Microsoft постійно працює над підвищенням безпеки своїх продуктів, і одним із ключових інструментів у цьому є щомісячні патчі для Windows, які випускаються у другий вівторок місяця — так званий Patch Tuesday або Update Tuesday. Листопадове оновлення 2025 року принесло важливу новинку для Windows 11 25H2 та Server 2025: посилення безпеки для драйвера Common Log File System (CLFS) за допомогою Hash-based Message Authentication Code (HMAC).
Що змінилося у CLFS
CLFS — це високопродуктивна система ведення журналів у Windows, яку використовують як користувацькі, так і системні сервіси. Вона відповідає за надійне ведення подій, транзакцій та журналів, що особливо важливо для відновлення систем після збоїв. Проте раніше CLFS мала уразливості, пов’язані з ескалацією привілеїв, що робило журнали потенційною мішенню для зловмисників.
З новим оновленням листопада 2025 Microsoft додала HMAC до лог-файлів CLFS, що забезпечує захист від будь-яких спроб їх підробки. HMAC — це криптографічний механізм, який перевіряє цілісність та автентичність повідомлень. Фактично, дані журналу об’єднуються з унікальним криптографічним ключем системи, і на його основі генерується код аутентифікації. Цей ключ доступний лише адміністраторам та обліковому запису SYSTEM, тому у разі виявлення підробки лог-файл просто не відкриється.
М’який старт для адміністраторів
Щоб полегшити перехід, Microsoft ввела 90-денний “learning mode” після встановлення оновлення. Протягом цього часу нові коди HMAC автоматично додаються до вже існуючих лог-файлів під час їх відкриття. Після завершення 90-денного періоду CLFS переходить у режим примусового контролю, де всі лог-файли повинні мати дійсні HMAC-коди для коректного відкриття.
Для адміністраторів систем важливо перевірити, щоб усі журнали, що використовують CLFS, були відкриті протягом цього “навчального” періоду. Для файлів, які не відкривалися, можна застосувати команду:
fsutil clfs authenticateЦе дозволяє вручну додати HMAC-коди і забезпечити коректну роботу журналів після активації режиму примусового контролю.
Чому це важливо для безпеки
Нове оновлення підвищує захист Windows від спроб підробки журналів та потенційних атак ескалації привілеїв. Для IT-фахівців це сигнал уважно стежити за системами, що покладаються на CLFS, і використовувати 90-денний період для підготовки до повного застосування механізму HMAC.
Завдяки цьому кроку Microsoft зміцнює надійність та безпеку Windows, знижуючи ризики порушення цілісності даних та підвищуючи загальний рівень захисту корпоративних і серверних систем.