要約
2021 年 12 月 14 日以降の Windows 更新プログラムでは、暗号化ファイル システム (EFS) クライアントでパケット レベルのプライバシーがサポートされます。 2021 年 12 月 14 日以降に Windows 更新プログラムがインストールされている EFS サーバーに接続するときは、Windows と Windows 以外の両方の EFS クライアントがパケット レベルのプライバシーを使用する必要があります。
対処方法
停止を回避するために環境を保護するには、次の手順に従います。
-
2021 年 12 月 14 日以降の Windows 更新プログラムをインストールして、すべての EFS クライアントとサーバーを更新します。
-
2022 年 3 月 8 日以降、適用フェーズの更新、強制モードが必要になり、すべての Windows EFS サーバーで有効になります。
Windows 更新プログラムのタイミング
EFS Windows 更新プログラムは、次の 2 つのフェーズでリリースされます。
-
初期デプロイ: 2021 年 12 月 14 日の更新プログラムの概要。
-
強制フェーズ: 強制モードが有効になっています。 AllowAllCliAuth レジストリ キーの削除。
2021 年 12 月 14 日: 初期デプロイ フェーズ
最初の展開フェーズは、2021 年 12 月 14 日にリリースされた Windows 更新プログラムから始まります。
このリリースの内容:
-
2021 年 12 月 14 日以降の Windows 更新プログラムを適用すると、 CVE-2021-43217 に記載されている問題に対処します。
更新プログラムには、更新プログラムの展開に役立つ強制モード AllowAllCliAuth レジストリ キーが含まれています。
ネットワーク上の EFS: EFS を使用してネットワーク経由でファイルを暗号化する環境の場合は、クライアントからファイルをホストしているサーバーまで、最初にクライアントを更新してからサーバーを更新することをお勧めします。 クライアントの前にサーバーを更新すると、EFS 接続エラーが発生します。
サーバーが不可能になる前に EFS クライアントを更新する環境では、サーバー上で 設定できる AllowAllCliAuth という名前のレジストリ キーを指定し、更新されていない EFS クライアントがクライアントの更新が完了するまで接続を続行できるようにします。 クライアントが更新されたら、 AllowAllCliAuth レジストリ キーを削除するか、 0 に設定して、修正プログラムがすべてのクライアントに適用されるようにすることをお勧めします。
2022 年 3 月 8 日: 適用フェーズ
2 番目の展開フェーズは、2022 年 3 月 8 日にリリースされる Windows 更新プログラムから始まります。 このリリースでは、次の操作を行います。
-
2022 年 3 月 8 日の Windows 更新プログラムで更新されたすべてのクライアントとサーバーで、CVE-2021-43217 の修正プログラムの適用が確実に行われるように、AllowAllCliAuth レジストリ キーのサポートが削除されます。
レジストリ キー情報
AllowAllCliAuth レジストリ設定コントロールは、2021 年 12 月 14 日から 2022 年 2 月 22 日の間にリリースされた Windows 更新プログラムをインストールした EFS Server に接続するときに、EFS クライアントがパケット レベルのプライバシーを使用する必要があるかどうかを強制します。
AllowAllCliAuth 設定は、2022 年 3 月 8 日以降の Windows 更新プログラムをインストールする EFS サーバーによって無視されます。
レジストリ サブキー |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
値 |
AllowAllCliAuth |
データの種類 |
REG_DWORD |
データ |
1: EFS サーバーは、EFS サーバーにパケット レベルのプライバシーを適用しません。 0: EFS クライアントは、このレジストリ キーが設定されている EFS サーバーに接続するために、パケット レベルのプライバシーをサポートする必要があります。 これは強制モードです。 注 レジストリ キーがサーバーに存在しない場合は、既定の設定が使用されます。 |
既定値 |
0 (レジストリ キーが設定されていない場合) |
再起動は必要性ですか。 |
X |
イベントの監査
2021 年 12 月 14 日の Windows 更新プログラムでは、2 つの新しいイベント ログが追加されます。 これらのイベントは、強制モードのレジストリ設定が変更された場合、再起動後のセッション中に 1 回だけログに記録される可能性があることに注意してください。
イベント 1
このイベントは、パケット レベルのプライバシーをサポートしていない更新されていない EFS クライアントが、2021 年 12 月 14 日以降に Windows 更新プログラムが適用された EFS サーバーに接続しようとすると記録されます。
Event Log |
アプリケーション |
イベント タイプ |
Error |
イベント ソース |
Efs |
イベント ID |
4420 |
イベント テキスト |
クライアントが、プライバシー レベル認証なしで EFS サービス API を呼び出そうとしました。 エラー コード: errorCode>を<します。 https://go.microsoft.com/fwlink/?linkid=2181030 を参照してください |
イベント 2
このイベントは、EFS クライアントが 2021 年 12 月 14 日以降に Windows 更新プログラムをインストールした EFS サーバーへの接続を試み、 AllowAllCliAuth レジストリ設定を 1 に設定すると記録されます。
Event Log |
アプリケーション |
イベント タイプ |
警告 |
イベント ソース |
Efs |
イベント ID |
4421 |
イベント テキスト |
プライバシー レベル認証なしで EFS サービス API を呼び出すクライアントが許可されました。 「https://go.microsoft.com/fwlink/?linkid=2181030」を参照してください。 |