Shrnutí
Aktualizace Windows ze 14. prosince 2021 nebo později přidávají podporu ochrany osobních údajů na úrovni paketů u klientů systému souborů EFS (Encrypting File System). Při připojování k serverům EFS, které mají nainstalované aktualizace Systému souborů Windows ze 14. prosince 2021 nebo později, je nutné, aby klienti systému Windows i klienti systému souborů EFS jiných systémů používali ochranu osobních údajů na úrovni paketů.
Provedení akce
Pokud chcete chránit své prostředí, abyste se vyhnuli výpadkům, postupujte takto:
-
Aktualizujte všechny klienty SYSTÉMU SOUBORŮ EFS a potom servery instalací aktualizací Windows z 14. prosince 2021 nebo později.
-
Od 8. března 2022 bude na všech serverech Systému souborů EFS s Windows vyžadován a povolen režim vynucení.
Načasování aktualizací Windows
Aktualizace SYSTÉMU SOUBORŮ EFS pro Windows budou vydávány ve dvou fázích:
-
Počáteční nasazení: Zavedení aktualizace 14. prosince 2021.
-
Fáze vynucení: Režim vynucení je povolený. Odebrání klíče registru AllowAllCliAuth
14. prosince 2021: Počáteční fáze nasazení
Počáteční fáze nasazení začíná aktualizacemi Windows vydanými 14. prosince 2021.
Tato verze:
-
Použití aktualizací Windows z 14. prosince 2021 nebo později řeší problém popsaný v CVE-2021-43217.
Aktualizace obsahuje klíč registru AllowAllCliAuth režimu vynucení, který vám pomůže s nasazením aktualizací.
Systém souborů EFS v síti: V prostředích, ve kterých se systém souborů EFS používá k šifrování souborů v síti, z klienta na server, který soubory hostuje, doporučujeme nejprve aktualizovat klienta a pak server. Aktualizace serverů před klienty způsobí chyby připojení EFS.
Pro prostředí, ve kterých není možné aktualizovat klienty SYSTÉMU SOUBORŮ EFS před servery, jsme poskytli klíč registru s názvem AllowAllCliAuth , který lze nastavit na serveru tak, aby neaktualizovali klienti EFS pokračovat v připojování, dokud se nedokončí aktualizace klienta. Po aktualizaci klientů doporučujeme odebrat klíč registru AllowAllCliAuth nebo ho nastavit na hodnotu 0 , abyste měli jistotu, že se oprava vynucuje na všech klientech.
8. března 2022: Fáze vynucování
Druhá fáze nasazení začíná aktualizací Windows, která bude vydána 8. března 2022. V této verzi:
-
Podpora klíče registru AllowAllCliAuth bude odebrána, aby se zajistilo, že na všech klientech a serverech aktualizovaných aktualizací systému Windows z 8. března 2022 dojde k vynucení opravy cve-2021-43217 .
Informace o klíči registru
Ovládací prvek nastavení registru AllowAllCliAuth vynucuje, jestli klienti EFS musí při připojování k serveru EFS, který má nainstalované aktualizace Windows vydané mezi 14. prosincem 2021 a 22. únorem 2022, používat ochranu osobních údajů na úrovni paketů.
Nastavení AllowAllCliAuth budou ignorovat servery EFS, které nainstalují aktualizace Windows z 8. března 2022 a novější.
Podklíč registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Hodnota |
AllowAllCliAuth |
Datový typ |
REG_DWORD |
Data |
1: Server EFS nebude na serveru EFS vynucovat ochranu osobních údajů na úrovni paketů. 0: Klienti EFS musí podporovat ochranu osobních údajů na úrovni paketů, aby se mohli připojit k serveru EFS, který má tento klíč registru nastavený. Toto je režim vynucení. Poznámka Pokud klíč registru na serveru neexistuje, použije se nastavení Výchozí. |
Základní |
0 (pokud není nastavený klíč registru) |
Vyžaduje se restartování? |
Ne |
Události auditování
Aktualizace Windows ze 14. prosince 2021 přidají dva nové protokoly událostí. Tyto události se můžou během relace po restartování zaprotokolovat jenom jednou, pokud se změní nastavení registru režimu vynucení.
Událost 1
Tato událost se zaprotokoluje, když se neaktualovaný klient SYSTÉMU SOUBORŮ EFS, který nepodporuje ochranu osobních údajů na úrovni paketů, pokusí připojit k serveru EFS, který má aktualizace Windows datované 14. prosince 2021 nebo později.
Protokol událostí |
Aplikace |
Typ události |
Chyba |
Zdroj události |
EFS |
ID události |
4420 |
Text události |
Klient se pokusil volat rozhraní API služby EFS bez ověřování na úrovni ochrany osobních údajů. Kód chyby:> <errorCode. Zobrazit https://go.microsoft.com/fwlink/?linkid=2181030 |
Událost 2
Tato událost se zaprotokoluje, když se klient EFS pokusí připojit k serveru EFS, na který byly nainstalovány aktualizace Windows datované 14. prosince 2021 nebo později a nastavení registru AllowAllCliAuth na hodnotu 1.
Protokol událostí |
Aplikace |
Typ události |
Upozornění |
Zdroj události |
EFS |
ID události |
4421 |
Text události |
Klient, který volal rozhraní API služby EFS bez ověřování na úrovni ochrany osobních údajů, byl povolený. Viz https://go.microsoft.com/fwlink/?linkid=2181030. |