Sammendrag
Windows-opdateringer, der er dateret den 14. december 2021 eller derefter, tilføjer understøttelse af beskyttelse af personlige oplysninger på pakkeniveau på EFS-klienter (Encrypting File System). Det er påkrævet, at både Windows- og ikke-Windows EFS-klienter bruger beskyttelse af personlige oplysninger på pakkeniveau, når der oprettes forbindelse til EFS-servere, der har Windows-opdateringer dateret den 14. december 2021 eller derefter installeret.
Gør noget
Følg disse trin for at beskytte dit miljø for at undgå afbrydelser:
-
Opdater alle EFS-klienter og derefter servere ved at installere Windows-opdateringer, der er dateret den 14. december 2021 eller derefter.
-
Fra og med opdateringen fra 8. marts 2022 i håndhævelsesfasen er gennemtvingelsestilstand påkrævet og aktiveret på alle Windows EFS-servere.
Tidsindstilling for Windows-opdateringer
EFS Windows-opdateringerne frigives i to faser:
-
Indledende installation: Introduktion til opdateringen den 14. december 2021.
-
Håndhævelsesfase: Gennemtvingelsestilstand er aktiveret. Fjernelse af registreringsdatabasenøglen AllowAllCliAuth .
14. december 2021: Indledende installationsfase
Den indledende installationsfase starter med De Windows-opdateringer, der blev udgivet d. 14. december 2021.
Denne version:
-
Anvendelse af Windows-opdateringer dateret den 14. december 2021 eller derefter løser problemet, der er beskrevet i CVE-2021-43217.
Opdateringen indeholder registreringsdatabasenøglen AllowAllCliAuth i gennemtvingelsestilstand for at hjælpe med installationen af opdateringerne.
EFS på netværk: For miljøer, hvor EFS bruges til at kryptere filer via netværket, fra en klient til en server, der er vært for filerne, anbefaler vi, at klienten opdateres først og derefter serveren. Opdatering af servere før klienter medfører EFS-forbindelsesfejl.
For miljøer, hvor opdatering af EFS-klienter før servere ikke er muligt, har vi angivet en registreringsdatabasenøgle med navnet AllowAllCliAuth , der kan indstilles på serveren for at aktivere ikke-opdaterede EFS-klienter til at fortsætte med at oprette forbindelse, indtil klientopdateringen er fuldført. Når klienterne er opdateret, anbefaler vi, at du fjerner registreringsdatabasenøglen AllowAllCliAuth eller indstiller den til 0 for at sikre, at rettelsen gennemtvinges på alle klienter.
8. marts 2022: Håndhævelsesfase
Den anden installationsfase starter med Windows-opdateringen, der udgives d. 8. marts 2022. I denne version:
-
Understøttelse af registreringsdatabasenøglen AllowAllCliAuth fjernes for at sikre, at håndhævelsen af rettelsen til CVE-2021-43217 forekommer på alle klienter og servere, der er opdateret med Windows-opdateringen d. 8. marts 2022.
Oplysninger om registreringsdatabasenøgle
Indstillingskontrolelementet AllowAllCliAuth i registreringsdatabasen gennemtvinger, om EFS-klienter skal bruge beskyttelse af personlige oplysninger på pakkeniveau, når der oprettes forbindelse til en EFS-server, der har installeret Windows-opdateringer, der er udgivet mellem 14. december 2021 og 22. februar 2022.
Indstillingen AllowAllCliAuth ignoreres af EFS-servere, der installerer opdateringerne til Windows d. 8. marts 2022 og nyere.
|
Undernøgle i registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
Værdi |
AllowAllCliAuth |
|
Datatype |
REG_DWORD |
|
Data |
1: EFS-serveren gennemtvinger ikke beskyttelse af pakkeniveau på EFS-serveren. 0: EFS-klienter skal understøtte beskyttelse af personlige oplysninger på pakkeniveau for at kunne oprette forbindelse til en EFS-server, der har denne registreringsdatabasenøgle angivet. Dette er gennemtvingelsestilstand. Bemærk! Hvis registreringsdatabasenøglen ikke findes på en server, bruges standardindstillingen. |
|
Standard |
0 (når registreringsdatabasenøglen ikke er angivet) |
|
Er det nødvendigt at genstarte? |
Nej |
Overvågningshændelser
Windows-opdateringerne fra 14. december 2021 tilføjer to nye hændelseslogge. Bemærk, at disse hændelser kun logføres én gang under en session efter en genstart, hvis indstillingen Gennemtvingelsestilstand i registreringsdatabasen ændres.
Hændelse 1
Hændelsen logføres, når en ikke-opdateret EFS-klient, der ikke understøtter beskyttelse af personlige oplysninger på pakkeniveau, forsøger at oprette forbindelse til en EFS-server, der har Windows-opdateringer dateret den 14. december 2021 eller derefter.
|
Hændelseslog |
Program |
|
Hændelsestype |
Fejl |
|
Hændelseskilde |
EFS |
|
Hændelses-id |
4420 |
|
Hændelsestekst |
En klient forsøgte at kalde en EFS-tjeneste-API uden godkendelse på fortrolighedsniveau. Fejlkode: <fejlKode>. Se https://go.microsoft.com/fwlink/?linkid=2181030 |
Hændelse 2
Hændelsen logføres, når en EFS-klient forsøger at oprette forbindelse til en EFS-server, der har installeret Windows-opdateringer dateret den 14. december 2021 eller derefter og indstiller registreringsdatabaseindstillingen AllowAllCliAuth til 1.
|
Hændelseslog |
Program |
|
Hændelsestype |
Advarsel |
|
Hændelseskilde |
EFS |
|
Hændelses-id |
4421 |
|
Hændelsestekst |
En klient, der kaldte en EFS-tjeneste-API uden godkendelse på fortrolighedsniveau, var tilladt. Se https://go.microsoft.com/fwlink/?linkid=2181030. |
