Ortak Günlük Dosyası Sistemi (CLFS) Kimlik DoğrulamaSını Azaltma

Bu makalede

Özet

Azaltma benimseme dönemi

Kullanıcı etkisi

Yapılandırma

Yerel grup ilkesi Düzenleyicisi'ni kullanarak grup ilkesi ayarını güncelleştirme

Intune kullanarak grup ilkesi/MDM ayarını güncelleştirme

CLFS API'sinde yapılan değişiklikler

Sık sorulan sorular (SSS)

Sözlük

Özet

ClFS günlük dosyasının temel dosyalarına karma tabanlı ileti kimlik doğrulama kodu (HMAC) ekleyen Ortak Günlük Dosya Sistemi (CLFS) sürücüsü için yeni bir sağlamlaştırma kimlik doğrulama azaltması kullanıma sunulmuştur. Kimlik doğrulama kodları, dosya verileri kayıt defterinde depolanan ve yalnızca Yöneticiler ve SYSTEM tarafından erişilebilen sistem benzersiz şifreleme anahtarıyla birleştirilerek oluşturulur. Kimlik doğrulama kodları, CLFS'nin iç veri yapılarını ayrıştırmadan önce dosya verilerinin güvenli olduğundan emin olarak dosyanın bütünlüğünü denetlemesine olanak sağlar. CLFS, bütünlük denetimi başarısız olursa ve günlük dosyasını açmayı reddederse, bu dosyanın kötü amaçlı veya başka bir şekilde dışarıdan değiştirildiğini varsayar. Devam etmek için yeni bir günlük dosyası oluşturulmalıdır veya Yöneticinin fsutil komutunu kullanarak bu dosyayı el ile doğrulaması gerekir.

Azaltma benimseme dönemi

CLFS'nin bu sürümüyle güncelleştirme alan bir sistemin, sistemde kimlik doğrulama kodları olmayan mevcut günlük dosyaları olabilir. Bu günlük dosyalarının yeni biçime geçirildiğinden emin olmak için sistem, CLFS sürücüsünü bir "öğrenme moduna" yerleştirir ve CLFS'ye sahip olmayan günlük dosyalarına otomatik olarak kimlik doğrulama kodları eklemesini ister. Kimlik doğrulama kodlarının otomatik olarak eklenmesi logfile açık olduğunda ve yalnızca çağıran iş parçacığının dosyaya yazmak için gerekli erişime sahip olması durumunda gerçekleşir. Şu anda, sistemin bu CLFS sürümüyle ilk kez başlatıldığı zamandan başlayarak benimseme süresi 90 gün sürer. Bu 90 günlük benimseme süresi dolduktan sonra, sürücü bir sonraki başlangıçta otomatik olarak zorlama moduna geçer ve bundan sonra CLFS tüm günlük dosyalarının geçerli kimlik doğrulama kodları içermesini bekler. Bu 90 günlük değerin gelecekte değişebileceğini unutmayın.

Bu benimseme döneminde bir logfile açılmazsa ve bu nedenle otomatik olarak yeni biçime geçirilmemişse, fsutil clfs authenticate komut satırı yardımcı programı, logfile'a kimlik doğrulama kodları eklemek için kullanılabilir. Bu işlem, çağıranın Yönetici olmasını gerektirir.

Kullanıcı etkisi

Bu azaltma, CLFS API'sinin tüketicilerini aşağıdaki yollarla etkileyebilir:

• Logfile kimlik doğrulaması logfile açık zamanında gerçekleştirildiğinden, herhangi bir iç yapı ayrıştırmadan önce kimlik doğrulama kodlarını doğrulamak için CLFS'nin diskteki günlük dosyasının tamamını okuması gerekir. Sonuç olarak, günlük dosyası açma işlemleri, günlük dosyasının boyutuyla orantılı olarak ek okuma G/Ç'sine neden olur.

  • Kullanıcı oturum açma ve sistem kapatma sırasında bu davranışa bir örnek gözlemlenebilir. Kayıt Defteri, bu geçişler sırasında açılan kullanıcı kovanı (NTUSER.dat) için CLFS destekli bir günlük dosyası tutar. Günlük dosyası açıldığında, kimlik doğrulaması günlük dosyasının tam olarak okunmasını gerektirir ve bu da oturum açma ve kapatma sırasında disk G/Ç'sinde artışa neden oluyor.

• Kimlik doğrulama kodlarını yapmak için kullanılan şifreleme anahtarı sistem benzersiz olduğundan, günlük dosyaları artık sistemler arasında taşınabilir değildir. Uzak sistemde oluşturulmuş bir logfile'ı açmak için, yöneticinin önce yerel sistemler şifreleme anahtarını kullanarak günlük dosyasının kimliğini doğrulamak için fsutil clfs authenticate yardımcı programını kullanması gerekir.

• İkili Günlük Dosyası (BLF) ve veri kapsayıcıları ile birlikte ".cnpf" uzantısına sahip yeni bir dosya depolanır. Günlük dosyasının BLF'si "C:\Users\User\example.blf" konumundaysa, "düzeltme eki dosyası" "C:\Users\User\example.blf.cnpf" konumunda bulunmalıdır. Bir günlük dosyası temiz bir şekilde kapatılmazsa, düzeltme eki dosyası CLFS'nin günlük dosyasını kurtarması için gereken verileri tutar. Düzeltme eki dosyası, kurtarma bilgilerini sağladığı dosyayla aynı güvenlik öznitelikleriyle oluşturulur. Bu dosya en çok "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold] ) ile aynı boyutta olacaktır.

• Kimlik doğrulama kodlarını depolamak için ek dosya alanı gerekir. Kimlik doğrulama kodları için gereken alan miktarı dosyanın boyutuna bağlıdır. Günlük dosyalarınız için ne kadar ek veri gerekeceğini tahmin etmek için aşağıdaki listeye bakın:

  • 512 KB kapsayıcı dosyaları, kimlik doğrulama kodları için ek ~8192 bayt gerektirir.

  • 1024 KB kapsayıcı dosyaları, kimlik doğrulama kodları için ek ~12288 bayt gerektirir.

  • 10 MB kapsayıcı dosyaları, kimlik doğrulama kodları için ek bir ~90112 bayt gerektirir.

  • 100 MB kapsayıcı dosyaları, kimlik doğrulama kodları için ek ~57344 bayt gerektirir.

  • 4 GB kapsayıcı dosyaları, kimlik doğrulama kodları için ek bir ~2101248 bayt gerektirir.

• Kimlik doğrulama kodlarının korunmasına yönelik G/Ç işlemlerindeki artış nedeniyle, aşağıdaki işlemleri gerçekleştirmek için geçen süre artmıştır:

  Günlük dosyası oluşturma ve günlük dosyası açma süresindeki artış tamamen kapsayıcıların boyutuna bağlıdır ve daha büyük günlük dosyaları çok daha belirgin bir etkiye sahiptir. Ortalama olarak, günlük dosyasındaki bir kayda yazma süresi iki katına çıkarır.

  • logfile oluşturma

  • logfile open

  • yeni kayıtları yazma

Yapılandırma

Bu azaltmayla ilgili ayarlar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication kayıt defterinde depolanır. Anahtar kayıt defteri değerlerinin ve bunların amacının listesi aşağıdadır:

• Mod: Azaltmanın çalışma modu

  • 0: Azaltma uygulanır. CLFS, eksik veya geçersiz kimlik doğrulama kodları olan günlük dosyalarını açamaz. 90 gün sonra sistemi sürücünün bu sürümüyle çalıştırdıktan sonra, CLFS otomatik olarak zorlama moduna geçer.

  • 1: Azaltma öğrenme modundadır. CLFS her zaman günlük dosyalarını açar. Bir günlük dosyasında kimlik doğrulama kodları eksikse, CLFS kodları oluşturur ve dosyaya yazar (çağıranın Yazma erişimi olduğu varsayılır).

  • 2: Yönetici azaltmayı devre dışı bırakmış.

  • 3: Azaltma sistem tarafından otomatik olarak devre dışı bırakıldı. Yönetici Modu bu değere ayarlamamalı, ancak azaltmayı devre dışı bırakmak isterse "2" kullanmalıdır.

