Härtungsänderungen an der Authentifizierung des Common Log File System (CLFS) stehen bevor

Für den Common Log File System (CLFS) Treiber wurde eine neue Authentifizierungsabschwächung zur Härtung eingeführt. Windows-Updates, die diese neue Version von CLFS enthalten, starten eine 90-tägige „Lernmodus“-Phase, während der Authentifizierungscodes automatisch zu den Protokolldateien hinzugefügt werden. Das Verhalten des Geräts ändert sich nach diesem Zeitraum. Weitere Informationen finden Sie unter Common Log File System (CLFS) Authentication Mitigation.

Windows 11, Version 25H2 und Windows Server 2025 Updates, die am oder nach dem 28. Oktober 2025 veröffentlicht werden, enthalten diese Änderung. Eine Implementierungsphase der Abschwächung, bezeichnet als „Lernmodus“, läuft für 90 Tage nach der Installation der Updates. Während dieser Zeit werden beim Öffnen vorhandener Protokolldateien automatisch Authentifizierungscodes hinzugefügt. Nach Ablauf dieses Zeitraums wechselt der CLFS-Treiber in den Durchsetzungsmodus, der verlangt, dass alle Protokolldateien gültige Authentifizierungscodes enthalten.

Die Authentifizierungsabschächung für den CLFS-Treiber fügt den zugrundeliegenden Dateien einer CLFS-Protokolldatei einen auf Hash-basierenden Message Authentication Code (HMAC) hinzu. Somit enthalten CLFS-Protokolldateien Authentifizierungscodes, die durch Kombination der Dateidaten mit einem systemeinzigartigen kryptografischen Schlüssel generiert werden, der in der Registry gespeichert und nur für Administratoren und SYSTEM-Konten zugänglich ist. Sobald der Durchsetzungsmodus beginnt, kann jede Protokolldatei ohne gültigen Authentifizierungscode nicht mehr geöffnet werden. Protokolldateien, die während der 90-tägigen Lernmodus-Phase nicht aktualisiert wurden, müssen manuell von einem Administrator mit dem Kommandozeilen-Tool fsutil clfs authenticate authentifiziert werden.

Überprüfen Sie Systeme, die CLFS-Protokolldateien verwenden, und stellen Sie sicher, dass diese während der 90-tägigen Lernmodus-Phase geöffnet werden, damit die Authentifizierungscodes automatisch angewendet werden. Für Protokolldateien, die in dieser Zeit nicht geöffnet werden, planen Sie eine manuelle Authentifizierung vor Beginn des Durchsetzungsmodus ein. Detaillierte Anleitungen finden Sie im Abschnitt „Zusätzliche Informationen“ unten.