Yhteenveto
Windows-päivitykset, jotka on päivätty 14. joulukuuta 2021 tai sen jälkeen, lisäävät pakettitason tietosuojan tuen EFS (Encrypting File System) -asiakasohjelmissa. Sekä Windowsin että muiden kuin Windowsin EFS-asiakkaiden on käytettävä pakettitason tietosuojaa muodostaessaan yhteyden EFS-palvelimiin, joiden Windows-päivitykset on päivätty 14. joulukuuta 2021 tai sen jälkeen.
Toimi
Voit suojata ympäristöäsi käyttökatkojen välttämiseksi toimimalla seuraavasti:
-
Päivitä kaikki EFS-asiakasohjelmat ja sitten palvelimet asentamalla Windows-päivitykset, jotka on päivätty 14. joulukuuta 2021 tai sen jälkeen.
-
Pakotusvaiheen 8.3.2022 alkaen pakotustila on pakollinen ja käytössä kaikissa Windowsin EFS-palvelimissa.
Windows-päivitysten ajoitus
EFS Windows -päivitykset julkaistaan kahdessa vaiheessa:
-
Ensimmäinen käyttöönotto: Päivityksen esittely 14. joulukuuta 2021.
-
Pakotusvaihe: Pakotustila on käytössä. AllowAllCliAuth-rekisteriavaimen poistaminen.
14. joulukuuta 2021: Ensimmäinen käyttöönottovaihe
Ensimmäinen käyttöönottovaihe alkaa 14. joulukuuta 2021 julkaistuista Windows-päivityksistä.
Tämä versio:
-
14. joulukuuta 2021 tai sen jälkeen päivättyjen Windows-päivitysten käyttöönotto korjaa CVE-2021-43217 -versiossa kuvatun ongelman.
Päivitys sisältää pakotustilan AllowAllCliAuth-rekisteriavaimen , joka auttaa päivitysten käyttöönotossa.
EFS verkossa: Ympäristöissä, joissa EFS:ää käytetään tiedostojen salaamiseen verkon kautta, asiakasohjelmasta tiedostoja isännöivään palvelimeen suosittelemme, että asiakas päivitetään ensin ja sitten palvelin. Palvelinten päivittäminen ennen asiakasohjelmia aiheuttaa EFS-yhteysvirheitä.
Ympäristöissä, joissa EFS-asiakkaiden päivittäminen ennen palvelimia ei ole mahdollista, olemme antaneet Rekisteriavaimen nimeltä AllowAllCliAuth , joka voidaan määrittää palvelimeen, jotta päivittämättömät EFS-asiakkaat voivat jatkaa yhteyden muodostamista, kunnes asiakaspäivitys on valmis. Kun asiakasohjelmat on päivitetty, suosittelemme poistamaan AllowAllCliAuth-rekisteriavaimen tai määrittämään sen arvoksi 0 , jotta korjaus on käytössä kaikissa asiakasohjelmissa.
8. maaliskuuta 2022: Täytäntöönpanovaihe
Toinen käyttöönottovaihe alkaa Windows-päivityksestä, joka julkaistaan 8. maaliskuuta 2022. Tässä versiossa:
-
AllowAllCliAuth-rekisteriavaimen tuki poistetaan sen varmistamiseksi, että CVE-2021-43217-korjauksen toimeenpano tapahtuu kaikissa asiakasohjelmissa ja palvelimissa, jotka on päivitetty 8. maaliskuuta 2022 julkaistulla Windows-päivityksellä.
Rekisteriavaimen tiedot
AllowAllCliAuth-rekisteriasetusten ohjausobjekti valvoo, onko EFS-asiakkaiden käytettävä pakettitason yksityisyyttä muodostettaessa yhteyttä EFS-palvelimeen, joka on asentanut 14.12.2021 ja 22.2.2022 julkaistut Windows-päivitykset.
8. maaliskuuta 2022 ja uudemmat Windows-päivitykset asentavat EFS-palvelimet ohittavat AllowAllCliAuth-asetuksen .
Rekisterin aliavain |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Arvo |
AllowAllCliAuth |
Tietotyyppi |
REG_DWORD |
Tiedot |
1: EFS-palvelin ei pakota pakettitason tietosuojaa EFS-palvelimessa. 0: EFS-asiakkaiden on tuettava pakettitason tietosuojaa muodostaakseen yhteyden EFS-palvelimeen, jossa on tämä rekisteriavainjoukko. Tämä on pakotustila. Huomautus Jos rekisteriavainta ei ole palvelimessa, käytetään oletusasetusta. |
Oletus |
0 (kun rekisteriavainta ei ole määritetty) |
Tarvitaanko uudelleenkäynnistystä? |
Ei |
Tapahtumien valvonta
Windowsin 14. joulukuuta 2021 julkaistut päivitykset lisäävät kaksi uutta tapahtumalokia. Huomaa, että nämä tapahtumat voidaan kirjata vain kerran istunnon aikana uudelleenkäynnistyksen jälkeen, jos pakotustilan rekisteriasetusta muutetaan.
Tapahtuma 1
Tämä tapahtuma kirjataan lokiin, kun päivittämätön EFS-asiakasohjelma, joka ei tue pakettitason tietosuojaa, yrittää muodostaa yhteyden EFS-palvelimeen, jonka Windows-päivitykset on päivätty 14. joulukuuta 2021 tai sen jälkeen.
Tapahtumaloki |
Sovellus |
Tapahtumatyyppi |
Virhe |
Tapahtumalähde |
EFS |
Tapahtumatunnus |
4420 |
Tapahtuman teksti |
Asiakas yritti soittaa EFS-palvelun ohjelmointirajapintaan ilman tietosuojatason todennusta. Virhekoodi: <errorCode>. Katso https://go.microsoft.com/fwlink/?linkid=2181030 |
Tapahtuma 2
Tämä tapahtuma kirjataan lokiin, kun EFS-asiakas yrittää muodostaa yhteyden EFS-palvelimeen, joka on asentanut 14. joulukuuta 2021 tai sen jälkeen päivättyjä Windows-päivityksiä ja määrittänyt AllowAllCliAuth-rekisteriasetukseksi1.
Tapahtumaloki |
Sovellus |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
EFS |
Tapahtumatunnus |
4421 |
Tapahtuman teksti |
Asiakas, joka kutsui EFS-palvelun ohjelmointirajapintaa ilman tietosuojatason todennusta, sallittiin. Katso https://go.microsoft.com/fwlink/?linkid=2181030. |