A new hardening authentication mitigation has been introduced for the Common Log File System (CLFS) driver. Windows updates that include this new version of CLFS will initiate a 90 day “learning mode” period during which authentication codes will be added to log files automatically. Device behavior will change after this period. For more information, see Common Log File System (CLFS) Authentication Mitigation.

Windows 11, version 25H2 and Windows Server 2025 updates released on or after October 28, 2025 include this change. A mitigation adoption period, referred to as “learning mode” will be in place for 90 days following installation of updates. During this time, authentication codes are automatically added to existing logfiles when they are opened. After this period ends, the CLFS driver will enter enforcement mode, requiring all logfiles to contain valid authentication codes.

The authentication mitigation for the CLFS driver adds a hash-based message authentication code (HMAC) to the underlying files of a CLFS logfile. With this, CLFS logfiles include authentication codes generated by combining file data with a system-unique cryptographic key stored in the registry, accessible only to administrators and SYSTEM accounts. Once enforcement mode begins, any logfile without a valid authentication code will fail to open. Logfiles not updated during the 90-day learning mode period must be manually authenticated by an Administrator using the fsutil clfs authenticate command line utility.

Review systems that use CLFS logfiles and ensure they are opened during the 90-day learning mode period, so authentication codes are applied automatically. For logfiles that remain untouched during this time, plan for manual authentication before enforcement mode begins. See the Additional information section below for detailed guidance.

共通ログファイルシステム(CLFS)ドライバに対して新たな強化認証緩和策が導入されました。この新しいCLFSバージョンを含むWindowsアップデートは、90日間の「学習モード」期間を開始し、その間に認証コードが自動的にログファイルに追加されます。この期間を経てデバイスの挙動は変化します。詳細については、 共通ログファイルシステム(CLFS)認証緩和策をご覧ください。

Windows 11、バージョン25H2およびWindows Server 2025のアップデートは、2025年10月28日以降にリリースされたもので、この変更が含まれています。アップデートのインストール後90日間、「学習モード」と呼ばれる 緩和導入期間が設けられます。この期間中、認証コードは既存のログファイルを開くと自動的に追加されます。この期間が終了すると、CLFSドライバは強制モードに入り、すべてのログファイルに有効な認証コードを含めることが求められます。

CLFSドライバの認証緩和策は、CLFSログファイルの基盤ファイルにハッシュベースのメッセージ認証コード(HMAC)を追加します。これにより、CLFSログファイルには、ファイルデータとレジストリに保存されたシステム固有の暗号鍵を組み合わせて生成される認証コードが含まれており、管理者とSYSTEMアカウントのみがアクセス可能です。強制モードが始まると、有効な認証コードのないログファイルは開けられません。90日間の学習モード期間中に更新されなかったログファイルは、管理者がfsutil clfs authenticate コマンドラインユーティリティを使って 手動で認証する必要があります。

CLFSログファイルを使用するシステムを再確認し、90日間の学習モード期間中に開かれていることを確認することで、認証コードが自動的に適用されます。この期間中、ログファイルが手つかずの場合は、強制モード開始前に手動認証を計画してください。詳細なガイダンスについては下記の追加情報セクションをご覧ください。