Microsoft объяснила «утяжеление» Windows 11 25H2 из-за апдейта системы безопасности

В ноябре 2025 года Microsoft внедрила новые меры по защите драйвера Common Log File System (CLFS) в обновлениях Windows 11 25H2 и Server 2025. Это привело к «утяжелению» Windows 11 25H2.

Обновление добавляет хеш-код аутентификации сообщений (HMAC) в файлы журналов CLFS для усиления защиты от несанкционированного доступа.

Хеш-код аутентификации сообщений (HMAC) — это криптографический механизм, используемый для проверки целостности и подлинности сообщений путем объединения секретного ключа с хеш-функцией. Отправитель вычисляет хеш-значение над данными и передает как их, так и HMAC. Затем получатель, используя тот же секретный ключ, пересчитывает хеш и проверяет наличие совпадения. Оно гарантирует отсутствие обнаружения попыток взлома.

По данным Microsoft, коды аутентификации генерируются путем объединения данных файла с уникальным для системы криптографическим ключом, хранящимся в реестре. Доступ к этому ключу ограничен администраторами и учётными записями SYSTEM. Таким образом, если будет обнаружено вмешательство, файл журнала не откроется. 

Common Log File System (CLFS) — это универсальная высокопроизводительная подсистема ведения журналов в Windows, используемая приложениями и службами как в пользовательском режиме, так и в режиме ядра. CLFS разработана для обеспечения надёжных транзакций, регистрации и отслеживания событий, что делает её подходящей для восстановления после сбоев. Однако исторически она была уязвима для эксплойтов повышения привилегий, поэтому новый механизм HMAC является шагом по усилению защиты от подобных атак.

Для облегчения внедрения Microsoft предусмотрела 90-дневный «режим обучения» после установки обновлений. В течение этого периода коды аутентификации автоматически добавляются в существующие файлы