0

微软解释 Windows 11 25H2 体积翻倍原因:关键安全更新所致

微软近日解释了 Windows 11 25H2 版本安装包体积显著增加的原因——一项针对 Common Log File System(CLFS)驱动程序的关键安全更新导致系统文件所需存储空间大幅上升。

Windows 11 25H2

安全机制升级:引入 HMAC 认证

在 2025 年 11 月的安全更新中,微软为 Windows 11 25H2 和 Server 2025 引入了一项新的安全缓解措施:为 CLFS 日志文件添加基于哈希的消息认证码(HMAC)。该机制通过将文件数据与存储在注册表中的系统唯一加密密钥结合,生成认证码,从而有效防止日志文件被篡改。只有管理员和 SYSTEM 账户才能访问该密钥,一旦检测到篡改行为,日志文件将无法打开。

CLFS 是 Windows 中一个通用的高性能日志子系统,广泛应用于用户模式和内核模式的应用程序与服务中,主要用于确保事务可靠性、事件记录和崩溃恢复。然而,该系统历史上曾多次成为权限提升漏洞的攻击目标,此次 HMAC 机制的引入正是为了强化其安全性。

过渡期与强制执行

为便于系统管理员适应这一变更,微软设置了为期 90 天的“学习模式”。在此期间,系统会在打开现有日志文件时自动为其添加认证码。90 天后,CLFS 将进入强制执行模式,所有日志文件都必须包含有效的认证码才能被访问。

微软建议 IT 管理员在此过渡期内确保依赖 CLFS 的系统能够访问相关日志文件。对于未被访问的日志文件,可使用 fsutil clfs authenticate 命令行工具手动添加认证码。

存储与性能影响

该安全更新带来的主要影响体现在存储空间和 I/O 性能方面。由于需要存储额外的认证码,日志文件体积显著增加。具体而言:

  • 512 KB 容器文件需额外约 8,192 字节
  • 1,024 KB 容器文件需额外约 12,288 字节
  • 10 MB 容器文件需额外约 90,112 字节
  • 100 MB 容器文件需额外约 57,344 字节
  • 4 GB 容器文件需额外约 2,101,248 字节

此外,维护认证码所需的额外 I/O 操作也导致日志文件的创建、打开及新记录写入时间增加。微软指出,平均而言,向日志文件写入记录所需的时间已翻倍。

更多关于 CLFS 认证与强化措施的详细信息,可参考微软官方支持文章 KB5056852

0 评论
最旧
最新 最多投票
0
希望看到您的想法,请您发表评论x