นำไปใช้กับ
Windows 11 version 25H2, all editions Windows Server 2025

วันที่เผยแพร่ต้นฉบับ: วันที่ 28 ตุลาคม 2568

KB ID: 5056852

การลดการรับรองความถูกต้องเพื่อการชุบแข็งนี้พร้อมใช้งานใน Windows รุ่นต่อไปนี้:

  • การอัปเดต Windows 11 เวอร์ชัน 25H2 และ Windows Server 2025 ที่เผยแพร่ในวันที่ 28 ตุลาคม 2025 หรือหลังจากนั้น

ในบทความนี้ 

บทสรุป

ระยะเวลาการปรับใช้

ผลกระทบต่อผู้ใช้

การกําหนดค่า

อัปเดตการตั้งค่านโยบายกลุ่มโดยใช้นโยบายกลุ่ม ตัวแก้ไขภายในเครื่อง

อัปเดตการตั้งค่า นโยบายกลุ่ม/MDM โดยใช้ Intune

การเปลี่ยนแปลง CLFS API

คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)

คําศัพท์

บทสรุป

มีการนําการลดการรับรองความถูกต้อง แบบ Hardening ใหม่มาใช้สําหรับโปรแกรมควบคุม Common Log File System (CLFS) ซึ่งจะเพิ่ม รหัสการรับรองความถูกต้องข้อความแบบแฮช (HMAC) ให้กับไฟล์ต้นแบบของแฟ้มบันทึก CLFS รหัสการรับรองความถูกต้องจะถูกสร้างขึ้นโดยการรวมข้อมูลไฟล์กับคีย์การเข้ารหัสลับที่ไม่ซ้ํากันของระบบ ซึ่งเก็บไว้ในรีจิสทรีและสามารถเข้าถึงได้เฉพาะผู้ดูแลระบบและ SYSTEM เท่านั้น รหัสการรับรองความถูกต้องจะช่วยให้ CLFS สามารถตรวจสอบความสมบูรณ์ของไฟล์ได้ เพื่อให้แน่ใจว่าข้อมูลไฟล์จะปลอดภัยก่อนที่จะแยกวิเคราะห์โครงสร้างข้อมูลภายใน CLFS จะถือว่าไฟล์นี้ถูกปรับเปลี่ยนจากภายนอก โดยประสงค์ร้าย หรือมิฉะนั้น ถ้าการตรวจสอบความสมบูรณ์ล้มเหลว และจะปฏิเสธที่จะเปิด logfile เมื่อต้องการดําเนินการต่อ จะต้องสร้าง logfile ใหม่ หรือผู้ดูแลระบบจะต้องรับรองความถูกต้องด้วยตนเองโดยใช้คําสั่ง fsutil

ระยะเวลาการปรับใช้

ระบบที่ได้รับการอัปเดตด้วย CLFS รุ่นนี้อาจจะมี logfiles อยู่ในระบบที่ไม่มีรหัสการรับรองความถูกต้อง เพื่อให้แน่ใจว่า logfiles เหล่านี้ได้รับการเปลี่ยนเป็นรูปแบบใหม่ ระบบจะวางโปรแกรมควบคุม CLFS ใน "โหมดการเรียนรู้" ซึ่งจะแนะนําให้ CLFS เพิ่มรหัสการรับรองความถูกต้องไปยัง logfiles ที่ไม่มีโดยอัตโนมัติ การเพิ่มรหัสการตรวจสอบสิทธิ์โดยอัตโนมัติจะเกิดขึ้นเมื่อ logfile เปิดขึ้นและเฉพาะเมื่อเธรดการโทรมีสิทธิ์ในการเขียนไฟล์ที่ต้องการเท่านั้น ขณะนี้ระยะเวลาการเริ่มนําไปใช้เป็นเวลา 90 วันเริ่มต้นจากเวลาที่ระบบเริ่มต้นด้วย CLFS เวอร์ชันนี้เป็นครั้งแรก หลังจากระยะเวลาการปรับใช้ 90 วันนี้สิ้นสุดลง โปรแกรมควบคุมจะเปลี่ยนเป็นโหมดการบังคับใช้โดยอัตโนมัติในการเริ่มต้นครั้งถัดไป หลังจากนั้น CLFS จะคาดว่า logfile ทั้งหมดจะมีรหัสการรับรองความถูกต้องที่ถูกต้อง โปรดทราบว่าค่า 90 วันนี้อาจเปลี่ยนแปลงในอนาคต

