Когда речь заходит о безопасности, компания Microsoft постоянно внедряет меры защиты и ужесточения настроек, чтобы сделать операционную систему Windows более защищенной. Как вы, вероятно, знаете, каждый месяц во второй вторник компания выпускает ежемесячные исправления безопасности, именно поэтому этот день называют «Вторником обновлений» (Patch Tuesday или Update Tuesday).
Вместе с ноябрьским пакетом исправлений 2025 года Microsoft внедрила новую меру безопасности для драйвера Common Log File System (CLFS) в обновлениях для Windows 11 версии 25H2 и Server 2025. Это критически важное обновление, поскольку оно добавляет код аутентификации сообщения на основе хэша (HMAC) в файлы журналов CLFS для усиления защиты от несанкционированного изменения данных.
Если вам интересно, код аутентификации сообщения на основе хэша (HMAC) — это криптографический механизм, используемый для проверки целостности и подлинности сообщения путем объединения секретного ключа с хэш-функцией. Отправитель вычисляет хэш-значение для данных и передает как сами данные, так и HMAC. Получатель, используя тот же секретный ключ, пересчитывает хэш и проверяет совпадение. Это совпадение, по сути, гарантирует отсутствие изменений в данных.
По данным Microsoft, коды аутентификации генерируются путем объединения данных файла с криптографическим ключом, уникальным для системы и хранящимся в реестре. Доступ к этому ключу ограничен учетными записями администратора и SYSTEM. Таким образом, если будет обнаружено вмешательство, файл журнала не откроется.
Если вы не знакомы с этой технологией, то Common Log File System (CLFS) API представляет собой универсальную, высокопроизводительную подсистему журналирования в Windows, используемую приложениями и службами как в пользовательском режиме, так и в режиме ядра. CLFS разработана для обеспечения надежности транзакций, ведения журналов событий и отслеживания, что делает ее полезной для восстановления после сбоев. Однако исторически она была уязвима для эксплойтов, связанных с повышением привилегий, поэтому новый механизм HMAC является шагом по ужесточению защиты для предотвращения подобных атак.
Для упрощения внедрения Microsoft на данный момент предусмотрела 90-дневный «режим обучения» после установки обновлений. В течение этого периода коды аутентификации автоматически добавляются к существующим файлам журналов при их открытии. По истечении 90-дневного окна CLFS переходит в режим принудительного применения, требуя, чтобы все файлы журналов содержали действительные коды аутентификации.
Поэтому ИТ-администраторам и системным администраторам рекомендуется проверить системы, использующие CLFS, и убедиться, что файлы журналов открываются в период обучения. В противном случае следует использовать утилиту командной строки fsutil clfs authenticate для добавления кодов аутентификации к незарегистрированным файлам журналов.
Компания отмечает, что новые коды аутентификации требуют дополнительного места на диске для хранения. В объяснении говорится: «Для хранения кодов аутентификации требуется дополнительное место на диске. Объем необходимого места для кодов аутентификации зависит от размера файла. Оценочные объемы дополнительных данных, требуемых для ваших файлов журналов, приведены в следующем списке:
- Файлы-контейнеры размером 512 КБ требуют дополнительных ~8192 байт для кодов аутентификации.
- Файлы-контейнеры размером 1024 КБ требуют дополнительных ~12288 байт для кодов аутентификации.
- Файлы-контейнеры размером 10 МБ требуют дополнительных ~90112 байт для кодов аутентификации.
- Файлы-контейнеры размером 100 МБ требуют дополнительных ~57344 байт для кодов аутентификации.
- Файлы-контейнеры размером 4 ГБ требуют дополнительных ~2101248 байт для кодов аутентификации»
Далее добавляется, что последующее увеличение операций ввода-вывода для обслуживания кодов аутентификации, а также времени, затрачиваемого на создание файла журнала, открытие файла журнала и запись новых записей, также возрастет в зависимости от размера контейнера, и что среднее время записи в запись в файле журнала теперь удвоилось.
Полную информацию об аутентификации и ужесточении безопасности CLFS можно найти в этой статье поддержки здесь в разделе KB5056852 на официальном сайте Microsoft.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
