Σύνοψη
Οι ενημερώσεις των Windows που χρονολογούνται στις ή μετά τις 14 Δεκεμβρίου 2021 προσθέτουν υποστήριξη για προστασία προσωπικών δεδομένων σε επίπεδο πακέτων σε προγράμματα-πελάτες συστήματος αρχείων κρυπτογράφησης (EFS). Απαιτείται τόσο τα προγράμματα-πελάτες Windows όσο και οι υπολογιστές-πελάτες EFS που δεν είναι Windows να χρησιμοποιούν προστασία προσωπικών δεδομένων σε επίπεδο πακέτων κατά τη σύνδεση σε διακομιστές EFS που έχουν εγκατεστημένες τις ενημερώσεις των Windows στις ή μετά τις 14 Δεκεμβρίου 2021.
Ανάληψη δράσης
Για να προστατεύσετε το περιβάλλον σας για να αποφύγετε διακοπές λειτουργίας, ακολουθήστε τα παρακάτω βήματα:
-
Ενημερώστε όλα τα προγράμματα-πελάτες EFS και, στη συνέχεια, τους διακομιστές, εγκαθιστώντας τις ενημερώσεις των Windows με ημερομηνία στις ή μετά τις 14 Δεκεμβρίου 2021.
-
Από τις 8 Μαρτίου 2022, την ενημέρωση φάσης επιβολής, η λειτουργία επιβολής θα είναι υποχρεωτική και ενεργοποιημένη σε όλους τους διακομιστές Windows EFS.
Χρονισμός ενημερώσεων των Windows
Οι ενημερώσεις για τα Windows EFS θα κυκλοφορήσουν σε δύο φάσεις:
-
Αρχική ανάπτυξη: Εισαγωγή της ενημέρωσης στις 14 Δεκεμβρίου 2021.
-
Φάση επιβολής: Η λειτουργία επιβολής είναι ενεργοποιημένη. Κατάργηση του κλειδιού μητρώου AllowAllCliAuth .
14 Δεκεμβρίου 2021: Φάση αρχικής ανάπτυξης
Η αρχική φάση ανάπτυξης ξεκινά με τις ενημερώσεις των Windows που κυκλοφόρησαν στις 14 Δεκεμβρίου 2021.
Αυτή η έκδοση:
-
Η εφαρμογή των ενημερώσεων των Windows με ημερομηνία στις ή μετά τις 14 Δεκεμβρίου 2021 επιλύει το πρόβλημα που περιγράφεται στο CVE-2021-43217.
Η ενημέρωση περιλαμβάνει το κλειδί μητρώου AllowAllCliAuth λειτουργίας επιβολής για βοήθεια στην ανάπτυξη των ενημερώσεων.
EFS στο Δίκτυο: Για περιβάλλοντα όπου το EFS χρησιμοποιείται για την κρυπτογράφηση αρχείων μέσω δικτύου, από έναν υπολογιστή-πελάτη έως έναν διακομιστή που φιλοξενεί τα αρχεία, συνιστούμε να ενημερώνεται πρώτα ο υπολογιστής-πελάτης και, στη συνέχεια, ο διακομιστής. Η ενημέρωση των διακομιστών πριν από τους υπολογιστές-πελάτες θα προκαλέσει σφάλματα σύνδεσης EFS.
Για περιβάλλοντα στα οποία δεν είναι δυνατή η ενημέρωση των υπολογιστών-πελατών EFS πριν από τους διακομιστές, παρέχουμε ένα κλειδί μητρώου με το όνομα AllowAllCliAuth , το οποίο μπορεί να οριστεί στο διακομιστή, ώστε να είναι δυνατή η σύνδεση των μη ενημερωμένων προγραμμάτων-πελατών EFS μέχρι να ολοκληρωθεί η ενημέρωση του προγράμματος-πελάτη. Μετά την ενημέρωση των πελατών, συνιστάται να καταργήσετε το κλειδί μητρώου AllowAllCliAuth ή να το ρυθμίσετε σε 0 για να βεβαιωθείτε ότι η επιδιόρθωση επιβάλλεται σε όλους τους υπολογιστές-πελάτες.
8 Μαρτίου 2022: Φάση επιβολής
Η δεύτερη φάση ανάπτυξης ξεκινά με την ενημέρωση των Windows που θα κυκλοφορήσει στις 8 Μαρτίου 2022. Σε αυτήν την έκδοση:
-
Η υποστήριξη για το κλειδί μητρώου AllowAllCliAuth θα καταργηθεί για να διασφαλιστεί ότι η επιβολή της επιδιόρθωσης για το CVE-2021-43217 πραγματοποιείται σε όλους τους υπολογιστές-πελάτες και τους διακομιστές που έχουν ενημερωθεί με την ενημέρωση των Windows της 8ης Μαρτίου 2022.
