Корпорация Microsoft продолжает политику усиления безопасности своих операционных систем, регулярно внедряя новые защитные механизмы. В рамках ноябрьского обновления 2025 года для Windows 11 версии 25H2 и Windows Server 2025 были внесены важные изменения в работу драйвера Common Log File System (CLFS). Разработчики добавили технологию аутентификации сообщений на основе хэша, однако это нововведение привело к заметному росту потребления системных ресурсов.
Внедренный механизм HMAC предназначен для проверки целостности и подлинности данных в журналах событий. Он работает за счет объединения содержимого файла с уникальным системным криптографическим ключом, который хранится в реестре и доступен только администраторам. При каждом обращении к данным система пересчитывает хэш и сравнивает его с сохраненным значением. Если обнаруживается несовпадение, доступ к журналу блокируется, что предотвращает подмену данных и эксплуатацию уязвимостей. Ранее именно CLFS часто становилась вектором атак для повышения привилегий, поэтому данная мера рассматривается как критически важная.
Обратной стороной усиленной защиты стало снижение производительности операций с журналами. По информации от Microsoft, обслуживание кодов аутентификации увеличивает нагрузку на подсистему ввода-вывода. Время, необходимое для создания журналов, их открытия и записи новых сведений, значительно возросло. Тесты показывают, что среднее время записи одной строки в журнал фактически удвоилось по сравнению с предыдущими версиями системы без защиты HMAC.
Помимо снижения скорости, пользователям придется столкнуться с увеличением расхода дискового пространства. Дополнительный объем памяти требуется для хранения самих кодов аутентификации. Размер надбавки зависит от объема контейнера журнала. Для небольших файлов это значение составляет несколько килобайт, однако для контейнеров размером 4 ГБ потребуется уже более 2 мегабайт дополнительного места.
Для плавного перехода на новую систему Microsoft активировала специальный режим обучения сроком на 90 дней. В течение этого времени необходимые коды автоматически прописываются в существующие файлы при их открытии. По истечении 3 месяцев включится режим принудительного контроля, и старые логи без аутентификации станут недоступны. В таком случае администраторам придется обновлять их вручную с помощью системной утилиты fsutil.
Источник: www.playground.ru