/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fc2c928ad430dffbac0182488d606810c.jpg)
Microsoft пояснює, чому Windows 11 25H2 стала важчою через оновлення безпеки
Microsoft постійно працює над підвищенням безпеки своїх продуктів, і одним із ключових інструментів у цьому є щомісячні патчі для Windows, які випускаються у другий вівторок місяця — так званий Patch Tuesday або Update Tuesday. Листопадове оновлення 2025 року принесло важливу новинку для Windows 11 25H2 та Server 2025: посилення безпеки для драйвера Common Log File System (CLFS) за допомогою Hash-based Message Authentication Code (HMAC).
Що змінилося у CLFS
CLFS — це високопродуктивна система ведення журналів у Windows, яку використовують як користувацькі, так і системні сервіси. Вона відповідає за надійне ведення подій, транзакцій та журналів, що особливо важливо для відновлення систем після збоїв. Проте раніше CLFS мала уразливості, пов’язані з ескалацією привілеїв, що робило журнали потенційною мішенню для зловмисників.
З новим оновленням листопада 2025 Microsoft додала HMAC до лог-файлів CLFS, що забезпечує захист від будь-яких спроб їх підробки. HMAC — це криптографічний механізм, який перевіряє цілісність та автентичність повідомлень. Фактично, дані журналу об’єднуються з унікальним криптографічним ключем системи, і на його основі генерується код аутентифікації. Цей ключ доступний лише адміністраторам та обліковому запису SYSTEM, тому у разі виявлення підробки лог-файл просто не відкриється.
М’який старт для адміністраторів
Щоб полегшити перехід, Microsoft ввела 90-денний “learning mode” після встановлення оновлення. Протягом цього часу нові коди HMAC автоматично додаються до вже існуючих лог-файлів під час їх відкриття. Після завершення 90-денного періоду CLFS переходить у режим примусового контролю, де всі лог-файли повинні мати дійсні HMAC-коди для коректного відкриття.
Для адміністраторів систем важливо перевірити, щоб усі журнали, що використовують CLFS, були відкриті протягом цього “навчального” періоду. Для файлів, які не відкривалися, можна застосувати команду:
fsutil clfs authenticateЦе дозволяє вручну додати HMAC-коди і забезпечити коректну роботу журналів після активації режиму примусового контролю.
Чому це важливо для безпеки
Нове оновлення підвищує захист Windows від спроб підробки журналів та потенційних атак ескалації привілеїв. Для IT-фахівців це сигнал уважно стежити за системами, що покладаються на CLFS, і використовувати 90-денний період для підготовки до повного застосування механізму HMAC.
Завдяки цьому кроку Microsoft зміцнює надійність та безпеку Windows, знижуючи ризики порушення цілісності даних та підвищуючи загальний рівень захисту корпоративних і серверних систем.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F52cbd09f48db280a1d7fd8719f2e6ab1.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F480e2a0e325ca9ab4362fa01bfa8e23e.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F45a6cf68b2ee3806981568c5e5aad5f4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F1fd142c2ca2a6a5904d5b9248549a03b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F680ebb6311328c136a90e646d6d2d925.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F8795f8afc483c1b286bf646c2cde4afa.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F57252cddf53c7075d06606923b3ff435.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F80a25e7799be94ea68a04c9f156c7e8a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F103%2Fb38905f0d538c34fe80e4999686160eb)