סיכום
עדכוני Windows שתאריך 14 בדצמבר 2021 או לאחר מכן מוסיפים תמיכה עבור פרטיות ברמת המנה ללקוחות מערכת קבצים מצפינה (EFS). יש צורך שהלקוחות של Windows והלקוחות שאינם של Windows EFS ישתמשו בפרטיות ברמת המנה בעת התחברות לשרתי EFS עם עדכוני Windows שתאריךם פורסם ב- 14 בדצמבר 2021 או לאחר מכן.
בצע פעולה
כדי לסייע בהגנה על הסביבה שלך כדי למנוע הפסקות חשמל, בצע את הפעולות הבאות:
-
עדכן את כל לקוחות ה- EFS ולאחר מכן את השרתים על-ידי התקנת עדכוני Windows מתאריך 14 בדצמבר 2021 או לאחר מכן.
-
החל מ- 8 במרץ 2022, עדכון שלב האכיפה, מצב האכיפה יידרש ויפעל בכל שרתי ה- EFS של Windows.
תזמון עדכוני Windows
עדכוני EFS Windows יופצו בשני שלבים:
-
פריסה ראשונית: מבוא לעדכון ב- 14 בדצמבר 2021.
-
שלב האכיפה: מצב אכיפה זמין. הסרת מפתח הרישום AllowAllCliAuth .
14 בדצמבר 2021: שלב הפריסה הראשונית
שלב הפריסה הראשונית מתחיל בעדכוני Windows שהופצו ב- 14 בדצמבר, 2021.
מהדורה זו:
-
החלת עדכוני Windows שפורסם ב- 14 בדצמבר 2021 או לאחר מכן מטפל בבעיה המתוארת ב - CVE-2021-43217.
העדכון כולל את מפתח הרישום AllowAllCliAuth מצב אכיפה כדי לסייע בפריסת העדכונים.
EFS ברשת: עבור סביבות שבהן EFS משמש להצפנת קבצים דרך הרשת, מלקוח לשרת המארח את הקבצים, מומלץ לעדכן תחילה את הלקוח ולאחר מכן את השרת. עדכון שרתים לפני של לקוחות יגרום לשגיאות חיבור EFS.
עבור סביבות שבהן לא ניתן לעדכן לקוחות EFS לפני שרתים, סיפקנו מפתח רישום בשם AllowAllCliAuth שניתן להגדיר בשרת כדי לאפשר ללקוחות EFS שאינם מעודכנים להמשיך להתחבר עד להשלמת עדכון הלקוח. לאחר עדכון הלקוחות, מומלץ להסיר את מפתח הרישום AllowAllCliAuth או להגדיר אותו ל- 0 כדי לוודא שהתיקון נאכף על כל הלקוחות.
8 במרץ 2022: שלב האכיפה
שלב הפריסה השני מתחיל בעדכון Windows שיופץ ב- 8 במרץ 2022. במהדורה זו:
-
התמיכה עבור מפתח הרישום AllowAllCliAuth תוסר כדי לוודא כי אכיפת התיקון עבור CVE-2021-43217 מתרחשת בכל הלקוחות והשרתים המעודכנים בעדכון Windows שפורסם ב- 8 במרץ 2022.
פרטי מפתח רישום
פקד הגדרת הרישום AllowAllCliAuth אוכף אם לקוחות EFS חייבים להשתמש בפרטיות ברמת המנה בעת התחברות לשרת EFS שהתקין עדכוני Windows שהופצו בין 14 בדצמבר 2021 ל- 22 בפברואר 2022.
תתעלם מההגדרה AllowAllCliAuth על-ידי שרתי EFS אשר מתקינים את העדכונים של 8 במרץ 2022 ואילך של Windows.
|
מפתח משנה של הרישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
ערך |
AllowAllCliAuth |
|
סוג נתונים |
REG_DWORD |
|
נתונים |
1: שרת EFS לא יכוף פרטיות ברמת המנה בשרת EFS. 0: לקוחות EFS חייבים לתמוך בפרטיות ברמת המנה כדי להתחבר לשרת EFS שמפתח הרישום שלו מוגדר. כאן מצב אכיפה. הערה אם מפתח הרישום אינו קיים בשרת, נעשה שימוש בהגדרת ברירת המחדל. |
|
ברירת מחדל |
0 (כאשר מפתח הרישום אינו מוגדר) |
|
האם נדרשת הפעלה מחדש? |
לא |
אירועי ביקורת
עדכוני Windows מ- 14 בדצמבר 2021 מוסיפים שני יומני אירועים חדשים. שים לב שאירועים אלה עשויים להירשם פעם אחת בלבד במהלך הפעלה לאחר הפעלה מחדש אם הגדרת הרישום של מצב האכיפה משתנה.
אירוע 1
אירוע זה נרשם כאשר לקוח EFS שאינו מעודכן שאינו תומך בניסיונות פרטיות ברמת המנה להתחבר לשרת EFS שפורסם בו עדכוני Windows ב- 14 בדצמבר 2021 או לאחר מכן.
|
יומן אירועים |
יישום |
|
סוג אירוע |
שגיאה |
|
מקור האירוע |
Efs |
|
מזהה האירוע |
4420 |
|
טקסט אירוע |
לקוח ניסה לקרוא ל- API של שירות EFS ללא אימות ברמת הפרטיות. קוד שגיאה: <ErrorCode>. ראה https://go.microsoft.com/fwlink/?linkid=2181030 |
אירוע 2
אירוע זה נרשם כאשר לקוח EFS מנסה להתחבר לשרת EFS שהתקין עדכוני Windows מתאריך 14 בדצמבר 2021 או לאחר מכן, והגדר את הגדרת הרישום AllowAllCliAuth ל- 1.
|
יומן אירועים |
יישום |
|
סוג אירוע |
שלט אזהרה |
|
מקור האירוע |
Efs |
|
מזהה האירוע |
4421 |
|
טקסט אירוע |
לקוח שקרא ל- API של שירות EFS ללא אימות ברמת הפרטיות היה מותר. ראה https://go.microsoft.com/fwlink/?linkid=2181030. |
