Samenvatting
Windows-updates van of na 14 december 2021 voegen ondersteuning toe voor privacy op pakketniveau op EFS-clients (Encrypting File System). Het is vereist dat zowel Windows- als niet-Windows EFS-clients privacy op pakketniveau gebruiken bij het maken van verbinding met EFS-servers waarop de Windows-updates zijn geïnstalleerd op of na 14 december 2021.
Actie ondernemen
Voer de volgende stappen uit om uw omgeving te beschermen om storingen te voorkomen:
-
Werk alle EFS-clients en vervolgens servers bij door de Windows-updates te installeren die zijn gedateerd op of na 14 december 2021.
-
Vanaf de update van de afdwingingsfase van 8 maart 2022 is de afdwingingsmodus vereist en ingeschakeld op alle Windows EFS-servers.
Timing van Windows-updates
De EFS Windows-updates worden uitgebracht in twee fasen:
-
Initiële implementatie: introductie van de update op 14 december 2021.
-
Afdwingingsfase: de afdwingingsmodus is ingeschakeld. Verwijdering van de registersleutel AllowAllCliAuth .
14 december 2021: Eerste implementatiefase
De eerste implementatiefase begint met de Windows-updates die zijn uitgebracht op 14 december 2021.
Deze release:
-
Door de Windows-updates van of na 14 december 2021 toe te passen, wordt het probleem opgelost dat wordt beschreven in CVE-2021-43217.
De update bevat de registersleutel AllowAllCliAuth in de afdwingingsmodus om te helpen bij de implementatie van de updates.
EFS op netwerk: voor omgevingen waarin EFS wordt gebruikt om bestanden via het netwerk te versleutelen, van een client naar een server die als host fungeert voor de bestanden, raden we aan dat de client eerst wordt bijgewerkt en vervolgens de server. Het bijwerken van servers vóór clients veroorzaakt EFS-verbindingsfouten.
Voor omgevingen waarin het bijwerken van EFS-clients vóór servers niet mogelijk is, hebben we een registersleutel met de naam AllowAllCliAuth opgegeven die op de server kan worden ingesteld, zodat niet-bijgewerkte EFS-clients verbinding kunnen blijven maken totdat de clientupdate is voltooid. Nadat clients zijn bijgewerkt, raden we u aan de registersleutel AllowAllCliAuth te verwijderen of deze in te stellen op 0 om ervoor te zorgen dat de oplossing wordt afgedwongen op alle clients.
8 maart 2022: Afdwingingsfase
De tweede implementatiefase begint met de Windows-update die wordt uitgebracht op 8 maart 2022. In deze release:
-
Ondersteuning voor de registersleutel AllowAllCliAuth wordt verwijderd om ervoor te zorgen dat het afdwingen van de oplossing voor CVE-2021-43217 plaatsvindt op alle clients en servers die zijn bijgewerkt met de Windows-update van 8 maart 2022.
Registersleutelgegevens
Met het besturingselement voor registerinstellingen AllowAllCliAuth wordt afgedwongen of EFS-clients privacy op pakketniveau moeten gebruiken bij het maken van verbinding met een EFS-server waarop Windows-updates zijn geïnstalleerd die zijn uitgebracht tussen 14 december 2021 en 22 februari 2022.
De instelling AllowAllCliAuth wordt genegeerd door EFS-servers die de Windows-updates van 8 maart 2022 en hoger installeren.
Registersubsleutel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Waarde |
AllowAllCliAuth |
Gegevenstype |
REG_DWORD |
Gegevens |
1: De EFS-server dwingt geen privacy op pakketniveau af op de EFS-server. 0: EFS-clients moeten privacy op pakketniveau ondersteunen om verbinding te maken met een EFS-server waarop deze registersleutel is ingesteld. Dit is de afdwingingsmodus. Opmerking Als de registersleutel niet op een server bestaat, wordt de standaardinstelling gebruikt. |
Standaard |
0 (wanneer registersleutel niet is ingesteld) |
Is opnieuw opstarten vereist? |
Nee |
Controle-gebeurtenissen
De Windows-updates van 14 december 2021 voegen twee nieuwe gebeurtenislogboeken toe. Houd er rekening mee dat deze gebeurtenissen tijdens een sessie na het opnieuw opstarten slechts eenmaal kunnen worden geregistreerd als de registerinstelling voor de afdwingingsmodus is gewijzigd.
Gebeurtenis 1
Deze gebeurtenis wordt geregistreerd wanneer een niet-bijgewerkte EFS-client die geen ondersteuning biedt voor privacy op pakketniveau probeert verbinding te maken met een EFS-server waarop Windows-updates zijn gedateerd op of na 14 december 2021.
Gebeurtenislogboek |
Toepassing |
Gebeurtenistype |
Fout |
Bron van gebeurtenis |
EFS |
Gebeurtenis-id |
4420 |
Gebeurtenistekst |
Een client heeft geprobeerd een EFS-service-API aan te roepen zonder verificatie op privacyniveau. Foutcode: <errorCode>. Zie https://go.microsoft.com/fwlink/?linkid=2181030 |
Gebeurtenis 2
Deze gebeurtenis wordt geregistreerd wanneer een EFS-client verbinding probeert te maken met een EFS-server waarop Windows-updates zijn geïnstalleerd die zijn gedateerd op of na 14 december 2021 en de registerinstelling AllowAllCliAuth instelt op 1.
Gebeurtenislogboek |
Toepassing |
Gebeurtenistype |
Waarschuwing |
Bron van gebeurtenis |
EFS |
Gebeurtenis-id |
4421 |
Gebeurtenistekst |
Een client die een EFS-service-API zonder verificatie op privacyniveau heeft aangeroepen, is toegestaan. Zie https://go.microsoft.com/fwlink/?linkid=2181030. |