Zusammenfassung
Windows-Updates vom oder nach dem 14. Dezember 2021 unterstützen den Datenschutz auf Paketebene auf EFS-Clients (Encrypting File System). Es ist erforderlich, dass sowohl Windows- als auch Nicht-Windows EFS-Clients den Schutz auf Paketebene verwenden, wenn sie eine Verbindung mit EFS-Servern herstellen, auf denen die Windows-Updates ab dem 14. Dezember 2021 oder nach der Installation installiert sind.
Handeln Sie
Führen Sie die folgenden Schritte aus, um Ihre Umgebung zu schützen und Ausfälle zu vermeiden:
-
Aktualisieren Sie alle EFS-Clients und -Server, indem Sie die Windows-Updates installieren, die am oder nach dem 14. Dezember 2021 stammen.
-
Ab dem Update der Erzwingungsphase vom 8. März 2022 ist der Erzwingungsmodus auf allen Windows EFS-Servern erforderlich und aktiviert.
Zeitplan für die Windows-Updates
Die EFS-Windows-Updates werden in zwei Phasen veröffentlicht:
-
Erste Bereitstellung: Einführung des Updates am 14. Dezember 2021.
-
Erzwingungsphase: Der Erzwingungsmodus ist aktiviert. Entfernen des Registrierungsschlüssels AllowAllCliAuth .
14. Dezember 2021: Phase der ersten Bereitstellung
Die erste Bereitstellungsphase beginnt mit den Windows-Updates, die am 14. Dezember 2021 veröffentlicht wurden.
Diese Version:
-
Durch anwenden der Windows-Updates vom 14. Dezember 2021 oder nach dem 14. Dezember 2021 wird das in CVE-2021-43217 beschriebene Problem behoben.
Das Update enthält den Registrierungsschlüssel AllowAllCliAuth im Erzwingungsmodus, um die Bereitstellung der Updates zu unterstützen.
EFS im Netzwerk: Für Umgebungen, in denen EFS verwendet wird, um Dateien über das Netzwerk zu verschlüsseln, von einem Client zu einem Server, der die Dateien hostet, wird empfohlen, zuerst den Client und dann den Server zu aktualisieren. Das Aktualisieren von Servern vor Clients führt zu EFS-Verbindungsfehlern.
Für Umgebungen, in denen das Aktualisieren von EFS-Clients vor Servern nicht möglich ist, haben wir einen Registrierungsschlüssel namens AllowAllCliAuth bereitgestellt, der auf dem Server festgelegt werden kann, damit nicht aktualisierte EFS-Clients weiterhin eine Verbindung herstellen können, bis das Clientupdate abgeschlossen ist. Nachdem clients aktualisiert wurden, empfehlen wir, den Registrierungsschlüssel AllowAllCliAuth zu entfernen oder auf 0 festzulegen, um sicherzustellen, dass die Korrektur auf allen Clients erzwungen wird.
8. März 2022: Durchsetzungsphase
Die zweite Bereitstellungsphase beginnt mit dem Windows-Update, das am 8. März 2022 veröffentlicht wird. In dieser Version:
-
Die Unterstützung für den Registrierungsschlüssel AllowAllCliAuth wird entfernt, um sicherzustellen, dass die Erzwingung des Fixs für CVE-2021-43217 auf allen Clients und Servern erfolgt, die mit dem Windows-Update vom 8. März 2022 aktualisiert wurden.
Registrierungsschlüssel-Informationen
Die AllowAllCliAuth-Registrierungseinstellungssteuerung erzwingt, ob EFS-Clients den Schutz auf Paketebene verwenden müssen, wenn sie eine Verbindung mit einem EFS-Server herstellen, auf dem Windows-Updates installiert sind, die zwischen dem 14. Dezember 2021 und dem 22. Februar 2022 veröffentlicht wurden.
Die Einstellung AllowAllCliAuth wird von EFS-Servern ignoriert, die die Windows-Updates vom 8. März 2022 und höher installieren.
Registrierungsunterschlüssel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Wert |
AllowAllCliAuth |
Datentyp |
REG_DWORD |
Daten |
1: Der EFS-Server erzwingt keinen Datenschutz auf Paketebene auf dem EFS-Server. 0: EFS-Clients müssen den Schutz auf Paketebene unterstützen, um eine Verbindung mit einem EFS-Server herzustellen, auf dem dieser Registrierungsschlüssel festgelegt ist. Dies ist der Erzwingungsmodus. Hinweis Wenn der Registrierungsschlüssel auf einem Server nicht vorhanden ist, wird die Standardeinstellung verwendet. |
Standard |
0 (wenn kein Registrierungsschlüssel gesetzt ist) |
Ist ein Neustart erforderlich? |
Nein |
Überwachungsereignisse
Die Windows-Updates vom 14. Dezember 2021 fügen zwei neue Ereignisprotokolle hinzu. Beachten Sie, dass diese Ereignisse während einer Sitzung nach einem Neustart nur einmal protokolliert werden können, wenn die Registrierungseinstellung für den Erzwingungsmodus geändert wird.
Ereignis 1
Dieses Ereignis wird protokolliert, wenn ein nicht aktualisierter EFS-Client, der den Datenschutz auf Paketebene nicht unterstützt, versucht, eine Verbindung mit einem EFS-Server herzustellen, auf dem Windows-Updates vom 14. Dezember 2021 oder nach dem 14. Dezember 2021 installiert sind.
Ereignisprotokoll |
Anwendung |
Ereignistyp |
Fehler |
Ereignisquelle |
EFS |
Ereigniskennung |
4420 |
Ereignistext |
Ein Client hat versucht, eine EFS-Dienst-API ohne Authentifizierung auf Datenschutzebene aufzurufen. Fehlercode: <errorCode->. Siehe https://go.microsoft.com/fwlink/?linkid=2181030 |
Ereignis 2
Dieses Ereignis wird protokolliert, wenn ein EFS-Client versucht, eine Verbindung mit einem EFS-Server herzustellen, auf dem Windows-Updates installiert sind, die am oder nach dem 14. Dezember 2021 installiert wurden, und wenn die Registrierungseinstellung AllowAllCliAuth auf 1 festgelegt wird.
Ereignisprotokoll |
Anwendung |
Ereignistyp |
Warnung |
Ereignisquelle |
EFS |
Ereigniskennung |
4421 |
Ereignistext |
Ein Client, der eine EFS-Dienst-API ohne Authentifizierung auf Datenschutzebene aufgerufen hat, wurde zugelassen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2181030. |