Riassunto
Gli aggiornamenti di Windows rilasciati dopo il 14 dicembre 2021 aggiungono il supporto per la privacy a livello di pacchetto nei client Encrypting File System (EFS). È necessario che i client Windows e non Windows EFS utilizzino la privacy a livello di pacchetto quando si connettono a server EFS in cui sono installati gli aggiornamenti di Windows datati 14 dicembre 2021 o successivamente.
Intervenire
Per proteggere l'ambiente in modo da evitare interruzioni, seguire questa procedura:
-
Aggiornare tutti i client EFS e quindi i server installando gli aggiornamenti di Windows datati 14 dicembre 2021 o successivamente.
-
A partire dall'aggiornamento della fase di applicazione dell'8 marzo 2022, la modalità di applicazione sarà obbligatoria e abilitata in tutti i server Windows EFS.
Tempistiche degli aggiornamenti di Windows
Gli aggiornamenti di Windows per EFS verranno rilasciati in due fasi:
-
Distribuzione iniziale: introduzione dell'aggiornamento del 14 dicembre 2021.
-
Fase di applicazione: la modalità di applicazione è abilitata. Rimozione della chiave del Registro di sistema AllowAllCliAuth .
14 dicembre 2021: fase di distribuzione iniziale
La fase di distribuzione iniziale inizia con gli aggiornamenti di Windows rilasciati il 14 dicembre 2021.
Questa versione:
-
L'applicazione degli aggiornamenti di Windows datati 14 dicembre 2021 o successiva risolve il problema descritto in CVE-2021-43217.
L'aggiornamento include la chiave del Registro di sistema AllowAllCliAuth modalità di applicazione per facilitare la distribuzione degli aggiornamenti.
EFS in rete: per gli ambienti in cui EFS viene usato per crittografare i file in rete, da un client a un server che ospita i file, è consigliabile aggiornare prima il client e poi il server. L'aggiornamento dei server prima dei client causerà errori di connessione EFS.
Per gli ambienti in cui non è possibile aggiornare i client EFS prima che i server siano possibili, è stata fornita una chiave del Registro di sistema denominata AllowAllCliAuth che può essere impostata sul server per consentire ai client EFS non aggiornati di continuare a connettersi fino al completamento dell'aggiornamento del client. Dopo l'aggiornamento dei client, è consigliabile rimuovere la chiave del Registro di sistema AllowAllCliAuth o impostarla su 0 per assicurarsi che la correzione venga applicata a tutti i client.
8 marzo 2022: fase di applicazione
La seconda fase di distribuzione inizia con l'aggiornamento di Windows che verrà rilasciato l'8 marzo 2022. In questa versione:
-
Il supporto per la chiave del Registro di sistema AllowAllCliAuth verrà rimosso per assicurarsi che l'applicazione della correzione per CVE-2021-43217 si verifichi in tutti i client e server aggiornati con l'aggiornamento di Windows dell'8 marzo 2022.
Informazioni sulla chiave del Registro di sistema
Il controllo delle impostazioni del Registro di sistema AllowAllCliAuth impone se i client EFS devono utilizzare la privacy a livello di pacchetto quando si connettono a un server EFS che ha installato gli aggiornamenti di Windows rilasciati tra il 14 dicembre 2021 e il 22 febbraio 2022.
L'impostazione AllowAllCliAuth verrà ignorata dai server EFS che installano gli aggiornamenti di Windows dell'8 marzo 2022 e successivi.
|
Sottochiave del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
Valore |
AllowAllCliAuth |
|
Tipo di dati |
REG_DWORD |
|
Dati |
1: Il server EFS non applica la privacy a livello di pacchetto sul server EFS. 0: I client EFS devono supportare la privacy a livello di pacchetto per connettersi a un server EFS con questa chiave del Registro di sistema impostata. Questa è la modalità di applicazione. Nota Se la chiave del Registro di sistema non esiste in un server, viene usata l'impostazione Predefinito. |
|
Predefinita |
0 (quando la chiave del Registro di sistema non è impostata) |
|
È necessario riavviare il sistema? |
No |
Eventi di controllo
Gli aggiornamenti di Windows del 14 dicembre 2021 aggiungono due nuovi log eventi. Tieni presente che questi eventi possono essere registrati una sola volta durante una sessione dopo un riavvio se viene modificata l'impostazione del Registro di sistema Modalità di applicazione.
Evento 1
Questo evento viene registrato quando un client EFS non aggiornato che non supporta i tentativi di privacy a livello di pacchetto di connettersi a un server EFS con aggiornamenti di Windows datati 14 dicembre 2021 o successivi.
|
Registro eventi |
Applicazione |
|
Tipo di evento |
Errore |
|
Origine evento |
EFS |
|
ID evento |
4420 |
|
Testo evento |
Un client ha tentato di chiamare un'API del servizio EFS senza autenticazione a livello di privacy. Codice di errore: <> errorCode. Vedi https://go.microsoft.com/fwlink/?linkid=2181030 |
Evento 2
Questo evento viene registrato quando un client EFS tenta di connettersi a un server EFS che ha installato aggiornamenti di Windows con data 14 dicembre 2021 o successiva e imposta l'impostazione del Registro di sistema AllowAllCliAuth su 1.
|
Registro eventi |
Applicazione |
|
Tipo di evento |
Attenzione |
|
Origine evento |
EFS |
|
ID evento |
4421 |
|
Testo evento |
Era consentito un client che chiamava un'API del servizio EFS senza autenticazione a livello di privacy. Vedere https://go.microsoft.com/fwlink/?linkid=2181030. |
