Sažetak
Ažuriranja sustava Windows od 14. prosinca 2021. ili nakon toga dodaju podršku za zaštitu privatnosti na razini paketa u klijentima šifriranog datotečnog sustava (EFS). Prilikom povezivanja s EFS poslužiteljima na kojima su instalirana ažuriranja sustava Windows od 14. prosinca 2021. ili nakon njega potrebno je koristiti zaštitu privatnosti na razini paketa.
Akcija
Da biste zaštitili svoje okruženje radi izbjegavanja prekida rada, slijedite ove korake:
-
Ažurirajte sve EFS klijente, a zatim poslužitelje instaliranjem ažuriranja sustava Windows od 14. prosinca 2021. ili nakon. prosinca.
-
Počevši od 8. ožujka 2022., ažuriranje faze provođenja, način provođenja bit će obavezan i omogućen na svim poslužiteljima sustava Windows EFS.
Tempiranje ažuriranja sustava Windows
Ažuriranja za EFS Windows bit će objavljena u dvije faze:
-
Početna implementacija: Uvod u ažuriranje 14. prosinca 2021.
-
Faza provođenja: način provođenja je omogućen. Uklanjanje ključa registra AllowAllCliAuth .
14. prosinca 2021.: početna faza implementacije
Početna faza implementacije započinje ažuriranjima sustava Windows objavljenima 14. prosinca 2021.
Ovo izdanje:
-
Primjenom ažuriranja sustava Windows od 14. prosinca 2021. ili nakon tog datuma rješava se problem opisan u članku CVE-2021-43217.
Ažuriranje obuhvaća ključ registra AllowAllCliAuth načina provođenja da bi se pomoglo u implementaciji ažuriranja.
EFS na mreži: za okruženja u kojima se EFS koristi za šifriranje datoteka putem mreže, od klijenta do poslužitelja koji hostira datoteke preporučujemo da se klijent najprije ažurira, a zatim poslužitelj. Ažuriranje poslužitelja prije klijenata uzrokovat će pogreške EFS veze.
Za okruženja u kojima ažuriranje EFS klijenata prije poslužitelja nije moguće, naveli smo ključ registra pod nazivom AllowAllCliAuth koji se može postaviti na poslužitelju da bi se omogućilo neažuriranje EFS klijenata za nastavak povezivanja dok se ne dovrši ažuriranje klijenta. Kada se klijenti ažuriraju, preporučujemo da uklonite ključ registra AllowAllCliAuth ili ga postavite na 0 da biste provjerili primjenjuje li se popravak na svim klijentima.
8. ožujka 2022.: faza provedbe
Druga faza implementacije započinje ažuriranjem sustava Windows koje će se objaviti 8. ožujka 2022. U ovom izdanju:
Informacije o ključu registra
Kontrola postavki registra AllowAllCliAuth nameće moraju li klijenti EFS-a koristiti zaštitu privatnosti na razini paketa prilikom povezivanja s EFS poslužiteljem na kojem su instalirana ažuriranja sustava Windows objavljena između 14. prosinca 2021. i 22. veljače 2022.
EFS poslužitelji koji instaliraju ažuriranja sustava Windows od 8. ožujka 2022. i novijih verzija zanemarit će postavku AllowAllCliAuth .
Potključ registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Vrijednost |
AllowAllCliAuth |
Vrsta podataka |
REG_DWORD |
Podaci |
1: EFS poslužitelj neće nametnuti zaštitu privatnosti na razini paketa na EFS poslužitelju. 0: EFS klijenti moraju podržavati zaštitu privatnosti na razini paketa da bi se povezali s EFS poslužiteljem koji ima taj skup ključa registra. Ovo je način provođenja. Napomena Ako ključ registra ne postoji na poslužitelju, koristi se zadana postavka. |
Zadano |
0 (kada ključ registra nije postavljen) |
Je li potrebno ponovno pokretanje? |
Ne |
Događaji nadzora
Ažuriranja sustava Windows od 14. prosinca 2021. dodaju dva nova zapisnika događaja. Imajte na umu da se ti događaji mogu bilježiti samo jedanput tijekom sesije nakon ponovnog pokretanja ako se promijeni postavka registra načina provođenja.
Događaj 1
Ovaj se događaj bilježi kada neažurirani EFS klijent koji ne podržava pokušaje zaštite privatnosti na razini paketa povezati se s EFS poslužiteljem s ažuriranjima sustava Windows od 14. prosinca 2021. ili nakon. prosinca.
Zapisnik događaja |
Aplikacija |
Vrsta događaja |
Pogreška |
Izvor događaja |
EFS |
ID događaja |
4420 |
Tekst događaja |
Klijent je pokušao pozvati API servisa EFS bez provjere autentičnosti na razini zaštite privatnosti. Kod pogreške: <kod pogreške>. Pogledajte https://go.microsoft.com/fwlink/?linkid=2181030 |
Događaj 2
Ovaj se događaj bilježi kada se EFS klijent pokuša povezati s EFS poslužiteljem na kojem su instalirana ažuriranja sustava Windows od 14. prosinca 2021. ili nakon toga i postavite postavku registra AllowAllCliAuthna 1.
Zapisnik događaja |
Aplikacija |
Vrsta događaja |
Upozorenje |
Izvor događaja |
EFS |
ID događaja |
4421 |
Tekst događaja |
Dopuštena je klijentska provjera autentičnosti koja se naziva API-jem servisa EFS bez provjere autentičnosti na razini zaštite privatnosti. Pogledajte https://go.microsoft.com/fwlink/?linkid=2181030. |