi česar lahko gonilnik clFS zazna (zlonamerne) spremembe datotek, preden jih razčleni. Ko ublažitev prehodov v način uveljavljanja (90 dni po prejemu te posodobitve), clFS pričakuje, da bodo prisotne kode za preverjanje pristnosti in veljavne, da bodo uspešno odprle dnevniško datoteko.
V prvih 90 dneh, ko je ta različica gonilnika CLFS aktivna, bo gonilnik v dnevniške datoteke samodejno dodal kode za preverjanje pristnosti, ko jih bo odprl CreateLogFile ali ClfsCreateLogFile.
Po tem 90-dnevnem obdobju uvajanja je poteklo, bo treba uporabiti orodje za preverjanje pristnosti fsutil clfs za dodajanje kod za preverjanje pristnosti v stare ali obstoječe dnevniške datoteke. To orodje zahteva, da je klicatelj skrbnik.
Ker so kode za preverjanje pristnosti ustvarjene s sistemskim kriptografskim ključem, ne boste mogli odpreti dnevniških datotek, ki so bile ustvarjene v drugem sistemu. Če želite popraviti kode za preverjanje pristnosti s kriptografskim ključem lokalnega sistema, lahko skrbnik uporabi orodje za preverjanje pristnosti fsutil clfs . To orodje zahteva, da je klicatelj v skupini Skrbniki.
Čeprav tega ne priporočamo, jo lahko skrbnik onemogoči tako, da spremeniHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [način], da je vrednost 2.
To naredite tako, da uporabite PowerShell in zaženete ta ukaz:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2
Slovar
Utrjevanje je proces, ki ščiti pred nepooblaščenim dostopom, zavrnitvijo storitve in drugimi grožnjami z omejevanjem morebitnih pomanjkljivosti, zaradi katerih so sistemi ranljivi.
Varnostni atributi se uporabljajo za shranjevanje informacij in uveljavljanje natančnejšega nadzora dostopa do določenih virov.