Common Log File System (CLFS) Authentication Mitigation

Trong bài viết này

Tóm tắt

Thời gian tiếp nhận biện pháp giảm nhẹ

Tác động của người dùng

Cấu hình

Cập nhật chính sách nhóm cài đặt bằng Trình soạn thảo Chính sách nhóm Cục bộ

Cập nhật chính sách nhóm/MDM bằng cách sử dụng Intune

Thay đổi đối với API CLFS

Câu hỏi thường gặp (Câu hỏi thường gặp)

Thuật ngữ

Tóm tắt

A new hardening authentication mitigation has been introduced for the Common Log File System (CLFS) driver which adds a hash-based message authentication code (HMAC) to the underlying files of a CLFS logfile. Mã xác thực được tạo ra bằng cách kết hợp dữ liệu tệp với khóa mã hóa duy nhất của hệ thống, được lưu trữ trong sổ đăng ký và chỉ người quản trị và HỆ THỐNG mới có thể truy nhập. Mã xác thực sẽ cho phép CLFS kiểm tra tính toàn vẹn của tệp, đảm bảo dữ liệu tệp an toàn trước khi phân tích cấu trúc dữ liệu nội bộ. CLFS giả định rằng tệp này đã được sửa đổi bên ngoài, độc hại hoặc theo cách khác, nếu kiểm tra tính toàn vẹn không thành công và sẽ từ chối mở nhật ký. Để tiếp tục, một logfile mới phải được tạo ra hoặc người quản trị sẽ cần phải tự xác thực nó bằng cách sử dụng lệnh fsutil.

Thời gian tiếp nhận biện pháp giảm nhẹ

Hệ thống nhận được bản cập nhật với phiên bản CLFS này có thể có các tệp nhật ký hiện có trên hệ thống không có mã xác thực. Để đảm bảo các tệp nhật ký này được chuyển sang định dạng mới, hệ thống sẽ đặt trình điều khiển CLFS vào "chế độ tìm hiểu" sẽ hướng dẫn CLFS tự động thêm mã xác thực vào các tệp nhật ký không có chúng. Việc tự động bổ sung mã xác thực sẽ xảy ra tại logfile mở và chỉ khi chuỗi cuộc gọi có quyền truy cập cần thiết để ghi vào tệp. Hiện tại, thời gian tiếp nhận kéo dài trong 90 ngày, bắt đầu từ thời điểm hệ thống được khởi động lần đầu tiên với phiên bản CLFS này. Sau khi thời gian tiếp nhận 90 ngày này đã ngừng, trình điều khiển sẽ tự động chuyển sang chế độ thực thi vào lần bắt đầu tiếp theo, sau đó CLFS sẽ mong đợi tất cả các tệp nhật ký chứa mã xác thực hợp lệ. Lưu ý rằng giá trị 90 ngày này có thể thay đổi trong tương lai.

Nếu một logfile không được mở trong giai đoạn tiếp nhận này và do đó không được tự động chuyển sang định dạng mới, tiện ích dòng lệnh fsutil clfs xác thực có thể được sử dụng để thêm mã xác thực vào nhật ký. Thao tác này yêu cầu người gọi phải là Người quản trị.

Tác động của người dùng

Biện pháp giảm nhẹ này có thể ảnh hưởng đến người tiêu dùng API CLFS theo những cách sau:

• Vì xác thực logfile được thực hiện tại thời gian mở logfile, CLFS phải đọc toàn bộ logfile từ đĩa để xác thực mã xác thực trước khi bất kỳ cấu trúc nội bộ được phân tích. Do đó, các thao tác mở logfile sẽ phát sinh thêm thao tác đọc I/O theo tỷ lệ với kích cỡ của nhật ký.

  • Một ví dụ về hành vi này có thể được quan sát thấy trong quá trình đăng nhập người dùng và tắt hệ thống. Registry duy trì một logfile được CLFS sao lưu cho tổ hợp người dùng (NTUSER.dat), được mở trong những chuyển tiếp này. Khi mở nhật ký, xác thực yêu cầu đọc đầy đủ nhật ký, dẫn đến tăng I/O đĩa trong khi đăng nhập và tắt máy.

• Bởi vì khóa mật mã được sử dụng để làm cho mã xác thực là hệ thống duy nhất, logfiles không còn di động giữa các hệ thống. Để mở một logfile đã được tạo ra trên một hệ thống từ xa, người quản trị trước tiên phải sử dụng các clfs fsutil xác thực tiện ích để xác thực các logfile bằng cách sử dụng các hệ thống cục bộ mã hóa khóa.

• Một tệp mới, với phần mở rộng ".cnpf" sẽ được lưu trữ cùng với Tệp Ghi nhật ký Nhị phân (BLF) và bộ chứa dữ liệu. Nếu BLF cho một nhật ký nằm tại "C:\Users\User\example.blf", thì "tệp bản vá" của nó phải được đặt tại "C:\Users\User\example.blf.cnpf". Nếu một logfile không phải là sạch sẽ đóng cửa, các tập tin vá sẽ giữ dữ liệu cần thiết cho CLFS để phục hồi các logfile. Tệp bản vá sẽ được tạo với các thuộc tính bảo mật giống như tệp cung cấp thông tin khôi phục. Tệp này nhiều nhất sẽ có cùng kích cỡ như "FlushThreshold" (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).

• Cần có thêm dung lượng tệp để lưu trữ mã xác thực. Dung lượng cần thiết cho mã xác thực phụ thuộc vào kích thước của tệp. Hãy tham khảo danh sách sau đây để biết ước tính về lượng dữ liệu bổ sung sẽ được yêu cầu cho các tệp nhật ký của bạn:

  • Tệp bộ chứa 512KB yêu cầu thêm ~8192 byte để mã xác thực.

  • Tệp bộ chứa 1024KB yêu cầu thêm ~12288 byte để mã xác thực.

  • Tệp bộ chứa 10MB yêu cầu thêm ~90112 byte để mã xác thực.

  • Tệp bộ chứa 100MB yêu cầu thêm ~57344 byte để nhận mã xác thực.

  • Tệp bộ chứa 4GB yêu cầu thêm ~2101248 byte cho mã xác thực.

• Do sự gia tăng trong các hoạt động I/O để duy trì mã xác thực, thời gian cần thiết để thực hiện các hoạt động sau đây đã tăng lên:

  Việc tăng thời gian cho việc tạo ra logfile và logfile mở phụ thuộc hoàn toàn vào kích thước của các bộ chứa, với logfiles lớn hơn có một tác động đáng chú ý hơn nhiều. Trung bình, lượng thời gian cần để ghi vào bản ghi trong nhật ký đã tăng gấp đôi.

  • tạo logfile

  • nhật ký đang mở

  • viết hồ sơ mới

Cấu hình

Các thiết đặt liên quan đến việc giảm nhẹ này được lưu trữ trong sổ đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication. Sau đây là danh sách các giá trị khóa đăng ký và mục đích của các giá trị đó:

• Chế độ: Chế độ hoạt động của mitigation

  • 0: Biện pháp giảm nhẹ được thực thi. CLFS sẽ không mở được các tệp nhật ký có mã xác thực bị thiếu hoặc không hợp lệ. Sau 90 ngày chạy hệ thống với phiên bản trình điều khiển này, CLFS sẽ tự động chuyển sang chế độ thực thi.

  • 1: Giảm nhẹ là trong chế độ học tập. CLFS sẽ luôn mở logfiles. Nếu một logfile thiếu mã xác thực, sau đó CLFS sẽ tạo ra và viết mã vào tệp (giả sử người gọi có quyền truy cập ghi).

  • 2: Người quản trị đã vô hiệu hóa biện pháp giảm nhẹ.

  • 3: Hệ thống tự động tắt tính năng giảm nhẹ. Người quản trị không nên đặt Mode thành giá trị này nhưng nên sử dụng "2" nếu họ muốn tắt biện pháp giảm nhẹ.

• Thực thiTransitionPeriod: Khoảng thời gian, trong vài giây, hệ thống sẽ chi tiêu trong thời gian tiếp nhận. Nếu giá trị này bằng không, thì hệ thống sẽ không tự động chuyển sang thực thi.

