Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwierzytelnienie plików dziennika CLFS to zabezpieczenie, które poprawia bezpieczeństwo analizowania plików, zapewniając, że sterownik CLFS jest autorem i zapisującym pliki dziennika. Uwierzytelnianie pliku dziennika jest realizowane przez rejestrowanie kodów uwierzytelniania komunikatów opartych na skrótach (HMAC) w sekcji zarezerwowanej na końcu każdego pliku dziennika. Jeśli plik dziennika jest tworzony lub modyfikowany przez inne elementy niż interfejs API CLFS (na przykład sterownik CLFS), plik dziennika jest uważany za niebezpieczny do analizowania, a CLFS generuje błąd dla wywołującego (ERROR_LOG_METADATA_CORRUPT w trybie użytkownika, STATUS_LOG_METADATA_CORRUPT w trybie jądra).
Sprawdzanie uwierzytelniania CLFS jest domyślnie włączone w następujących wersjach:
- Windows 11, wersja 25H2
Wpływ na użytkownika
Kody uwierzytelniania są tworzone poprzez tworzenie skrótów z danych pliku dziennika oraz systemowo unikatowego klucza kryptograficznego. Ponieważ klucz kryptograficzny jest unikatowy dla każdego systemu, funkcja CLFS kończy się niepowodzeniem sprawdzania uwierzytelniania w plikach dziennika utworzonych w innych systemach, co sprawia, że pliki dziennika CLFS są nieportowalne bez interwencji administratora (aby uzyskać więcej informacji, zobacz następujące sekcje).
Obciążenie magazynu
Nowy plik z rozszerzeniem .cnpf jest przechowywany obok kontenerów BLF i danych. Jeśli plik BLF dla pliku dziennika znajduje się w folderze C:\Users\User\example.blf, jego plik poprawki powinien znajdować się w folderze C:\Users\User\example.blf.cnpf. Jeśli plik dziennika nie jest czysto zamknięty, plik poprawki przechowuje dane potrzebne do odzyskania pliku dziennika przez CLFS. Plik poprawki jest tworzony z tymi samymi atrybutami zabezpieczeń co plik, dla których udostępnia informacje o odzyskiwaniu. Plik jest o tym samym rozmiarze co "FlushThreshold" (HKLM\SYSTEM\CurrentControlSet\Services\CLFS\Parameters [FlushThreshold]).
Więcej magazynów plików jest przydzielanych do przechowywania większej liczby kodów uwierzytelniania. Dodatkowe miejsce jest dodawane na podstawie rozmiaru pliku żądanego przez obiekt wywołujący, na przykład podczas wywoływania clfsAddLogContainer lub ClfsAddLogContainerSet. Ilość miejsca potrzebnego do kodów uwierzytelniania zależy od żądanego rozmiaru pliku. Zapoznaj się z poniższą listą, aby uzyskać oszacowanie, ile więcej danych jest przydzielonych dla plików dziennika:
512-kilobajtowe pliki kontenera przydzielają dodatkowo ~8192 bajtów.
Pliki kontenera o rozmiarze 1024 KB mają przydzielone dodatkowe ok. 12 288 bajtów.
10 MB plików kontenera przydziela dodatkowe ok. 90 112 bajtów.
Pliki kontenera o wielkości 100 MB przydzielają dodatkowo około 57 344 bajtów.
Pliki kontenera o rozmiarze 4 GB przydzielają dodatkowo około 2,101,248 bajtów.
Obciążenie we/wy
Ze względu na wzrost liczby operacji we/wy na potrzeby obsługi kodów uwierzytelniania czas potrzebny na tworzenie, otwieranie i zapisywanie rekordów w plikach dziennika jest zwiększany. Wzrost czasu tworzenia pliku dziennika i otwierania pliku dziennika zależy całkowicie od rozmiaru kontenerów, przy czym większe pliki dziennika mają znacznie bardziej zauważalny wpływ. Średnio czas potrzebny na zapis do pliku dziennika się podwaja.
Tryb ograniczania ryzyka
Domyślnie środowisko CLFS jest uruchamiane z włączonym ograniczeniem zabezpieczeń uwierzytelniania pliku dziennika CLFS. Plik CLFS generuje błąd podczas otwierania plików dziennika, w których brakuje lub są nieprawidłowe kody uwierzytelniania.
System odbierający aktualizację z tą wersją środowiska CLFS prawdopodobnie ma istniejące pliki dziennika w systemie, które nie mają kodów uwierzytelniania. Aby upewnić się, że te pliki dziennika zostaną przełączone do nowego formatu, system umieszcza sterownik CLFS w trybie uczenia, co nakazuje CLFS automatyczne dodawanie kodów uwierzytelniania do plików dziennika, które ich nie mają. Automatyczne dodawanie kodów uwierzytelniania odbywa się podczas otwierania pliku dziennika i tylko wtedy, gdy wątek wywołujący ma dostęp do zapisu do źródłowych plików. Okres wdrażania jest definiowany w rejestrze HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication [EnforcementTransitionPeriod] (w sekundach).
Chociaż nie jest to zalecane, środki zaradcze można wyłączyć. Po wyłączeniu clFS nie wykonuje kontroli uwierzytelniania i analizuje potencjalnie uszkodzone lub złośliwe pliki dziennika.
Konfiguracja
Tryb łagodzenia uwierzytelniania pliku dziennika CLFS można zarządzać (włączanie/wyłączanie) na kilka sposobów:
** MDM, przy użyciu
/Vendor/MSFT/Policy/Config/FileSystem/ClfsAuthenticationCheckingzasady.Zasady grupy, przy użyciu ustawienia "Włącz/wyłącz uwierzytelnianie dziennika CLFS" (w obszarze
Administrative Templates\System\Filesystem\).Modyfikowanie wartości rejestru znalezionej
ModepodHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CLFS\Authentication.Wartość
0: Ograniczenie ryzyka jest wymuszane. Plik CLFS generuje błąd podczas otwierania plików dziennika z brakującymi lub nieprawidłowymi kodami uwierzytelniania.Wartość
1: Środki zaradcze są w trybie uczenia. CLFS zawsze otwiera pliki logów. Jeśli w pliku dziennika brakuje kodów uwierzytelniania, plik CLFS generuje i zapisuje kody do pliku (przy założeniu, że obiekt wywołujący ma dostęp do zapisu). Ten proces jest trybem inspekcji przeznaczonym dla systemów, które przyjmują to ograniczenie ryzyka.Wartość
2: Środki zaradcze są wyłączone przez administratora.
Administrator lokalny może wyłączyć środki zaradcze za pomocą następującego polecenia programu PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\CLFS\Authentication" -Name Mode -Value 2
Poprawianie kodów uwierzytelniania za pomocą narzędzia fsutil
fsutil clfs authenticate to narzędzie wiersza polecenia używane przez administratorów do dodawania lub poprawiania kodów uwierzytelniania pliku dziennika. To polecenie jest przydatne w następujących scenariuszach:
Jeśli plik dziennika nie jest otwarty w okresie wdrażania ograniczania ryzyka lub z jakiegokolwiek powodu brakuje kodów uwierzytelniania, to polecenie może służyć do dodawania kodów uwierzytelniania do pliku dziennika.
Jeśli chcesz mieć możliwość otwierania plików dziennika utworzonych w innym systemie (i w związku z tym innego klucza kryptograficznego), to polecenie może służyć do poprawiania istniejących kodów uwierzytelniania przy użyciu klucza kryptograficznego systemu lokalnego.