Πληροφορίες κλειδιού μητρώου
Το στοιχείο ελέγχου ρύθμισης μητρώου AllowAllCliAuth επιβάλλει αν οι υπολογιστές-πελάτες EFS πρέπει να χρησιμοποιούν προστασία προσωπικών δεδομένων σε επίπεδο πακέτων κατά τη σύνδεση σε έναν διακομιστή EFS που έχει εγκαταστήσει ενημερώσεις των Windows που κυκλοφόρησαν μεταξύ 14 Δεκεμβρίου 2021 και 22 Φεβρουαρίου 2022.
Η ρύθμιση AllowAllCliAuth θα παραβλέπεται από τους διακομιστές EFS που εγκαθιστούν τις ενημερώσεις της 8ης Μαρτίου 2022 και μεταγενέστερων ενημερώσεων των Windows.
|
Δευτερεύον κλειδί μητρώου |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
Τιμή |
AllowAllCliAuth |
|
Τύπος δεδομένων |
REG_DWORD |
|
Δεδομένα |
1: Ο διακομιστής EFS δεν θα επιβάλει προστασία προσωπικών δεδομένων επιπέδου πακέτου στο διακομιστή EFS. 0: Οι υπολογιστές-πελάτες EFS πρέπει να υποστηρίζουν προστασία προσωπικών δεδομένων σε επίπεδο πακέτων για να συνδεθούν με ένα διακομιστή EFS που έχει αυτό το σύνολο κλειδιών μητρώου. Αυτή είναι η λειτουργία επιβολής. Σημείωση Εάν το κλειδί μητρώου δεν υπάρχει σε ένα διακομιστή, χρησιμοποιείται η προεπιλεγμένη ρύθμιση. |
|
Προεπιλογή |
0 (όταν δεν έχει οριστεί κλειδί μητρώου) |
|
Απαιτείται επανεκκίνηση; |
Όχι |
Συμβάντα ελέγχου
Οι ενημερώσεις της 14ης Δεκεμβρίου 2021 των Windows προσθέτουν δύο νέα αρχεία καταγραφής συμβάντων. Σημειώστε ότι αυτά τα συμβάντα μπορούν να καταγραφούν μόνο μία φορά κατά τη διάρκεια μιας περιόδου λειτουργίας μετά από μια επανεκκίνηση, εάν αλλάξει η ρύθμιση μητρώου λειτουργίας επιβολής.
Συμβάν 1
Αυτό το συμβάν καταγράφεται όταν ένα μη ενημερωμένο πρόγραμμα-πελάτης EFS που δεν υποστηρίζει προσπάθειες προστασίας προσωπικών δεδομένων σε επίπεδο πακέτων για σύνδεση με έναν διακομιστή EFS με ενημερωμένες εκδόσεις των Windows χρονολογείται στις ή μετά τις 14 Δεκεμβρίου 2021.
|
Αρχείο καταγραφής συμβάντων |
Εφαρμογή |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
EFS |
|
Αναγνωριστικό συμβάντος |
4420 |
|
Κείμενο συμβάντος |
Ένας πελάτης προσπάθησε να καλέσει ένα API υπηρεσίας EFS χωρίς έλεγχο ταυτότητας επιπέδου προστασίας προσωπικών δεδομένων. Κωδικός σφάλματος: <σφάλμαΚωδικοποίηση>. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2181030 |
Συμβάν 2
Αυτό το συμβάν καταγράφεται όταν ένας υπολογιστής-πελάτης EFS επιχειρεί να συνδεθεί με έναν διακομιστή EFS που έχει εγκαταστήσει ενημερώσεις των Windows με ημερομηνία 14 Δεκεμβρίου 2021 και έχει ορίσει τη ρύθμιση μητρώου AllowAllCliAuth στην 1.
|
Αρχείο καταγραφής συμβάντων |
Εφαρμογή |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
EFS |
|
Αναγνωριστικό συμβάντος |
4421 |
|
Κείμενο συμβάντος |
Επιτράπηκε ένας πελάτης που καλούσε API υπηρεσίας EFS χωρίς έλεγχο ταυτότητας επιπέδου προστασίας προσωπικών δεδομένων. Ανατρέξτε στο θέμα https://go.microsoft.com/fwlink/?linkid=2181030. |
