Résumé
Les mises à jour Windows du ou après le 14 décembre 2021 ajoutent la prise en charge de la confidentialité au niveau des paquets sur les clients EFS (Encrypting File System). Il est nécessaire que les clients Windows et non Windows EFS utilisent la confidentialité au niveau des paquets lors de la connexion aux serveurs EFS sur utilisant les mises à jour Windows du 14 décembre 2021 ou ultérieures.
Procédure à suivre
Pour protéger votre environnement afin d’éviter les pannes, procédez comme suit :
-
Mettez à jour tous les clients EFS, puis les serveurs en installant les mises à jour Windows du 14 décembre 2021 ou ultérieures.
-
À compter de la mise à jour de la phase d’application du 8 mars 2022, le mode d’application sera requis et activé sur tous les serveurs Windows EFS.
Calendrier des mises à jour Windows
Les mises à jour Windows EFS seront publiées en deux phases :
-
Déploiement initial : introduction de la mise à jour le 14 décembre 2021.
-
Phase d’application : le mode d’application est activé. Suppression de la clé de Registre AllowAllCliAuth .
14 décembre 2021 : Phase de déploiement initiale
La phase de déploiement initiale commence avec les mises à jour Windows publiées le 14 décembre 2021.
Cette version :
-
L’application des mises à jour Windows en date ou après le 14 décembre 2021 résout le problème décrit dans CVE-2021-43217.
La mise à jour inclut la clé de Registre AllowAllCliAuth du mode d’application pour faciliter le déploiement des mises à jour.
EFS sur réseau : pour les environnements où EFS est utilisé pour chiffrer des fichiers sur le réseau, d’un client à un serveur hébergeant les fichiers, nous recommandons que le client soit mis à jour en premier, puis le serveur. La mise à jour des serveurs avant les clients entraîne des erreurs de connexion EFS.
Pour les environnements dans lesquels la mise à jour des clients EFS avant les serveurs n’est pas possible, nous avons fourni une clé de Registre nommée AllowAllCliAuth qui peut être définie sur le serveur pour permettre aux clients EFS non mis à jour de continuer à se connecter jusqu’à la fin de la mise à jour du client. Une fois les clients mis à jour, nous vous recommandons de supprimer la clé de Registre AllowAllCliAuth ou de la définir sur 0 pour vous assurer que le correctif est appliqué à tous les clients.
8 mars 2022 : Phase d’application
La deuxième phase de déploiement commence par la mise à jour Windows qui sera publiée le 8 mars 2022. Dans cette version :
-
La prise en charge de la clé de Registre AllowAllCliAuth sera supprimée pour vous assurer que l’application du correctif pour CVE-2021-43217 se produit sur tous les clients et serveurs mis à jour avec la mise à jour windows du 8 mars 2022.
Informations sur la clé de Registre
Le contrôle de paramètre de Registre AllowAllCliAuth indique si les clients EFS doivent utiliser la confidentialité au niveau des paquets lors de la connexion à un serveur EFS qui a installé des mises à jour Windows publiées entre le 14 décembre 2021 et le 22 février 2022.
Le paramètre AllowAllCliAuth sera ignoré par les serveurs EFS qui installent les mises à jour Windows du 8 mars 2022 et ultérieures.
Sous-clé de Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Valeur |
AllowAllCliAuth |
Type de données |
REG_DWORD |
Données |
1 : le serveur EFS n’applique pas la confidentialité au niveau des paquets sur le serveur EFS. 0 : Les clients EFS doivent prendre en charge la confidentialité au niveau des paquets pour se connecter à un serveur EFS sur lequel cette clé de Registre est définie. Il s’agit du mode d’application. Remarque Si la clé de Registre n’existe pas sur un serveur, le paramètre Par défaut est utilisé. |
Valeur par défaut |
0 (si la clé de Registre n’est pas définie) |
Redémarrage nécessaire ? |
Non |
Événements d’audit
Les mises à jour Windows du 14 décembre 2021 ajoutent deux nouveaux journaux d’événements. Notez que ces événements peuvent être enregistrés une seule fois au cours d’une session après un redémarrage si le paramètre de Registre mode d’application est modifié.
Événement 1
Cet événement est enregistré lorsqu’un client EFS non mis à jour qui ne prend pas en charge la confidentialité au niveau des paquets tente de se connecter à un serveur EFS disposant de mises à jour Windows datant du 14 décembre 2021 ou ultérieurement.
Journal des événements |
Application |
Type d’événement |
Error |
Source de l’événement |
EFS |
ID d’événement |
4420 |
Texte de l’événement |
Un client a tenté d’appeler une API de service EFS sans authentification au niveau de confidentialité. Code d’erreur : <> errorCode. Voir https://go.microsoft.com/fwlink/?linkid=2181030 |
Événement 2
Cet événement est enregistré lorsqu’un client EFS tente de se connecter à un serveur EFS qui a installé des mises à jour Windows datant du 14 décembre 2021 ou après, et définissez le paramètre de Registre AllowAllCliAuth sur 1.
Journal des événements |
Application |
Type d’événement |
Avertissement |
Source de l’événement |
EFS |
ID d’événement |
4421 |
Texte de l’événement |
Un client qui a appelé une API de service EFS sans authentification au niveau de confidentialité était autorisé. Voir https://go.microsoft.com/fwlink/?linkid=2181030. |