Novembre 2025. Patch Tuesday, il secondo martedì del mese in cui Microsoft distribuisce gli aggiornamenti di sicurezza mensili con la puntualità di un orologio svizzero. Ma questo mese c’era qualcosa di diverso. Qualcosa che ha reso Windows 11 25H2 e Server 2025 più pesanti, ovvero più lenti e più affamati di spazio.
Microsoft ha introdotto una nuova misura di sicurezza per il driver del Common Log File System (CLFS). Non è una funzione visibile, ma questa modifica ha un prezzo: spazio su disco e prestazioni.
Microsoft spiega perché Windows ora occupa più spazio ed è più lento
Il Common Log File System è uno di quei componenti di Windows che la maggior parte delle persone non sa nemmeno che esista. È un sottosistema di logging ad alte prestazioni usato da app e servizi sia in modalità utente che kernel. Praticamente tutto quello che succede nel sistema operativo viene registrato, tracciato, e loggato da qualche parte.
Storicamente, il driver CLFS è stato uno dei punti più vulnerabili di Windows, spesso sfruttato per attacchi mirati ad acquisire permessi di amministratore senza autorizzazione. Un hacker che riesce a manipolare i file di log, potenzialmente può ottenere accesso a livello di sistema, e superare barriere di sicurezza che dovrebbero tenerlo fuori. Microsoft lo sa da anni. Ecco perché ha deciso di aggiungere i codici HMAC ai file di log per verificarne l’integrità. HMAC sta per Hash-based Message Authentication Code, una firma crittografica che prova che nessuno ha manomesso i file.
La transizione di 90 giorni
Microsoft sa che cambiare improvvisamente il funzionamento di un componente critico del sistema operativo può causare caos. Quindi ha implementato un periodo di transizione di 90 giorni chiamato “Learning Mode”. Durante questi tre mesi, ogni volta che un file di log viene aperto, il sistema aggiunge automaticamente il codice HMAC se non ce l’ha già.
Dopo 90 giorni, il sistema è operativo a tutti gli effetti. Da quel momento, tutti i file di log devono avere codici HMAC validi o non verranno aperti. Nessuna eccezione. Gli amministratori IT sono invitati a verificare che tutti i file di log vengano aperti almeno una volta durante questo periodo. In alternativa, possono usare l’utilità da riga di comando “fsutil clfs authenticate” per forzare l’aggiunta.
Il prezzo della sicurezza: spazio e velocità
Microsoft è stata onesta, questa protezione ha un costo. Ogni file di log ora richiede spazio aggiuntivo per memorizzare i codici HMAC. Un file contenitore da 4 GB, che è relativamente grande, richiede circa 2 MB extra. Inoltre, l’aggiunta di codici HMAC significa più operazioni di I/O (input/output) ogni volta che un file di log viene creato, aperto o scritto. E Microsoft ammette che il tempo medio necessario per scrivere un record in un file di log ora è raddoppiato.
Scrivere nei log è un’operazione che Windows fa continuamente. Applicazioni, servizi, driver, tutti loggano informazioni per diagnostica, debugging, auditing. Ma adesso ogni singola scrittura richiede il doppio del tempo perché il sistema deve calcolare e verificare codici HMAC.
Per l’utente medio che naviga, guarda video, scrive documenti, questo rallentamento potrebbe essere impercettibile. Ma per i server che gestiscono migliaia di transazioni al secondo, o per sistemi critici, raddoppiare il tempo di scrittura dei log ha un impatto. Purtroppo o si ha un sistema veloce o un sistema sicuro, ma difficilmente entrambe le cose al massimo livello. Microsoft ha deciso che la sicurezza vale il prezzo. E probabilmente ha ragione. CLFS è stato vulnerabile per troppo tempo.
Ti potrebbe interessare
13 gen 2026