หากไม่ได้เปิด logfile ในช่วงระยะเวลาการปรับใช้นี้ ดังนั้นจึงไม่เปลี่ยนเป็นรูปแบบใหม่โดยอัตโนมัติ fsutil clfs authenticate บรรทัดคําสั่งอรรถประโยชน์สามารถใช้เพื่อเพิ่มรหัสการรับรองความถูกต้องไปยัง logfile การดําเนินการนี้ต้องการให้ผู้เรียกเป็นผู้ดูแลระบบ

ผลกระทบต่อผู้ใช้

การลดปัญหานี้อาจส่งผลกระทบต่อผู้บริโภคของ CLFS API ด้วยวิธีต่อไปนี้:

  • เนื่องจากคีย์การเข้ารหัสลับที่ใช้ในการทําให้รหัสการตรวจสอบสิทธิ์เป็นแบบไม่ซ้ํากัน logfiles จึงไม่สามารถพกพาได้ระหว่างระบบอีกต่อไป เมื่อต้องการเปิด logfile ที่สร้างขึ้นบนระบบระยะไกล ผู้ดูแลระบบต้องใช้โปรแกรมอรรถประโยชน์ รับรองความถูกต้องของ fsutil เพื่อรับรองความถูกต้องของ logfile โดยใช้คีย์การเข้ารหัสของระบบภายใน

  • ไฟล์ใหม่ที่มีส่วนขยาย ".cnpf" จะถูกเก็บไว้ควบคู่ไปกับไฟล์การบันทึกแบบไบนารี (BLF) และคอนเทนเนอร์ข้อมูล หาก BLF สําหรับ logfile อยู่ที่ "C:\Users\User\example.blf" "ไฟล์โปรแกรมแก้ไข" ควรอยู่ที่ "C:\Users\User\example.blf.cnpf" ถ้า logfile ไม่ถูกปิดทั้งหมด แฟ้มโปรแกรมปรับปรุงจะเก็บข้อมูลที่จําเป็นสําหรับ CLFS เพื่อกู้คืนแฟ้มบันทึก แฟ้มโปรแกรมแก้ไขจะถูกสร้างด้วย คุณลักษณะความปลอดภัย เดียวกันกับแฟ้มที่มีข้อมูลการกู้คืน ไฟล์นี้จะมีขนาดเดียวกันกับ "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]) ส่วนใหญ่

  • เนื้อที่ไฟล์เพิ่มเติมจําเป็นต้องใช้ในการจัดเก็บรหัสการรับรองความถูกต้อง จํานวนพื้นที่ที่จําเป็นสําหรับรหัสการรับรองความถูกต้องจะขึ้นอยู่กับขนาดของไฟล์ ดูรายการต่อไปนี้สําหรับการประเมินว่าต้องใช้ข้อมูลเพิ่มเติมเท่าใดสําหรับ logfiles ของคุณ:

    • ไฟล์คอนเทนเนอร์ 512KB ต้องการขนาด ~8192 ไบต์เพิ่มเติมสําหรับรหัสการรับรองความถูกต้อง

    • ไฟล์คอนเทนเนอร์ 1024KB ต้องการขนาด ~12288 ไบต์เพิ่มเติมสําหรับรหัสการรับรองความถูกต้อง

