Primenjuje se na
Windows 11 version 25H2, all editions Windows Server 2025

Originalni datum objavljivanja: 28. oktobar 2025.

KB ID: 5056852

Ovo ojačnjavanje umanjivanja potvrde identiteta dostupno je u sledećim Windows izdanjima:

  • Windows 11, ispravke verzije 25H2 i Windows Server 2025 objavljene 28. oktobra 2025. ili posle 28. oktobra 2025.

U ovom članku 

Rezime

Period umanjivanja usvajanja

Uticaj na korisnika

Konfiguracija

Ažuriraj Smernice grupe koristeći lokalnu Smernice grupe Uređivač

Ažuriranje Smernice grupe/MDM postavki pomoću usluge Intune

Promene CLFS API-ja

Najčešća pitanja (najčešća pitanja)

Rečnik

Rezime

Za upravljački program Common Log File System (CLFS) uvedeno je novo umanjivanje potvrde identiteta, koje dodaje kôd potvrde identiteta poruka zasnovan na hešu (HMAC) osnovnim datotekama CLFS datoteke evidencije. Kodovi potvrde identiteta se kreiraju kombinovanjem podataka datoteke sa sistemski jedinstvenim kriptografskim ključem koji je uskladišten u registratoru i pristupačan samo administratorima i sistemu. Kodovi potvrde identiteta će omogućiti clFS-u da provere integritet datoteke, obezbeđijući da su podaci datoteke bezbedni pre raščlanjivanja njenih unutrašnjih struktura podataka. CLFS pretpostavlja da je ova datoteka spoljno izmenjena, zlonamerno ili na neki drugi način, ako provera integriteta ne uspe i odbija da otvori datoteku evidencije. Da biste nastavili, mora da se kreira nova datoteka evidencije ili će administrator morati ručno da potvrdi identitet pomoću komande fsutil.

Period umanjivanja usvajanja

Sistem koji prima ispravku sa ovom verzijom CLFS-a verovatno će imati postojeće datoteke evidencije u sistemu koje ne sadrže kodove potvrde identiteta. Da bi se obezbedilo da se ove datoteke evidencije prebace na novi format, sistem će postaviti CLFS upravljački program u "režim učenja" koji će dati uputstva CLFS-u da automatski dodaju kodove potvrde identiteta u datoteke evidencije koje ih nemate. Automatsko dodavanje kodova potvrde identiteta odvijaće se pri otvaranju datoteke logfile i samo ako nit pozivanja ima potreban pristup za pisanje u datoteku. Trenutno, period usvajanja traje 90 dana, počevši od vremena kada je sistem prvi put pokrenut sa ovom verzijom CLFS- a. Nakon isteka ovog perioda usvajanja od 90 dana, upravljački program će automatski preći u režim sprovođenja pri sledećem pokretanju, nakon kojeg CLFS očekuje da sve datoteke evidencije sadrže važeće kodove za potvrdu identiteta. Imajte na umu da ova 90-dnevna vrednost može da se promeni u budućnosti.

Ako datoteka evidencije nije otvorena tokom ovog perioda usvajanja i zbog toga nije automatski preneta u novi format, uslužni program komandne linije fsutil clfs potvrda identiteta može da se koristi za dodavanje kodova potvrde identiteta u datoteku evidencije. Ova operacija zahteva da pozivalac bude administrator.

Uticaj na korisnika

Ovo umanjivanje može da utiče na potrošače CLFS API-ja na sledeće načine:

  • Pošto je kriptografski ključ koji se koristi za pravljenje kodova potvrde identiteta sistemski jedinstven, datoteke evidencije više nisu prenosivi između sistema. Da bi otvorio datoteku evidencije koja je kreirana u udaljenom sistemu, administrator prvo mora da koristi uslužni program fsutil clfs za potvrdu identiteta datoteke evidencije pomoću šifrovanog ključa lokalnih sistema.

  • Nova datoteka sa oznakom tipa datoteke ".cnpf" biće uskladištena pored binarne datoteke evidentiranja (BLF) i kontejnera sa podacima. Ako se BLF za datoteku evidencije nalazi na "C:\Users\User\example.blf", njena "datoteka zakrpe" bi trebalo da se nalazi na lokaciji "C:\Users\User\example.blf.cnpf". Ako datoteka evidencije nije čisto zatvorena, datoteka zakrpe će sadržati podatke potrebne da bi CLFS oporavila datoteku evidencije. Datoteka zakrpe će biti kreirana sa istim bezbednosnim atributima kao datoteka za koju pruža informacije o oporavku. Ova datoteka će biti najviše iste veličine kao "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

  • Potreban je dodatni prostor za datoteku za skladištenje kodova potvrde identiteta. Količina prostora potrebnog za kodove potvrde identiteta zavisi od veličine datoteke. Pogledajte sledeću listu za procenu toga koliko će dodatnih podataka biti potrebno za datoteke evidencije:

    • 512KB datoteka kontejnera zahteva dodatnih ~8192 bajta za kodove potvrde identiteta.

    • Datoteke kontejnera od 1024 KB zahtevaju dodatnih ~12288 bajtona za kodove potvrde identiteta.

    • Datoteke kontejnera od 10 MB zahtevaju dodatnih ~90112 bajta za kodove potvrde identiteta.

    • Datoteke kontejnera od 100 MB zahtevaju dodatnih ~57344 bajta za kodove potvrde identiteta.

    • Datoteke kontejnera od 4 GB zahtevaju dodatni ~2101248 bajtove za kodove za potvrdu identiteta.

  • Zbog povećanja U/I operacija za održavanje kodova potvrde identiteta, povećano je vreme potrebno za izvršavanje sledećih operacija:

    • kreiranje datoteke evidencije

    • datoteka evidencije otvorena

    • pisanje novih zapisa

    Povećanje vremena za kreiranje datoteke evidencije i otvaranje datoteke za evidenciju u potpunosti zavisi od veličine kontejnera, sa mnogo primetnijim uticajem na veće datoteke za evidenciju. U proseku se udvostručilo vreme potrebno za pisanje u zapis u datoteci za evidenciju.

Konfiguracija

Postavke koje se odnose na ovo umanjivanje skladište se u registratoru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Sledi lista ključnih vrednosti registratora i njihova svrha:

  • Modus: Operativni režim umanjivanja

    • 0: Umanjivanje je nametnuto. CLFS neće uspeti da otvori datoteke evidencije koje nedostaju ili su nevažeće kodove potvrde identiteta. Nakon 90 dana pokretanja sistema sa ovom verzijom upravljačkog programa, CLFS će automatski preći u režim sprovođenja.

    • 1: Umanjivanje je u režimu učenja. CLFS će uvek otvarati datoteke evidencije. Ako datoteci za evidenciju nedostaju kodovi potvrde identiteta, CLFS će generisati i generisati kodove u datoteku (pod pretpostavkom da pozivalac ima pristup za pisanje).

    • 2: Administrator je onemogućio umanjivanje.

    • 3: Sistem je automatski onemogućio umanjivanje. Administrator ne bi trebalo da podesi režim na ovu vrednost, ali bi trebalo da koristi "2" ako žele da onemoguće umanjivanje.

  • EnforcementTransitionPeriod: Vreme, u sekundama, koje će sistem provesti u periodu usvajanja. Ako je ova vrednost nula, sistem neće automatski preći u nametnuto.

  • LearningModeStartTime: Vremenska oznaka u kojoj je pokrenut režim učenja u sistemu. Ova vrednost, u kombinaciji sa "EnforcementTransitionPeriod" će odrediti kada sistem treba da prelazi u režim sprovođenja.

  • Ključ:Kriptografski ključ korišćen za kreiranje kodova potvrde identiteta (HMAC). Administratori ne bi trebalo da menjaju ovu vrednost.

Administratori mogu potpuno da onemoguće umanjivanje tako što će promeniti vrednost režima na 2. Da bi se prolongiranje perioda umanjivanja usvajanja, administrator može da promeni metod EnforcementTransitionPeriod (sekunde) na bilo koju vrednost koju odaberete (ili 0 ako želite da onemogućite automatski prelaz u režim sprovođenja).

Ažuriraj Smernice grupe koristeći lokalnu Smernice grupe Uređivač

CLFS potvrda identiteta može da se omogući ili onemogući pomoću postavke Smernice grupe potvrde identiteta:

  1. Otvorite prozor Lokalno Smernice grupe Uređivač u operativnom sistemu Windows Kontrolna tabla.Smernice za lokalni računar

  2. U okviru Konfiguracija računara izaberite stavku Administrativni predložak > Sistemski > sistem datoteka i na listi Postavke kliknite dvaput na dugme Omogući/onemogući potvrdu identiteta CLFS evidencije.Omogući onemogućavanje CLFS potvrde identiteta evidencije

  3. Izaberite stavku Omogući ili Onemogući, a zatim kliknite na dugme U redu. Ako je izabrana opcija Nije konfigurisano, umanjivanje je podrazumevano omogućeno.Izaberite stavku "Omogući" ili "Onemogući"

Ažuriranje Smernice grupe/MDM postavki pomoću usluge Intune

Da biste ažurirali Smernice grupe i konfigurisali CLFS potvrdu identiteta pomoću usluge Microsoft Intune:

  1. Otvorite Intune portal (https://endpoint.microsoft.com ) i prijavite se pomoću akreditiva.

  2. Kreiraj profil: 

    1. Izaberite stavku Uređaji> Windows > konfiguraciju > kreirajte > nove smernice.

    2. Izaberite stavku Platforma > Windows 10 i novije verzije.

    3. Izaberite stavku Tip profila > predloške.

    4. Potražite i izaberite stavku Prilagođeno.Konfiguracija operativnog sistema Windows

  3. Postavite ime i opis:Postavljanje imena i opisa

  4. Dodaj novu OMA-URI postavku:Dodavanje nove OMA-URI postavke

  5. Uredi OMA-URI postavku: 

    1. Dodajte ime kao što je ClfsAuthenticationCheck.

    2. Opcionalno dodajte opis.

    3. Postavite OMA-URI putanju na sledeću:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. Postavite tip podataka nanisku.

    5. Postavite vrednost na</>ili< />.

    6. Kliknite na dugme Sačuvaj.Postavi vrednost i sačuvaj

  6. Dovršite preostalu konfiguraciju oznaka opsega i zaduženja, a zatim izaberite stavku Kreiraj. ​​​​​​​

Promene CLFS API-ja

Da bi se izbegle lomljene promene CLFS API-ja, postojeći kodovi grešaka se koriste za prijavljivanje neuspešnih provera integriteta pozivaocima:

Najčešća pitanja (najčešća pitanja)

Kodovi potvrde identiteta (HMAC-ove) dodati su u CLFS datoteke za evidenciju koje daju CLFS upravljačkim programu mogućnost da otkrije (zlonamerne) izmene napravljene na datotekama pre nego što ih raščlani. Kada umanji prelaze u režim sprovođenja (90 dana nakon dobijanja ove ispravke), CLFS očekuje da kodovi potvrde identiteta budu prisutni i važeći kako bi uspešno otvorili datoteku evidencije.

Za prvih 90 dana kada ova verzija CLFS upravljačkog programa bude aktivna, upravljački program će automatski dodati kodove potvrde identiteta u datoteke za evidenciju kada ih otvori CreateLogFile ili ClfsCreateLogFile.

Nakon isteka ovog perioda usvajanja od 90 dana, alatka za potvrdu identiteta Fsutil CLFs moraće da se koristi za dodavanje kodova potvrde identiteta starim ili postojećim datotekama evidencije. Ova alatka zahteva da pozivalac bude administrator.

Pošto se kodovi za potvrdu identiteta kreiraju pomoću sistemski jedinstvenog šifrovanog ključa, nećete moći da otvarate datoteke evidencije kreirane u drugom sistemu. Da biste ispravili kodove potvrde identiteta pomoću šifrovanog ključa lokalnog sistema, administrator može da koristi alatku za potvrdu identiteta fsutil clfs . Ova alatka zahteva da pozivalac bude u grupi Administratori.

Iako to ne preporučujemo, administrator može da onemogući ovo umanjivanje tako što će izmenitiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [Mode] tako da bude vrednost 2.

Da biste to uradili, koristite PowerShell i pokrenite sledeću komandu:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

Rečnik

Ojačavanje je proces koji pomaže u zaštiti od neovlašćenog pristupa, uskraćivanja usluge i drugih pretnji ograničavanje potencijalnih slabosti koje sisteme čini ranjivim.

Bezbednosni atributi se koriste za skladištenje informacija i nametanje preciznije kontrole pristupa nad određenim resursima.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost