Резюме
Актуализациите на Windows, датирани на или след 14 декември 2021 г., добавят поддръжка за поверителност на ниво пакети на клиенти на системата за шифроване на файлове (EFS). Необходимо е както клиентите на Windows, така и тези, които не са на Windows EFS, да използват поверителността на ниво пакети, когато се свързват със сървъри на EFS, които имат инсталирани актуализациите на Windows на или след 14 декември 2021 г.
Предприемане на действие
За да защитите вашата среда, за да избегнете прекъсвания, изпълнете следните стъпки:
-
Актуализирайте всички EFS клиенти и след това сървъри, като инсталирате актуализациите на Windows, дата на или след 14 декември 2021 г.
-
Започвайки от 8 март 2022 г., актуализацията на фазата на прилагане, режимът на прилагане ще бъде задължителен и разрешен на всички сървъри на Windows EFS.
Време на актуализациите на Windows
Актуализациите на EFS на Windows ще бъдат издадени на две фази:
-
Първоначално разполагане: Въведение в актуализацията на 14 декември 2021 г.
-
Фаза на прилагане: Режимът на прилагане е разрешен. Премахване на ключа от системния регистър AllowAllCliAuth .
14 декември 2021 г.: Първоначална фаза на разполагане
Началната фаза на разполагане започва с актуализациите на Windows, издадени на 14 декември 2021 г.
Това издание:
-
Прилагането на актуализациите на Windows, датирани на или след 14 декември 2021 г., адресира проблема, очертан в CVE-2021-43217.
Актуализацията включва ключа от системния регистър Enforcement Mode AllowAllCliAuth , който да ви помогне при разполагането на актуализациите.
EFS в мрежа: За среди, където EFS се използва за шифроване на файлове по мрежата, от клиент до сървър, хостваща файловете, ви препоръчваме първо клиентът да бъде актуализиран и след това сървърът. Актуализирането на сървърите преди клиентите ще доведе до грешки при EFS връзка.
За среди, в които актуализирането на EFS клиенти преди сървърите не е възможно, предоставихме ключ от системния регистър с име AllowAllCliAuth , който може да бъде зададен на сървъра, за да разрешите неактуализираните EFS клиенти да продължат да се свързват, докато не завърши актуализацията на клиента. След като клиентите са актуализирани, препоръчваме да премахнете ключа от системния регистър AllowAllCliAuth или да го настройте на 0 , за да се уверите, че корекцията е наложена на всички клиенти.
8 март 2022 г.: Фаза на прилагане
Втората фаза на разполагане започва с актуализацията на Windows, която ще бъде издадена на 8 март 2022 г. В това издание:
-
Поддръжката за ключа от системния регистър AllowAllCliAuth ще бъде премахната, за да се уверите, че прилагането на корекцията за CVE-2021-43217 възниква на всички клиенти и сървъри, актуализирани с актуализацията на Windows от 8 март 2022 г.
Информация за ключ от системния регистър
Контролата за настройка на системния регистър AllowAllCliAuth налага дали EFS клиентите трябва да използват поверителност на ниво пакет, когато се свързват с EFS сървър, който е инсталирал актуализации на Windows, издадени между 14 декември 2021 г. и 22 февруари 2022 г.
Настройката AllowAllCliAuth ще бъде игнорирана от сървърите на EFS, които инсталират актуализациите на Windows от 8 март 2022 г. и по-нови.
|
Подключ от системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
Стойност |
РазрешиAllCliAuth |
|
Тип данни |
REG_DWORD |
|
Данни |
1: EFS сървърът няма да наложи поверителност на ниво пакети на EFS сървъра. 0: EFS клиентите трябва да поддържат поверителност на ниво пакети, за да се свържат към EFS сървър, който има този набор от ключове от системния регистър. Това е режим на изпълнение. Забележка Ако ключът от системния регистър не съществува на сървър, се използва настройката по подразбиране. |
|
По подразбиране |
0 (когато ключът от системния регистър не е зададен) |
|
Изисква ли се рестартиране? |
Не |
Проверяване на събития
Актуализациите на Windows от 14 декември 2021 г. добавят два нови регистъра на събитията. Имайте предвид, че тези събития може да се регистрират само веднъж по време на сесия след рестартиране, ако е променена настройката на системния регистър за режим на прилагане.
Събитие 1
Това събитие се регистрира, когато неактуален EFS клиент, който не поддържа опити за поверителност на ниво пакет, за да се свърже към EFS сървър с актуализации на Windows, датиран на или след 14 декември 2021 г.
|
Регистър на събитията |
Прилагането |
|
Тип събитие |
Грешка |
|
Източник на събитие |
EFS |
|
ИД на събитие |
4420 |
|
Текст на събитие |
Клиент се опита да се обади на API на услугата EFS без удостоверяване на ниво на поверителност. Код на грешка: <errorCode>. Вижте https://go.microsoft.com/fwlink/?linkid=2181030 |
Събитие 2
Това събитие се регистрира, когато EFS клиент се опита да се свърже със сървър на EFS, на който са инсталирани актуализации на Windows, датирани на или след 14 декември 2021 г., и задайте настройката на системния регистър AllowAllCliAuth на 1.
|
Регистър на събитията |
Прилагането |
|
Тип събитие |
Предупреждение |
|
Източник на събитие |
EFS |
|
ИД на събитие |
4421 |
|
Текст на събитие |
Разрешен е клиент, който се нарича API на услугата EFS без удостоверяване на ниво на поверителност. Виж https://go.microsoft.com/fwlink/?linkid=2181030. |
