Новая защита CLFS в Windows 11, версия 25H2 привела к росту потребления ресурсов

В рамках повышения уровня безопасности Microsoft регулярно внедряет новые защитные механизмы и изменения, направленные на усиление защиты Windows. Как известно, каждый месяц во второй вторник компания выпускает набор обязательных обновлений безопасности — так называемый «Вторник Патчей» (Patch Tuesday).

В ноябрьском пакете обновлений 2025 года Microsoft внедрила новую меру защиты для драйвера Common Log File System (CLFS) в Windows 11, версия 25H2 и Windows Server 2025. Это обновление имеет ключевое значение, поскольку добавляет в журнальные файлы CLFS механизм аутентификации сообщений на основе хэша (HMAC), который усиливает защиту от подмены и несанкционированных изменений.

HMAC (Hash-based Message Authentication Code) — это криптографический механизм, предназначенный для проверки целостности и подлинности данных. Он работает за счет объединения секретного ключа с хэш-функцией. Отправитель вычисляет хэш для данных и передает получателю сами данные вместе с HMAC. Получатель, используя тот же секретный ключ, повторно вычисляет хэш и сравнивает его с полученным значением. Совпадение подтверждает, что данные не были изменены.

По данным Microsoft, коды аутентификации формируются путем объединения содержимого файла с уникальным для системы криптографическим ключом, который хранится в реестре. Доступ к этому ключу имеют только учетные записи администраторов и SYSTEM. Если в процессе проверки обнаруживается факт вмешательства, соответствующий журнал не открывается.

API Common Log File System (CLFS) — это универсальная высокопроизводительная подсистема журналирования в Windows, используемая приложениями и службами как в пользовательском режиме, так и в режиме ядра. CLFS предназначена для обеспечения надежных транзакций, ведения журналов событий и отслеживания операций, что особенно важно для восстановления после сбоев. При этом исторически CLFS нередко становилась целью эксплойтов, связанных с повышением привилегий, поэтому внедрение HMAC рассматривается как шаг по дополнительному «ужесточению» защиты от подобных атак.

Чтобы упростить переход на новую модель, Microsoft предусмотрела 90-дневный «режим обучения», который активируется после установки обновлений. В течение этого периода коды аутентификации автоматически добавляются к существующим журнальным файлам в момент их открытия. По завершении 90 дней CLFS переходит в режим принудительного контроля: все журнальные файлы должны содержать корректные коды аутентификации, иначе доступ к ним будет невозможен.

В связи с этим системным администраторам рекомендуется проверить системы, использующие CLFS, и убедиться, что все журнальные файлы были открыты в течение периода обучения. В противном случае необходимо вручную добавить коды аутентификации с помощью утилиты командной строки fsutil clfs authenticate.

Отдельно Microsoft обращает внимание на увеличение занимаемого дискового пространства, необходимого для хранения кодов аутентификации. Компания поясняет, что объем дополнительного пространства зависит от размера контейнера журналов.

Примерные значения следующие:

• Контейнеры размером 512 КБ требуют дополнительно около 8192 байт;
• Контейнеры размером 1024 КБ требуют дополнительно около 12 288 байт;
• Контейнеры размером 10 МБ требуют дополнительно около 90 112 байт;
• Контейнеры размером 100 МБ требуют дополнительно около 57 344 байт;
• Контейнеры размером 4 ГБ требуют дополнительно около 2 101 248 байт.

Кроме того, Microsoft отмечает, что из-за обслуживания кодов аутентификации увеличивается количество операций ввода-вывода, а также возрастает время, необходимое для создания и открытия журналов и записи новых данных. В зависимости от размера контейнера среднее время записи одной записи в журнал теперь фактически удвоилось.

Подробное описание механизма аутентификации и усиления защиты CLFS доступно в статье поддержки Microsoft по номеру KB5056852 на официальном сайте компании.