• EnforcementTransitionPeriod: Sistemin benimseme döneminde harcayacağı süre (saniye cinsinden). Bu değer sıfırsa sistem otomatik olarak zorlamaya geçiş yapılmaz.

• LearningModeStartTime: Sistemde öğrenme modunun başlatıldığı zaman damgası. Bu değer, "EnforcementTransitionPeriod" ile birlikte bir sistemin zorlama moduna ne zaman geçeceğini belirler.

• Anahtar:Kimlik doğrulama kodları (HMAC) oluşturmak için kullanılan şifreleme anahtarı. Yöneticiler bu değeri değiştirmemelidir.

Yöneticiler Mod değerini 2 olarak değiştirerek azaltmayı tamamen devre dışı bırakabilir. Azaltma benimseme süresini uzatmak için Yönetici , EnforcementTransitionPeriod (saniye) değerini seçtiğiniz herhangi bir değerle (veya otomatik zorlama moduna geçişi devre dışı bırakmak istiyorsanız 0 ) değiştirebilir.

Yerel grup ilkesi Düzenleyicisi'ni kullanarak grup ilkesi ayarını güncelleştirme

CLFS Kimlik Doğrulaması, grup ilkesi Ayarı kullanılarak etkinleştirilebilir veya devre dışı bırakılabilir:

1. Windows Denetim Masası'da Yerel grup ilkesi Düzenleyicisi'ni açın.
   
   

2. Bilgisayar Yapılandırması'nın altında Yönetim Şablonu > Sistem > Dosya Sistemi'ni seçin ve Ayar listesinde CLFS günlük dosyası kimlik doğrulamasını etkinleştir/devre dışı bırak'a çift tıklayın.
   
   

3. Etkinleştir veya Devre Dışı Bırak'ı seçip Tamam'a tıklayın. Yapılandırılmadı seçiliyse, azaltma varsayılan olarak etkindir.
   
   

Intune kullanarak grup ilkesi/MDM ayarını güncelleştirme

grup ilkesi güncelleştirmek ve Microsoft Intune kullanarak CLFS Kimlik Doğrulamasını yapılandırmak için:

1. Intune portalını (https://endpoint.microsoft.com) açın ve kimlik bilgilerinizle oturum açın.

2. Profil oluşturma: 

   1. Windows > Yapılandırması >Cihazlar > Yeni >İlke Oluştur'u seçin.

   2. Platform > Windows 10 ve üzerini seçin.

   3. Profil türü > Şablonlar'ı seçin.

   4. Özel'i arayın ve seçin.
      
      

3. Bir ad ve açıklama ayarlayın:
   
   

4. Yeni bir OMA-URI ayarı ekleyin:
   
   

5. OMA-URI ayarını düzenle: 

   1. ClfsAuthenticationCheck gibi bir ad ekleyin.

   2. İsteğe bağlı olarak bir açıklama ekleyin.

   3. OMA-URI yolunu şu şekilde ayarlayın:
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. Veri türünü Dize olarak ayarlayın.

   5. Değeri etkin/>< veya devre dışı/><olarak ayarlayın.

   6. Kaydet'e tıklayın.
      
      

6. Kapsam etiketlerinin ve Atamaların kalan yapılandırmasını tamamlayın ve oluştur'u seçin. ​​​​​​​

CLFS API'sinde yapılan değişiklikler

CLFS API'sinde hataya neden olan değişiklikleri önlemek için, çağırana bütünlük denetimi hatalarını bildirmek için mevcut hata kodları kullanılır:

• CreateLogFile başarısız olursa, GetLastErrorERROR_LOG_METADATA_CORRUPT hata kodunu döndürür.

• ClfsCreateLogFile için, CLFS günlük dosyasının bütünlüğünü doğrulayamazsa STATUS_LOG_METADATA_CORRUPT durumu döndürülür.

Sık sorulan sorular (SSS)

Sözlük

Sağlamlaştırma , sistemleri savunmasız hale getiren olası zayıflıkları sınırlayarak yetkisiz erişime, hizmet reddine ve diğer tehditlere karşı korunmaya yardımcı olan bir süreçtir.

Güvenlik öznitelikleri, bilgileri depolamak ve belirli kaynaklar üzerinde ayrıntılı erişim denetimi uygulamak için kullanılır.