    • ไฟล์คอนเทนเนอร์ขนาด 10MB ต้องการขนาด ~90112 ไบต์เพิ่มเติมสําหรับรหัสการรับรองความถูกต้อง

    • ไฟล์คอนเทนเนอร์ขนาด 100MB ต้องการขนาด ~57344 ไบต์เพิ่มเติมสําหรับรหัสการรับรองความถูกต้อง

    • ไฟล์คอนเทนเนอร์ 4GB ต้องการจํานวน ~2101248 ไบต์เพิ่มเติมสําหรับรหัสการรับรองความถูกต้อง

  • เนื่องจากการเพิ่มขึ้นของการดําเนินการ I/O สําหรับการรักษารหัสการรับรองความถูกต้อง เวลาที่ใช้ในการดําเนินการต่อไปนี้เพิ่มขึ้น:

    • การสร้าง logfile

    • เปิด logfile

    • การเขียนระเบียนใหม่

    การเพิ่มขึ้นของเวลาสําหรับการสร้าง logfile และเปิด logfile ขึ้นอยู่กับขนาดของคอนเทนเนอร์ทั้งหมดด้วย logfiles ขนาดใหญ่มีผลกระทบที่เห็นได้ชัดมากขึ้น โดยเฉลี่ยแล้ว ระยะเวลาที่ใช้ในการเขียนไปยังระเบียนใน logfile เพิ่มขึ้นสองเท่า

การกําหนดค่า

การตั้งค่าที่เกี่ยวข้องกับการแก้ไขนี้จะถูกเก็บไว้ในรีจิสทรีที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication ต่อไปนี้คือรายการค่ารีจิสทรีคีย์และวัตถุประสงค์ของค่ารีจิสทรีคีย์:

  • โหมด: โหมดการทํางานของการบรรเทา

    • 0: มีการบังคับใช้การบรรเทา CLFS จะไม่สามารถเปิด logfiles ที่มีรหัสการรับรองความถูกต้องขาดหายไปหรือไม่ถูกต้อง หลังจากใช้งานระบบ 90 วันด้วยโปรแกรมควบคุมรุ่นนี้ CLFS จะเปลี่ยนเป็นโหมดการบังคับใช้โดยอัตโนมัติ

    • 1: การลดปัญหาอยู่ในโหมดการเรียนรู้ CLFS จะเปิด logfiles เสมอ ถ้า logfile ไม่มีรหัสการรับรองความถูกต้อง CLFS จะสร้างและเขียนรหัสไปยังไฟล์ (สมมติให้ผู้โทรมีสิทธิ์ในการเขียน)

    • 2: ผู้ดูแลระบบปิดใช้งานการลดปัญหา

    • 3: ระบบปิดใช้งานการบรรเทาโดยอัตโนมัติ ผู้ดูแลระบบไม่ควรตั้งค่าโหมดเป็นค่านี้ แต่ควรใช้ "2" หากพวกเขาต้องการปิดใช้งานการลดปัญหา

  • EnforcementTransitionPeriod: ระยะเวลาเป็นวินาทีที่ระบบจะใช้เวลาในช่วงการเริ่มนําไปใช้ ถ้าค่านี้เป็นศูนย์ ระบบจะไม่เปลี่ยนเป็นการบังคับใช้โดยอัตโนมัติ

  • LearningModeStartTime: การประทับเวลาที่โหมดการเรียนรู้เริ่มต้นบนระบบ ค่านี้ เมื่อใช้ร่วมกับ "EnforcementTransitionPeriod" จะกําหนดว่าเมื่อใดที่ระบบควรเปลี่ยนไปใช้โหมดการบังคับใช้

  • คีย์:คีย์การเข้ารหัสลับที่ใช้ในการสร้างรหัสการรับรองความถูกต้อง (HMACs) ผู้ดูแลระบบไม่ควรปรับเปลี่ยนค่านี้

ผู้ดูแลระบบสามารถปิดใช้งานการลดปัญหาได้โดยการเปลี่ยนค่าโหมดเป็น 2 เมื่อต้องการยืดระยะเวลาการปรับใช้การลดปัญหา ผู้ดูแลระบบสามารถเปลี่ยน EnforcementTransitionPeriod (วินาที) เป็นค่าใดๆ ที่คุณเลือก (หรือ 0 ถ้าคุณต้องการปิดใช้งานการเปลี่ยนอัตโนมัติในโหมดการบังคับใช้)

อัปเดตการตั้งค่านโยบายกลุ่มโดยใช้นโยบายกลุ่ม ตัวแก้ไขภายในเครื่อง

การรับรองความถูกต้อง CLFS สามารถเปิดหรือปิดใช้งานได้โดยใช้การตั้งค่านโยบายกลุ่ม:

  1. เปิดนโยบายกลุ่ม ตัวแก้ไขภายในเครื่องใน windows แผงควบคุม นโยบายคอมพิวเตอร์เฉพาะที่

  2. ภายใต้ การกําหนดค่าคอมพิวเตอร์ เลือก เทมเพลตการดูแลระบบ > System > Filesystem และในรายการ การตั้งค่า ดับเบิลคลิก เปิดใช้งาน / ปิดใช้งานการรับรองความถูกต้อง CLFS logfile เปิดใช้งานการปิดใช้งานการรับรองความถูกต้อง logfile CLFS

  3. เลือก เปิดใช้งาน หรือ ปิดใช้งาน แล้วคลิก ตกลง ถ้า ไม่ได้กําหนดค่า ถูกเลือก ไว้ การลดปัญหาจะเปิดใช้งานตามค่าเริ่มต้น เลือก เปิดใช้งาน หรือ ปิดใช้งาน

อัปเดตการตั้งค่า นโยบายกลุ่ม/MDM โดยใช้ Intune

เมื่อต้องการอัปเดตนโยบายกลุ่มและกําหนดค่าการรับรองความถูกต้องของ CLFS โดยใช้ Microsoft Intune:

  1. เปิด พอร์ทัล Intune (https://endpoint.microsoft.com) และเข้าสู่ระบบด้วยข้อมูลประจําตัวของคุณ

  2. สร้างโปรไฟล์: 

    1. เลือก อุปกรณ์ > การกําหนดค่า windows >> สร้าง > นโยบายใหม่

    2. เลือก แพลตฟอร์ม > Windows 10 และใหม่กว่า

    3. เลือก ชนิดโปรไฟล์ > เทมเพลต

    4. ค้นหาและเลือก กําหนดเอง การกําหนดค่า Windows

  3. ตั้งชื่อและคําอธิบาย:ตั้งชื่อและคําอธิบาย

  4. เพิ่มการตั้งค่า OMA-URI ใหม่:เพิ่มการตั้งค่า OMA-URI ใหม่

  5. แก้ไขการตั้งค่า OMA-URI: 

    1. เพิ่มชื่อ เช่น ClfsAuthenticationCheck

    2. อีกทางหนึ่งคือ เพิ่มคําอธิบาย

    3. ตั้งค่าพาธ OMA-URI เป็นดังต่อไปนี้:./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

    4. ตั้งค่า ชนิดข้อมูล เป็น สตริง

    5. ตั้งค่าเป็น เปิดใช้งาน/>< หรือ ปิดใช้งาน/><

    6. คลิก บันทึก ตั้งค่าและบันทึก

  6. ดําเนินการกําหนดค่าที่เหลือของแท็กขอบเขตและงานที่มอบหมายให้เสร็จสมบูรณ์ จากนั้นเลือก สร้าง ​​​​​​​

การเปลี่ยนแปลง CLFS API

เพื่อหลีกเลี่ยงการเปลี่ยนแปลง CLFS API ที่เสียหาย รหัสข้อผิดพลาดที่มีอยู่จะใช้เพื่อรายงานความล้มเหลวในการตรวจสอบความสมบูรณ์ของผู้เรียก:

  • ถ้า CreateLogFile ล้มเหลว GetLastError จะส่งคืนรหัสข้อผิดพลาด ERROR_LOG_METADATA_CORRUPT

  • สําหรับ ClfsCreateLogFile สถานะ STATUS_LOG_METADATA_CORRUPT จะถูกส่งกลับเมื่อ CLFS ล้มเหลวในการตรวจสอบความถูกต้องของ logfile

คําถามที่ถามบ่อย (คําถามที่ถามบ่อย)

มีการเพิ่มรหัสการรับรองความถูกต้อง (HMACs) ไปยัง CLFS logfiles ซึ่งให้โปรแกรมควบคุม CLFS สามารถตรวจหา (ที่เป็นอันตราย) การแก้ไขที่ทํากับไฟล์ก่อนที่จะแยกวิเคราะห์ไฟล์เหล่านั้น เมื่อการลดการเปลี่ยนแปลงเข้าสู่โหมดการบังคับใช้ (90 วันหลังจากได้รับการอัปเดตนี้) CLFS จะคาดว่ารหัสการรับรองความถูกต้องจะปรากฏและใช้ได้เพื่อเปิด logfile ได้สําเร็จ

สําหรับ 90 วันแรกที่โปรแกรมควบคุม CLFS เวอร์ชันนี้ใช้งานอยู่ โปรแกรมควบคุมจะเพิ่มรหัสการรับรองความถูกต้องไปยัง logfiles โดยอัตโนมัติเมื่อเปิดโดย CreateLogFile หรือ ClfsCreateLogFile

หลังจากระยะเวลาการปรับใช้ 90 วันผ่านไป เครื่องมือ รับรองความถูกต้องของ clfs fsutil จะต้องใช้เพื่อเพิ่มรหัสการตรวจสอบสิทธิ์ลงใน logfile เก่าหรือที่มีอยู่ เครื่องมือนี้ต้องการให้ผู้เรียกเข้าเป็นผู้ดูแลระบบ

เนื่องจากรหัสการตรวจสอบสิทธิ์ถูกสร้างขึ้นโดยใช้คีย์การเข้ารหัสลับที่ไม่ซ้ํากันของระบบ คุณจะไม่สามารถเปิดไฟล์บันทึกที่สร้างขึ้นบนระบบอื่นได้ เมื่อต้องการแก้ไขรหัสการตรวจสอบสิทธิ์โดยใช้คีย์การเข้ารหัสลับของระบบภายใน ผู้ดูแลระบบสามารถใช้เครื่องมือ รับรองความถูกต้องของกลุ่ม fsutil ได้ เครื่องมือนี้ต้องการให้ผู้เรียกเข้าอยู่ในกลุ่มผู้ดูแลระบบ

แม้ว่าเราไม่แนะนําให้ทําเช่นนั้น แต่ผู้ดูแลระบบสามารถปิดใช้งานการแก้ไขนี้ได้โดยการปรับเปลี่ยน HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [โหมด] ให้มีค่าเป็น 2

เมื่อต้องการทําเช่นนี้ ให้ใช้ PowerShell และเรียกใช้คําสั่งต่อไปนี้:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication” -Name Mode -Value 2​​​​​​​

คําศัพท์

การแข็งตัว เป็นกระบวนการที่ช่วยป้องกันการเข้าถึง การปฏิเสธบริการ และภัยคุกคามอื่นๆ โดยจํากัดจุดอ่อนที่อาจเกิดขึ้นซึ่งทําให้ระบบมีความเสี่ยง

แอตทริบิวต์การรักษาความปลอดภัยใช้เพื่อจัดเก็บข้อมูลและบังคับใช้การควบคุมการเข้าถึงอย่างละเอียดสําหรับทรัพยากรเฉพาะ

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง