通用日誌檔案系統 (CLFS) 認證緩解

本文內容

摘要

緩解採納期

使用者影響

設定

使用本地群組原則編輯器更新群組原則設定

使用 Intune 更新群組原則/MDM 設定

CLFS API 的變更

常見問題 (常見問題)

詞彙

摘要

針對 CLFS) 驅動程式 (通用日誌檔案系統引入了新的強化認證緩解措施，將基於雜湊的訊息認證碼 () 加入 CLFS 日誌檔案的底層檔案。 認證碼是透過將檔案資料與系統獨有的密碼金鑰結合而產生，該密鑰存放於登錄檔中，僅管理員與系統可存取。 認證碼將允許 CLFS 檢查檔案完整性，確保檔案資料在解析其內部資料結構前安全。 如果完整性檢查失敗，CLFS 會假設這個檔案是外部惡意或惡意修改的，並會拒絕開啟該日誌檔。 要繼續，必須建立一個全新的日誌檔，或管理員必須使用 fsutil 指令手動驗證。

緩解採納期

接收此版本 CLFS 更新的系統，通常系統中已有沒有驗證碼的日誌檔。 為確保這些日誌檔案能轉換成新格式，系統會將 CLFS 驅動程式置於「學習模式」，指示 CLFS 自動為沒有驗證碼的日誌檔案新增。 自動加入認證碼會在日誌檔案開啟時發生，且只有在呼叫執行緒擁有寫入檔案所需的存取權限時才會發生。 目前，採用期為 90 天，從系統首次啟動此版本 CLFS 開始計算。 在這 90 天的採用期結束後，駕駛人會在下一次啟動時自動切換到執行模式，之後 CLFS 會期望所有日誌檔案都包含有效的認證碼。 請注意，這個 90 天的價值未來可能會變動。

若日誌檔案在此採用期間未被開啟，且未自動轉換成新格式，則可使用 fsutil clfs 認證 命令列工具為日誌檔案新增認證碼。 此操作要求呼叫者必須是管理員。

使用者影響

此緩解措施可能以以下方式影響 CLFS API 的使用者：

• 由於日誌檔案認證是在日誌檔案開啟時執行，CLFS 必須從磁碟讀取整個日誌檔，以驗證驗證驗證碼，才能解析任何內部結構。 因此，日誌檔案開啟操作會產生與日誌檔案大小成比例的額外讀取 I/O。

  • 這種行為的例子可以在使用者登入和系統關機時觀察到。 登錄檔維護一個由 CLFS 支援的使用者蜂巢 (NTUSER.dat) 日誌檔，該日誌檔會在這些轉換期間開啟。 當日誌檔案被開啟時，認證需要完整讀取日誌檔案，導致登入與關機時磁碟 I/O 增加。

• 由於用於製作認證碼的密碼金鑰是系統唯一的，日誌檔案不再能在系統間攜帶。 要開啟在遠端系統建立的日誌檔，管理員必須先使用 fsutil clfs 認證 工具，利用本地系統的密碼金鑰來驗證該日誌檔案。

• 一個副檔名為「.cnpf」的新檔案將與 BLF) 與資料容器 (二進位記錄檔一同儲存。 如果日誌檔的 BLF 位於「C：\Users\User\example.blf」，那麼它的「補丁檔」應該位於「C：\Users\User\example.blf.cnpf」。 若日誌檔案未被乾淨關閉，補丁檔將儲存 CLFS 恢復日誌檔案所需的資料。 修補檔會以與提供復原資訊的檔案相同的 安全屬性 建立。 此檔案大小最多與「FlushThreshold」 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]) 相等。

