Wie de afgelopen maanden Windows 11 25H2 of Windows Server 2025 installeerde, merkte het misschien al: het besturingssysteem voelt zwaarder aan en vraagt meer opslag en I/O-capaciteit dan voorheen. Dat is geen toeval. Microsoft heeft nu toegelicht dat een ingrijpende beveiligingsmaatregel aan de basis ligt van die extra belasting.
Zoals elke tweede dinsdag van de maand rolde Microsoft in november 2025 zijn Patch Tuesday-updates uit. In die update zat een belangrijke hardeningmaatregel voor het Common Log File System (CLFS), een kerncomponent van Windows die al jaren een geliefd doelwit is voor privilege-escalatie-aanvallen.
Met de update heeft Microsoft hash-based message authentication codes (HMAC’s) toegevoegd aan CLFS-logbestanden. Die cryptografische handtekeningen moeten voorkomen dat logbestanden ongemerkt gemanipuleerd worden, iets wat in het verleden regelmatig werd misbruikt door aanvallers om hogere rechten te verkrijgen.
Concreet wordt bij elk logbestand een authenticatiecode toegevoegd die is opgebouwd uit de inhoud van het bestand en een unieke, systeemgebonden cryptografische sleutel. Die sleutel wordt opgeslagen in het Windows-register en is enkel toegankelijk voor SYSTEM- en administratoraccounts. Wordt er met een logfile geknoeid, dan weigert Windows het bestand simpelweg nog te openen.
CLFS wordt breed gebruikt binnen Windows, zowel door toepassingen in user-mode als door kernelcomponenten. Het systeem speelt een belangrijke rol bij transacties, event logging en crash recovery, maar stond historisch bekend als een zwakke schakel in de beveiligingsketen. Met deze ingreep probeert Microsoft die aanvalsvector definitief dicht te timmeren.
Om de overgang werkbaar te houden, heeft Microsoft een learning mode van 90 dagen ingebouwd. In die periode worden bestaande logbestanden automatisch voorzien van authenticatiecodes zodra ze geopend worden. Na afloop van die termijn schakelt Windows over naar enforcement mode: vanaf dat moment moeten alle CLFS-logbestanden een geldige HMAC bevatten, anders worden ze geblokkeerd.
Voor IT-beheerders betekent dit dat systemen die afhankelijk zijn van CLFS extra aandacht vragen. Logbestanden die tijdens die leerperiode nooit geopend worden, krijgen namelijk geen authenticatiecode. Microsoft raadt beheerders aan om die bestanden alsnog expliciet te authenticeren met het commando fsutil clfs authenticate, om problemen later te vermijden.
Die extra beveiliging heeft een duidelijke keerzijde. De HMAC’s nemen extra schijfruimte in en zorgen voor meer lees- en schrijfbewerkingen. Microsoft publiceerde zelf een indicatie van de bijkomende overhead:
Daarnaast stijgt ook het aantal I/O-operaties. Het aanmaken en openen van logbestanden duurt langer, en volgens Microsoft is de gemiddelde schrijftijd per logrecord ongeveer verdubbeld, afhankelijk van de containeromvang.
De boodschap van Microsoft is duidelijk: deze impact is een bewuste afweging. CLFS werd te vaak misbruikt in gerichte aanvallen, en met Windows 11 25H2 en Server 2025 kiest het bedrijf resoluut voor extra veiligheid, zelfs als dat ten koste gaat van prestaties en opslagruimte. Wie de technische details wil nalezen, kan terecht in Microsofts documentatie bij KB5056852, waar de volledige uitleg over CLFS-authenticatie en de bijbehorende wijzigingen te vinden is.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