• LearningModeStartTime: Dấu thời gian bắt đầu chế độ học tập trên hệ thống. Giá trị này, kết hợp với "EnforcementTransitionPeriod" sẽ xác định khi nào một hệ thống nên chuyển sang chế độ thực thi.

• Khóa:Khóa mật mã được sử dụng để tạo mã xác thực (HMAC). Người quản trị không nên sửa đổi giá trị này.

Người quản trị có thể tắt hoàn toàn biện pháp giảm nhẹ bằng cách thay đổi giá trị Mode thành 2. Để kéo dài thời gian tiếp nhận giảm nhẹ, Người quản trị có thể thay đổi EnforcementTransitionPeriod (giây) thành bất kỳ giá trị nào bạn chọn (hoặc 0 nếu bạn muốn vô hiệu hóa tự động chuyển sang chế độ thực thi).

Cập nhật chính sách nhóm cài đặt bằng Trình soạn thảo Chính sách nhóm Cục bộ

Có thể bật hoặc tắt Xác thực CLFS bằng cách sử chính sách nhóm Đặt:

1. Mở Trình soạn thảo Chính sách nhóm bộ cục bộ trong Windows Panel điều khiển.
   
   

2. Bên dưới Cấu hình Máy tính, chọn Mẫu Quản > Hệ > Filesystem và trong danh sách Thiết đặt, bấm đúp vào Bật / tắt xác thực tệp nhật ký CLFS.
   
   

3. Chọn Bật hoặc Tắt rồi bấm OK. Nếu Chưa cấu hình được chọn, biện pháp giảm nhẹ sẽ được bật theo mặc định.
   
   

Cập nhật chính sách nhóm/MDM bằng cách sử dụng Intune

Để cập nhật thông chính sách nhóm và đặt cấu hình Xác thực CLFS bằng Microsoft Intune:

1. Mở cổng thông Intune tin (https://endpoint.microsoft.com) và đăng nhập bằng thông tin xác thực của bạn.

2. Tạo hồ sơ: 

   1. Chọn Thiết bị > đặt cấu > Windows > tạo một > sách mới.

   2. Chọn Nền tảng > Windows 10 sau này.

   3. Chọn Loại hồ > Mẫu.

   4. Tìm kiếm và chọn Tùy chỉnh.
      
      

3. Đặt tên và mô tả:
   
   

4. Thêm thiết đặt OMA-URI mới:
   
   

5. Chỉnh sửa thiết đặt OMA-URI: 

   1. Thêm tên chẳng hạn như ClfsAuthenticationCheck.

   2. Bạn có thể tùy ý thêm mô tả.

   3. Đặt đường dẫn OMA-URI theo các bước sau:
      
      ./Nhà cung cấp/MSFT/Chính sách/Config/FileSystem/ClfsAuthenticationChecking

   4. Đặt Kiểu dữ liệu thành Chuỗi.

   5. Đặt Giá trị thành kích</bật/> hoặc< tắt/>.

   6. Bấm Lưu.
      
      

6. Hoàn tất cấu hình còn lại của thẻ Phạm vi và Nhiệm vụ, rồi chọn Tạo. ​​​​​​​

Thay đổi đối với API CLFS

Để tránh phá vỡ các thay đổi đối với API CLFS, các mã lỗi hiện có được sử dụng để báo cáo lỗi kiểm tra tính toàn vẹn cho người gọi:

• Nếu CreateLogFile không thành công, thì GetLastError sẽ trả về ERROR_LOG_METADATA_CORRUPT bị lỗi.

• Đối với ClfsCreateLogFile, trạng thái STATUS_LOG_METADATA_CORRUPT được trả về khi CLFS không xác minh được tính toàn vẹn của tệp nhật ký.

Câu hỏi thường gặp (Câu hỏi thường gặp)

Thuật ngữ

C cố định là một quy trình giúp bảo vệ chống lại việc truy cập trái phép, từ chối dịch vụ và các mối đe dọa khác bằng cách hạn chế các điểm yếu tiềm ẩn khiến hệ thống dễ bị tấn công.

Thuộc tính bảo mật được sử dụng để lưu trữ thông tin và thực thi kiểm soát truy nhập chi tiết đối với các tài nguyên cụ thể.