Windows 11 stał się jeszcze wolniejszy, ale bezpieczniejszy. Microsoft wprowadza HMAC

Microsoft od lat stara się budować wizerunek firmy, która konsekwentnie wzmacnia bezpieczeństwo systemu Windows. Kluczowym elementem tej strategii jest comiesięczny cykl aktualizacji publikowanych w drugi wtorek miesiąca, znany jako Patch Tuesday. To właśnie wtedy do systemów użytkowników trafiają poprawki eliminujące luki, które w rękach cyberprzestępców mogłyby stać się furtką do poważnych naruszeń bezpieczeństwa.

W listopadzie 2025 roku Microsoft zaprezentował jedną z istotniejszych zmian ostatnich lat. W aktualizacjach Windows 11 25H2 oraz Windows Server 2025 pojawił się nowy mechanizm ochronny dla sterownika Common Log File System. Zabezpieczenie polega na dodaniu do plików dziennika kryptograficznych kodów uwierzytelniania opartych na HMAC, które mają chronić logi przed nieautoryzowaną ingerencją.

Czym jest HMAC i dlaczego ma znaczenie

HMAC, czyli Hash-based Message Authentication Code, to sprawdzony mechanizm kryptograficzny używany do potwierdzania integralności i autentyczności danych. W praktyce polega on na powiązaniu danych z tajnym kluczem kryptograficznym i funkcją skrótu. Odbiorca, dysponując tym samym kluczem, może zweryfikować, czy zawartość nie została zmieniona. W przypadku systemowych plików dziennika oznacza to realną ochronę przed cichą manipulacją.

Jak Microsoft zabezpiecza pliki dziennika

Według informacji przekazanych przez Microsoft, kody uwierzytelniające powstają na bazie danych pliku oraz unikalnego klucza kryptograficznego przypisanego do konkretnego systemu. Klucz ten jest przechowywany w rejestrze i dostępny wyłącznie dla kont SYSTEM oraz administratorów. W momencie wykrycia niezgodności plik dziennika nie zostaje otwarty, a próba manipulacji zostaje zablokowana na poziomie systemowym.

CLFS – fundament Windowsa z burzliwą historią

Common Log File System to uniwersalny i bardzo wydajny mechanizm rejestrowania zdarzeń, wykorzystywany zarówno przez aplikacje użytkownika, jak i komponenty jądra systemu. Jego architektura została zaprojektowana z myślą o niezawodności transakcji, diagnostyce oraz odzyskiwaniu danych po awariach. Przez lata CLFS był jednak regularnie wykorzystywany w atakach prowadzących do eskalacji uprawnień, co uczyniło go jednym z częstszych celów badaczy bezpieczeństwa.  Microsoft zamierza djednak w końcu zamknąć ten wektor ataku, właśnie poprzez HMAC.

90 dni na dostosowanie systemów

Aby ograniczyć ryzyko problemów po wdrożeniu nowego mechanizmu, Microsoft uruchomił 90-dniowy tryb nauki. W tym czasie system automatycznie dodaje kody uwierzytelniające do istniejących plików dziennika w momencie ich otwierania. Po zakończeniu tego okresu CLFS przechodzi w tryb egzekwowania, w którym każdy plik dziennika musi zawierać prawidłowy kod uwierzytelniający, inaczej nie zostanie obsłużony przez system.

Firma zaleca administratorom IT dokładny przegląd środowisk wykorzystujących CLFS i aktywne otwieranie plików dziennika w trakcie okresu nauki. W przypadkach, gdy nie jest to możliwe, należy skorzystać z narzędzia wiersza poleceń fsutil clfs authenticate, które pozwala ręcznie dodać kody uwierzytelniające do starszych plików.

Większe logi i wyższy koszt operacji

Nowe zabezpieczenie wiąże się również z dodatkowymi wymaganiami technicznymi. Kody uwierzytelniające zajmują miejsce w plikach dziennika, a ilość potrzebnej przestrzeni rośnie wraz z rozmiarem kontenera. W najmniejszych plikach o wielkości 512 KB narzut wynosi około 8 KB, przy plikach 1 MB jest to już ponad 12 KB, natomiast w kontenerach o rozmiarze 10 MB potrzeba około 90 KB dodatkowych danych. W przypadku plików 100 MB zapas przestrzeni przekracza 57 KB, a dla kontenerów 4 GB sięga ponad 2 MB. Microsoft przyznaje również, że obsługa HMAC powoduje wzrost liczby operacji wejścia/wyjścia, znaczne wydłużenie czasu tworzenia i otwierania plików dziennika oraz zauważalne spowolnienie zapisu rekordów, którego średni czas uległ podwojeniu.

Szczegółowe informacje dotyczące uwierzytelniania CLFS oraz technicznych aspektów nowego mechanizmu zostały opublikowane w oficjalnej dokumentacji Microsoftu w ramach artykułu pomocy technicznej KB5056852. To lektura obowiązkowa dla administratorów.