Összefoglalás
A 2021. december 14-én vagy azt követően dátumozott Windows-frissítések támogatják a csomagszintű adatvédelmet a titkosított fájlrendszerű (EFS) ügyfeleken. Mind a Windows, mind a nem Windows EFS-ügyfeleknek csomagszintű adatvédelmet kell használniuk, amikor olyan EFS-kiszolgálókhoz csatlakoznak, amelyeken a Windows-frissítések 2021. december 14-én vagy azt követően lettek telepítve.
Művelet végrehajtása
A kimaradások elkerülése érdekében a környezet védelméhez kövesse az alábbi lépéseket:
-
Frissítse az összes EFS-ügyfelet és -kiszolgálót a 2021. december 14-én vagy azt követően dátumozott Windows-frissítések telepítésével.
-
2022. március 8-tól kezdve a kényszerítési fázis frissítésétől kezdve a kényszerítési mód minden Windows EFS-kiszolgálón kötelező és engedélyezve lesz.
A Windows-frissítések időzítése
Az EFS Windows-frissítések két fázisban jelennek meg:
-
Kezdeti üzembe helyezés: A frissítés bevezetése 2021. december 14-én.
-
Kényszerítési fázis: A kényszerítési mód engedélyezve van. Az AllowAllCliAuth beállításkulcs eltávolítása.
2021. december 14.: Kezdeti üzembe helyezési fázis
A kezdeti üzembe helyezési fázis a 2021. december 14-én kiadott Windows-frissítésekkel kezdődik.
Ez a kiadás:
-
A 2021. december 14-én vagy azt követően dátumozott Windows-frissítések alkalmazása a CVE-2021-43217-ben ismertetett problémát oldja meg.
A frissítés tartalmazza a Kényszerítési mód AllowAllCliAuth beállításkulcsát, amely segít a frissítések üzembe helyezésében.
EFS a hálózaton: Azokban a környezetekben, ahol az EFS a hálózaton keresztül titkosítja a fájlokat, az ügyféltől a fájlokat üzemeltető kiszolgálóig azt javasoljuk, hogy először az ügyfelet, majd a kiszolgálót frissítse. A kiszolgálók frissítése az ügyfelek előtt EFS-kapcsolati hibákat okoz.
Azokban a környezetekben, ahol az EFS-ügyfelek kiszolgálók előtti frissítése nem lehetséges, egy AllowAllCliAuth nevű beállításkulcsot adtunk meg a kiszolgálón, amely lehetővé teszi, hogy a nem frissített EFS-ügyfelek az ügyfélfrissítés befejezéséig továbbra is csatlakozhassanak. Az ügyfelek frissítése után javasoljuk, hogy távolítsa el az AllowAllCliAuth beállításkulcsot, vagy állítsa 0-ra , hogy a javítás minden ügyfélre érvényes legyen.
2022. március 8.: Kényszerítési fázis
A második üzembe helyezési fázis a 2022. március 8-án megjelenő Windows-frissítéssel kezdődik. Ebben a kiadásban:
-
Az AllowAllCliAuth beállításkulcs támogatása el lesz távolítva, hogy a 2022. március 8-i Windows-frissítéssel frissített összes ügyfélen és kiszolgálón érvénybe lépjen a CVE-2021-43217 hibajavítása.
Beállításkulcs adatai
Az AllowAllCliAuth beállításvezérlő kikényszeríti, hogy az EFS-ügyfeleknek csomagszintű adatvédelmet kell-e használniuk, amikor olyan EFS-kiszolgálóhoz csatlakoznak, amely telepítette a 2021. december 14. és 2022. február 22. között kiadott Windows-frissítéseket.
A 2022. március 8-i és újabb Windows-frissítéseket telepítő EFS-kiszolgálók figyelmen kívül hagyják az AllowAllCliAuth beállítást.
|
Beállításjegyzék alkulcsa |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
Érték |
AllowAllCliAuth |
|
Adattípus |
REG_DWORD |
|
Adat |
1: Az EFS-kiszolgáló nem kényszeríti ki a csomagszintű adatvédelmet az EFS-kiszolgálón. 0: Az EFS-ügyfeleknek támogatniuk kell a csomagszintű adatvédelmet ahhoz, hogy olyan EFS-kiszolgálóhoz csatlakozzanak, amely rendelkezik ezzel a beállításkulcs-készlettel. Ez a kényszerítési mód. Megjegyzés Ha a beállításkulcs nem létezik egy kiszolgálón, akkor a rendszer az Alapértelmezett beállítást használja. |
|
Alapértelmezett |
0 (ha nincs beállítva beállításkulcs) |
|
Újraindításra van szükség? |
Nem |
Naplózási események
A 2021. december 14-i Windows-frissítések két új eseménynaplót adnak hozzá. Vegye figyelembe, hogy ezek az események csak egyszer naplózhatók egy munkamenet során újraindítás után, ha a Kényszerítési mód beállításjegyzék-beállítása módosul.
1. esemény
Ezt az eseményt akkor naplózza a rendszer, ha egy nem frissített EFS-ügyfél, amely nem támogatja a csomagszintű adatvédelemmel kapcsolatos kísérleteket, olyan EFS-kiszolgálóhoz próbál csatlakozni, amely 2021. december 14-én vagy azt követően frissített Windows-frissítéseket tartalmaz.
|
Eseménynapló |
Alkalmazás |
|
Esemény típusa |
Hiba |
|
Eseményforrás |
EFS |
|
Eseményazonosító |
4420 |
|
Esemény szövege |
Egy ügyfél adatvédelmi szintű hitelesítés nélkül kísérelt meg meghívni egy EFS-szolgáltatás API-t. Hibakód: <errorCode>. Lásd: https://go.microsoft.com/fwlink/?linkid=2181030 |
2. esemény
Ezt az eseményt akkor naplózza a rendszer, ha egy EFS-ügyfél olyan EFS-kiszolgálóhoz próbál csatlakozni, amely 2021. december 14-én vagy azt követően telepítette a Windows-frissítéseket, és az AllowAllCliAuth beállításjegyzék-beállítást 1-esre állítja.
|
Eseménynapló |
Alkalmazás |
|
Esemény típusa |
Figyelmeztetés |
|
Eseményforrás |
EFS |
|
Eseményazonosító |
4421 |
|
Esemény szövege |
Engedélyezve volt egy olyan ügyfél, amely adatvédelmi szint nélküli EFS-szolgáltatási API-t hívott meg. Lásd: https://go.microsoft.com/fwlink/?linkid=2181030. |
