- В обновлении Windows 11 25H2 Microsoft внедрила усиленную защиту для подсистемы журналов CLFS с использованием HMAC.
- Внедрение криптографической проверки целостности привело к увеличению объёмов хранения и увеличению времени операций с файлами журналов.
- В течение 90 дней после установки обновления действует «режим обучения», позволяющий адаптировать существующие файлы журналов к новым требованиям безопасности.
Компания Microsoft объяснила причины значительного увеличения ресурсов, потребляемых Windows 11 версии 25H2, связанного с внесёнными изменениями в систему безопасности. В частности, в ноябре 2025 года в обновления для Windows 11 25H2 и Server 2025 была внедрена новая мера защиты для Common Log File System (CLFS) — подсистемы ведения журналов, используемой как приложениями, так и ядром операционной системы.
Ключевая инновация заключается в применении хеш-кодов аутентификации сообщений (HMAC) в файлах журналов CLFS. Этот криптографический механизм позволяет удостовериться в целостности и подлинности записей журнала, предотвращая несанкционированные вмешательства. Коды аутентификации вырабатываются с учётом уникального криптографического ключа, хранящегося в реестре и доступного только администраторам и системной учётной записи SYSTEM. При попытках изменения файла без соответствующего кода журнал станет недоступен.
Однако внедрение HMAC увеличивает объём занимаемого дискового пространства, поскольку к каждому файлу добавляется дополнительный блок данных, объём которого зависит от размера исходного файла. Наряду с этим возрастает количество операций ввода-вывода, а время на создание, открытие и запись в журнал удваивается, что и объясняет «утяжеление» операционной системы после обновления.
В целях плавного перехода Microsoft предусмотрела 90-дневный «режим обучения». В этот период при открытии файлов журналов автоматически добавляются необходимые коды аутентификации. По истечении срока подсистема ведения журналов переходит в принудительный режим, требующий обязательного наличия HMAC во всех файлах. Для случаев, когда файлы не были открыты в течение «режима обучения», предусмотрена команда fsutil clfs authenticate для ручного добавления кодов.
Ранее, в декабре, Microsoft также изменила поведение службы AppX Deployment Service (Appxsvc), сделав её автоматически запускаемой по умолчанию в Windows 11 25H2 и 24H2. Данная служба отвечает за развёртывание приложений и, по сообщениям пользователей, иногда является причиной высокого потребления ресурсов ЦП и оперативной памяти, что тоже может влиять на производительность системы.
Таким образом, изменения, направленные на повышение защищённости системы, обусловили дополнительную нагрузку на аппаратные ресурсы, что требует внимания системных администраторов для контроля и оптимизации работы обслуживающих служб и подсистем Windows 11.