• 儲存認證碼需要額外的檔案空間。 驗證碼所需的空間大小取決於檔案大小。 請參考以下清單，估算日誌檔案所需額外資料量：

  • 512KB 的容器檔案需要額外 ~8192 位元組作為認證碼。

  • 1024KB 的容器檔案需要額外的 ~12288 位元組作為認證碼。

  • 10MB 容器檔案需額外 ~90112 位元組作為認證碼。

  • 100MB 容器檔案需額外 ~57344 位元組作為驗證碼。

  • 4GB 容器檔案需要額外的 ~2101248 位元組作為認證碼。

• 由於維護認證碼所需的 I/O 操作增加，執行以下操作所需的時間也有所增加：

  日誌檔案建立與開啟日誌檔案的時間增加完全取決於容器大小，較大的日誌檔案影響更明顯。 平均來說，寫入日誌檔案記錄所需的時間已經加倍。

  • 日誌檔案建立

  • 日誌檔案開啟

  • 新唱片創作

設定

與此緩解相關的設定會儲存在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication 的登錄檔中。 以下是關鍵登錄值及其用途清單：

• 模式：緩解措施的操作模式

  • 0：減輕措施被執行。 CLFS 將無法開啟缺少或無效驗證碼的日誌檔案。 在使用此版本驅動程式運行 90 天後，CLFS 將自動切換至強制執行模式。

  • 1：緩解措施正處於學習階段。 CLFS 永遠會開啟日誌檔案。 如果日誌檔缺少認證碼，CLFS 會產生並寫入該檔案的代碼， (假設呼叫者擁有寫入權限) 。

  • 2：一位管理員停用了緩解措施。

  • 3：系統自動停用了緩解措施。 管理員不應該將模式設為此值，但若想停用緩解措施，應使用「2」。

• 執行過渡期：系統在採用期間所花費的時間（以秒計）。 若此值為零，系統將不會自動轉入強制執行。

• LearningModeStartTime：系統上學習模式開始的時間戳。 此值結合「執行轉換期」 ，將決定系統何時應切換至執行模式。

• 金鑰：用於建立 HMAC (認證碼的密碼學金鑰) 。 管理員不應修改此值。

管理員可將 Mode 值改為 2，完全停用緩解措施。 為了延長緩解採納期間，管理員可以將 EnforcementTransitionPeriod (秒) 改為任意值， (或 0 ，若你想關閉自動切換到強制模式) 。

使用本地群組原則編輯器更新群組原則設定

CLFS 認證可透過群組原則設定啟用或停用：

1. 在 Windows 控制台開啟本地群組原則編輯器。
   
   

2. 在 電腦設定中，選擇系統 > 檔案系統 > 管理範本，並在 設定 清單中雙擊啟用/停用 CLFS 日誌檔案認證。
   
   

3. 選擇啟用或停用，然後點擊確定。 如果選擇「未設定」，緩解措施預設已啟用。
   
   

使用 Intune 更新群組原則/MDM 設定

要更新群組原則並使用 Microsoft Intune 設定 CLFS 認證：

1. 打開Intune入口網站 (https://endpoint.microsoft.com) 並用你的帳號登入。

2. 建立個人檔案： 

   1. 選擇 Windows > 設定 >裝置 > 建立 >新政策。

   2. 選擇平台 > Windows 10及之後。

   3. 選擇範本 > 設定檔類型。

   4. 搜尋並選擇自訂。
      
      

3. 設定姓名與描述：
   
   

4. 新增一個 OMA-URI 設定：
   
   

5. 編輯 OMA-URI 設定： 

   1. 新增一個名稱，例如 ClfsAuthenticationCheck。

   2. 可選擇性地加上描述。

   3. 將 OMA-URI 路徑設為以下：
      
      ./Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationChecking

   4. 將資料型別設為 String。

   5. 將 Value 設為 <啟用/> 或 <disabled/>。

   6. 按一下 [儲存]。
      
      

6. 完成剩餘的範圍標籤與指派設定，然後選擇建立。 ​​​​​​​

CLFS API 的變更

為避免破壞 CLFS API 變更，會使用現有錯誤碼向呼叫者回報完整性檢查失敗：

• 如果 CreateLogFile 失敗， GetLastError 會回傳 ERROR_LOG_METADATA_CORRUPT 錯誤碼。

• 對於 ClfsCreateLogFile，當 CLFS 未能驗證日誌檔案的完整性時，會回傳 STATUS_LOG_METADATA_CORRUPT 狀態。

常見問題 (常見問題)

詞彙

強化 是一種透過限制潛在弱點來防止未經授權存取、阻斷服務及其他威脅的過程。

安全屬性用於儲存資訊並對特定資源實施細緻存取控制。