Resumen
Las actualizaciones de Windows con fecha del 14 de diciembre de 2021 o posteriores agregan compatibilidad con la privacidad de nivel de paquete en los clientes del Sistema de cifrado de archivos (EFS). Es necesario que tanto windows como los clientes que no sean de EFS de Windows usen privacidad de nivel de paquete al conectarse a servidores EFS que tengan instaladas las actualizaciones de Windows con fecha del 14 de diciembre de 2021 o posteriores.
Tomar medidas
Para ayudar a proteger su entorno para evitar interrupciones, siga estos pasos:
-
Actualice todos los clientes de EFS y, después, los servidores instalando las actualizaciones de Windows fechadas el 14 de diciembre de 2021 o después.
-
A partir del 8 de marzo de 2022, la actualización de la fase de cumplimiento, el modo de obligatoriedad será necesario y estará habilitado en todos los servidores de EFS de Windows.
Calendario de las actualizaciones de Windows
Las actualizaciones de Windows de EFS se publicarán en dos fases:
-
Implementación inicial: Introducción a la actualización el 14 de diciembre de 2021.
-
Fase de obligatoriedad: el modo de obligatoriedad está habilitado. Eliminación de la clave del Registro AllowAllCliAuth .
14 de diciembre de 2021: fase de implementación inicial
La fase de implementación inicial comienza con las actualizaciones de Windows publicadas el 14 de diciembre de 2021.
Esta publicación:
-
Al aplicar las actualizaciones de Windows con fecha del 14 de diciembre de 2021 o posteriores, se soluciona el problema descrito en CVE-2021-43217.
La actualización incluye la clave del Registro AllowAllCliAuth del modo de obligatoriedad para ayudar en la implementación de las actualizaciones.
EFS en la red: para los entornos donde se usa EFS para cifrar archivos a través de la red, desde un cliente a un servidor que hospeda los archivos, recomendamos que el cliente se actualice primero y, después, el servidor. La actualización de servidores antes de los clientes provocará errores de conexión de EFS.
Para los entornos en los que no es posible actualizar clientes EFS antes de los servidores, hemos proporcionado una clave del Registro denominada AllowAllCliAuth que se puede establecer en el servidor para permitir que los clientes EFS no actualizados sigan conectándose hasta que se complete la actualización del cliente. Después de actualizar los clientes, se recomienda quitar la clave del Registro AllowAllCliAuth o establecerla en 0 para asegurarse de que la corrección se aplica en todos los clientes.
8 de marzo de 2022: fase de cumplimiento
La segunda fase de implementación comienza con la actualización de Windows que se publicará el 8 de marzo de 2022. En esta versión:
-
Se quitará la compatibilidad con la clave del Registro AllowAllCliAuth para asegurarse de que la aplicación de la corrección para CVE-2021-43217 se produce en todos los clientes y servidores actualizados con la actualización de Windows del 8 de marzo de 2022.
Información de clave del registro
El control de configuración del Registro AllowAllCliAuth exige si los clientes EFS deben usar la privacidad de nivel de paquetes al conectarse a un servidor EFS que haya instalado actualizaciones de Windows publicadas entre el 14 de diciembre de 2021 y el 22 de febrero de 2022.
La configuración AllowAllCliAuth la omitirán los servidores de EFS que instalen las actualizaciones de Windows del 8 de marzo de 2022 y versiones posteriores.
Subclave del Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Valor |
AllowAllCliAuth |
Tipo de datos |
REG_DWORD |
Datos |
1: El servidor EFS no exigirá la privacidad de nivel de paquetes en el servidor EFS. 0: Los clientes EFS deben admitir la privacidad de nivel de paquetes para conectarse a un servidor de EFS que tenga esta clave del Registro establecida. Este es el modo de aplicación. Nota Si la clave del Registro no existe en un servidor, se usa la configuración predeterminada. |
Valor predeterminado |
0 (si no está establecida la clave del Registro) |
¿Es necesario reiniciar? |
No |
Auditoría de eventos
Las actualizaciones de Windows del 14 de diciembre de 2021 agregan dos nuevos registros de eventos. Ten en cuenta que estos eventos solo se pueden registrar una vez durante una sesión después de reiniciar si cambia la configuración del Registro del modo de obligatoriedad.
Evento 1
Este evento se registra cuando un cliente de EFS no actualizado que no admite privacidad a nivel de paquetes intenta conectarse a un servidor EFS con actualizaciones de Windows con fecha del 14 de diciembre de 2021 o posteriores.
Registro de eventos |
Aplicación |
Tipos de eventos |
Error |
Origen del evento |
EFS |
Id. del evento |
4420 |
Texto del evento |
Un cliente intentó llamar a una API de servicio EFS sin autenticación de nivel de privacidad. Código de error:> <errorCode. Ver https://go.microsoft.com/fwlink/?linkid=2181030 |
Evento 2
Este evento se registra cuando un cliente de EFS intenta conectarse a un servidor de EFS que ha instalado actualizaciones de Windows con fecha del 14 de diciembre de 2021 o posteriores y establece la configuración del Registro AllowAllCliAuth en 1.
Registro de eventos |
Aplicación |
Tipos de eventos |
Advertencia |
Origen del evento |
EFS |
Id. del evento |
4421 |
Texto del evento |
Se permitió un cliente que llamó API de servicio de EFS sin autenticación de nivel de privacidad. Consulta https://go.microsoft.com/fwlink/?linkid=2181030. |