В ноябре 2025 года Microsoft внедрила новые меры по защите драйвера Common Log File System (CLFS) в обновлениях Windows 11 25H2 и Server 2025. Это привело к «утяжелению» Windows 11 25H2.
Обновление добавляет хеш-код аутентификации сообщений (HMAC) в файлы журналов CLFS для усиления защиты от несанкционированного доступа.
Хеш-код аутентификации сообщений (HMAC) — это криптографический механизм, используемый для проверки целостности и подлинности сообщений путем объединения секретного ключа с хеш-функцией. Отправитель вычисляет хеш-значение над данными и передает как их, так и HMAC. Затем получатель, используя тот же секретный ключ, пересчитывает хеш и проверяет наличие совпадения. Оно гарантирует отсутствие обнаружения попыток взлома.
По данным Microsoft, коды аутентификации генерируются путем объединения данных файла с уникальным для системы криптографическим ключом, хранящимся в реестре. Доступ к этому ключу ограничен администраторами и учётными записями SYSTEM. Таким образом, если будет обнаружено вмешательство, файл журнала не откроется.
Common Log File System (CLFS) — это универсальная высокопроизводительная подсистема ведения журналов в Windows, используемая приложениями и службами как в пользовательском режиме, так и в режиме ядра. CLFS разработана для обеспечения надёжных транзакций, регистрации и отслеживания событий, что делает её подходящей для восстановления после сбоев. Однако исторически она была уязвима для эксплойтов повышения привилегий, поэтому новый механизм HMAC является шагом по усилению защиты от подобных атак.
Для облегчения внедрения Microsoft предусмотрела 90-дневный «режим обучения» после установки обновлений. В течение этого периода коды аутентификации автоматически добавляются в существующие файлы журналов при их открытии. После истечения 90-дневного периода CLFS переходит в режим принудительного применения, требуя, чтобы все файлы журналов содержали действительные коды аутентификации.
Таким образом, IT-администраторам и системным администраторам рекомендуется проверить системы, использующие CLFS, и убедиться, что доступ к файлам журналов ос��ществляется в течение периода обучения. В противном случае для добавления кодов аутентификации в неоткрытые файлы журналов следует использовать утилиту командной строки fsutil clfs authenticate.
Компания отмечает, что для хранения кодов аутентификации требуется дополнительное пространство в файловой системе. В пояснении говорится: «Для хранения кодов аутентификации требуется дополнительное пространство в файле. Объём необходимого пространства для кодов аутентификации зависит от размера файла. Для приблизительной оценки объема дополнительных данных, необходимых для ваших файлов журналов, обратитесь к следующему списку:
для файлов контейнеров размером 512 КБ требуется дополнительно ~8192 байта для кодов аутентификации;
для файлов контейнеров размером 1024 КБ требуется дополнительно ~12288 байт для кодов аутентификации;
для файлов контейнеров размером 10 МБ требуется дополнительно ~90112 байт для кодов аутентификации;
для файлов контейнеров размером 100 МБ требуется дополнительно ~57344 байта для кодов аутентификации;
для файлов контейнеров размером 4 ГБ требуется дополнительно ~2101248 байт для кодов аутентификации».
Соответственно, увеличится количество операций ввода-вывода для хранения кодов аутентификации, время, затрачиваемое на создание файла журнала, открытие файла журнала и запись новых записей, в зависимости от размера контейнера, а среднее время записи в файл журнала теперь удвоилось.
В декабре Microsoft сделала системную службу, занимающую много ресурсов ЦП, ОЗУ и диска, опцией по умолчанию в Windows 11 25H2 и 24H2. Это служба развёртывания AppX (Appxsvc), которая перешла на автоматический тип запуска для повышения надёжности в некоторых отдельных сценариях. Известно, что время от времени она вызывает проблемы с производительностью на компьютерах пользователей, поскольку может потреблять циклы ЦП и блоки памяти.
