Con l’arrivo di Windows 11 versione 25H2, diversi utenti e amministratori hanno notato un comportamento anomalo del sistema: le operazioni di scrittura nei file di log risultano sensibilmente più lente, al punto da dare l’impressione di un aggiornamento “più pesante” del previsto. Microsoft ha chiarito ufficialmente l’origine di questo cambiamento, collegandolo a una scelta precisa sul fronte della sicurezza.
Il rallentamento non è frutto di un bug né di un’inefficienza del sistema, ma della correzione di una vulnerabilità storica legata al driver CLFS, responsabile della gestione dei log critici. A partire da una patch distribuita da novembre 2025, è stato introdotto un nuovo meccanismo di protezione pensato per contrastare manomissioni e tentativi di elevazione dei privilegi.
Più sicurezza, più operazioni da gestire
La novità principale riguarda l’autenticazione dei messaggi scritti nei file di log. Ogni record viene ora accompagnato da un sistema di verifica basato su hash e codici di autenticazione, progettato per garantire l’integrità dei dati. Questo significa che, prima di essere salvata, ogni informazione deve essere elaborata, firmata e poi controllata.
Il risultato è un aumento concreto del carico di lavoro. Secondo quanto spiegato da Microsoft, il tempo medio di scrittura di un singolo record è effettivamente raddoppiato. Non si tratta quindi di una percezione soggettiva, ma di un effetto misurabile legato ai calcoli aggiuntivi richiesti da questa protezione.
Spazio occupato e impatto complessivo
Oltre ai tempi di scrittura, entra in gioco anche lo spazio su disco. I file di log devono ora contenere metadati di sicurezza extra. In termini pratici, un file contenitore da 4 GB richiede circa 2 MB aggiuntivi per ospitare i codici HMAC. Una quantità ridotta in valore assoluto, ma sufficiente a contribuire alla sensazione di appesantimento dell’aggiornamento, soprattutto in ambienti server o aziendali con un uso intensivo dei log.
La fase di transizione prevista da Microsoft
Per evitare blocchi improvvisi, Microsoft ha previsto una modalità di apprendimento della durata di 90 giorni. In questa fase, i file di log esistenti vengono aggiornati gradualmente quando vengono aperti, senza impedire l’accesso a quelli ancora privi dei nuovi codici. Al termine del periodo, il sistema passerà a una modalità più rigida, rifiutando i file non autenticati.
