Компания Microsoft объяснила возросшую нагрузку на систему в обновлении Windows 11 25H2 внедрением новых механизмов безопасности для драйвера Common Log File System (CLFS). В ноябре 2025 года в систему были добавлены коды аутентификации сообщений (HMAC) для защиты файлов журналов от подмены и несанкционированного доступа, что исторически было вектором для атак с повышением привилегий.

HMAC представляет собой криптографический механизм, который генерирует уникальную контрольную сумму для данных, используя секретный ключ, хранящийся в защищённой области реестра. Это позволяет системе обнаруживать любые изменения в файле журнала после его создания. Если будет выявлено вмешательство, операционная система не откроет скомпрометированный файл.

Для плавного перехода Microsoft предусмотрела 90-дневный «режим обучения», в течение которого коды аутентификации автоматически добавляются в существующие файлы журналов при их открытии. По истечении этого периода CLFS перейдёт в режим принудительного применения, и все файлы журналов должны будут содержать действительные HMAC. Администраторам рекомендуется обеспечить доступ ко всем файлам журналов CLFS в течение переходного периода или использовать утилиту командной строки fsutil clfs authenticate для их предварительной подготовки.

Внедрение защиты привело к нескольким последствиям для производительности:

1. Увеличение размера файлов: Для хранения кодов аутентификации требуется дополнительное место. Например, для контейнера размером 10 МБ требуется около 90 КБ дополнительного пространства, а для файла в 4 ГБ — примерно 2 МБ.
2. Рост операций ввода-вывода: Системе необходимо выполнять дополнительные операции для записи и проверки HMAC.
3. Увеличение времени операций: Время, затрачиваемое на создание и открытие файлов журналов, а также на запись новых записей, возросло. Среднее время записи в файл журнала, по данным Microsoft, удвоилось.

Ранее, в декабре, Microsoft также изменила тип запуска для службы развёртывания AppX (Appxsvc) в Windows 11 25H2 и 24H2, переведя её на автоматический запуск по умолчанию для повышения надёжности в определённых сценариях. Эта служба периодически может вызывать проблемы с производительностью, потребляя значительные ресурсы центрального процессора и оперативной памяти.