Samenvatting

De updates van 14 december 2021 Windows ondersteuning voor privacy op pakketniveau voor EFS-clients (Encrypting File System). Het is vereist dat zowel Windows als niet-Windows EFS-clients gebruikmaken van privacy op pakketniveau bij het maken van verbinding met EFS-servers waarop de updates van 14 december 2021 en hoger Windows geïnstalleerd.

Actie ondernemen

Als u uw omgeving wilt beschermen om uitval te voorkomen, volgt u de volgende stappen:

  1. Werk alle EFS-clients en vervolgens servers bij door de updates van 14 december 2021 Windows of later Windows installeren.

  2. Vanaf de update van 8 maart 2022, fase van handhaving, is de afdwingingsmodus vereist en ingeschakeld op alle Windows EFS-servers.

Timing van Windows updates

De EFS-Windows updates worden in twee fasen uitgebracht:

  1. Eerste implementatie: Introductie van de update op 14 december 2021.

  2. Afdwingingsfase: de afdwingingsmodus is ingeschakeld. Verwijdering van registersleutel AllowAllCliAuth.

14 december 2021: Eerste implementatiefase

De eerste implementatiefase begint met de Windows updates die zijn uitgebracht op 14 december 2021.

Deze release:

  • Als u de updates van 14 december 2021 Windows, wordt het probleem opgelost dat wordt beschreven in CVE-2021-43217.

De update bevat de registersleutel Afdwingingsmodus AllowAllCliAuth om te helpen bij de implementatie van de updates.

EFS op netwerk: Voor omgevingen waarin EFS wordt gebruikt voor het versleutelen van bestanden via het netwerk, van een client naar een server waarop de bestanden worden gehost, raden we aan dat de client eerst wordt bijgewerkt en vervolgens op de server. Het bijwerken van servers vóór clients veroorzaakt EFS-verbindingsfouten.

Voor omgevingen waarin het bijwerken van EFS-clients vóór servers niet mogelijk is, hebben we een registersleutel met de naam AllowAllCliAuth geleverd die kan worden ingesteld op de server, zodat niet-bijgewerkte EFS-clients verbinding kunnen blijven maken totdat de clientupdate is voltooid. Nadat clients zijn bijgewerkt, wordt u aangeraden de registersleutel AllowAllCliAuth te verwijderen of deze in te stellen op 0 om ervoor te zorgen dat de fix wordt afgedwongen voor alle clients.

8 maart 2022: Fase van handhaving

De tweede implementatiefase begint met Windows update die wordt uitgebracht op 8 maart 2022. In deze release:

  • Ondersteuning voor de registersleutel AllowAllCliAuth wordt verwijderd om ervoor te zorgen dat de oplossing voor CVE-2021-43217 wordt gehandhaafd op alle clients en servers die zijn bijgewerkt met de update van 8 maart 2022 Windows.

Registersleutelgegevens

Met het registerinstellingsbeheer AllowAllCliAuth wordt afgedwongen of EFS-clients privacy op pakketniveau moeten gebruiken bij het maken van verbinding met een EFS-server die Windows-updates heeft geïnstalleerd die zijn uitgebracht tussen 14 december 2021 en 22 februari 2022.

De instelling AllowAllCliAuth wordt genegeerd door EFS-servers die de updates van 8 maart 2022 en later Windows installeren.

Subsleutel Register

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS

Waarde

AllowAllCliAuth

Gegevenstype

REG_DWORD

Data

1: De EFS-server dwingt de privacy op pakketniveau niet af op de EFS-server.

0: EFS-clients moeten de privacy op pakketniveau ondersteunen om verbinding te maken met een EFS-server met deze registersleutelset. Dit is de afdwingingsmodus.

Opmerking Als de registersleutel niet op een server bestaat, wordt de instelling Standaard gebruikt.

Standaard

0 (wanneer registersleutel niet is ingesteld)

Is een herstart vereist?

Nee

Controlegebeurtenissen

Met de updates van 14 december 2021 Windows worden twee nieuwe gebeurtenislogboeken toegevoegd. Houd er rekening mee dat deze gebeurtenissen slechts eenmaal tijdens een sessie kunnen worden geregistreerd na een herstart als de registerinstelling afdwingen wordt gewijzigd.

Gebeurtenis 1

Deze gebeurtenis wordt geregistreerd wanneer een niet-bijgewerkte EFS-client die geen ondersteuning biedt voor privacy op pakketniveau, probeert verbinding te maken met een EFS-server die de update van 14 december 2021 of een latere Windows heeft geïnstalleerd.

Gebeurtenislogboek

Toepassing

Gebeurtenistype

Fout

Gebeurtenisbron

EFS

Gebeurtenis-id

4420

Gebeurtenistekst

Een client heeft geprobeerd een EFS-service-API te bellen zonder verificatie op privacyniveau. Foutcode: <foutCoderen>. Zie https://go.microsoft.com/fwlink/?linkid=2181030

Gebeurtenis 2

Deze gebeurtenis wordt geregistreerd wanneer een EFS-client verbinding probeert te maken met een EFS-server die de update van 14 december 2021 Windows of een latere update van Windows heeft geïnstalleerd en de registerinstelling AllowAllCliAuth heeft ingesteld op 1.

Gebeurtenislogboek

Toepassing

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

EFS

Gebeurtenis-id

4421

Gebeurtenistekst

Een client die een EFS-service-API zonder verificatie op privacyniveau heeft genoemd, is toegestaan. Zie https://go.microsoft.com/fwlink/?linkid=2181030.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×