Podsumowanie
Aktualizacje systemu Windows z dnia 14 grudnia 2021 r. i później dodają obsługę prywatności na poziomie pakietów w klientach systemu szyfrowania plików (EFS). Podczas nawiązywania połączenia z serwerami EFS, na których są zainstalowane aktualizacje systemu Windows lub po 14 grudnia 2021 r., zarówno klienci systemu Windows, jak i spoza systemu Windows używają prywatności na poziomie pakietów.
Podejmij działanie
Aby chronić środowisko w celu uniknięcia przerw w dostawie prądu, wykonaj następujące czynności:
-
Zaktualizuj wszystkich klientów EFS, a następnie serwery, instalując aktualizacje systemu Windows z dnia 14 grudnia 2021 r. lub później.
-
Począwszy od aktualizacji fazy wymuszania z 8 marca 2022 r., tryb wymuszania będzie wymagany i włączony na wszystkich serwerach systemu Windows EFS.
Chronometraż aktualizacji systemu Windows
Aktualizacje systemu Windows efs zostaną wydane w dwóch fazach:
-
Wdrożenie początkowe: wprowadzenie do aktualizacji 14 grudnia 2021 r.
-
Faza wymuszania: tryb wymuszania jest włączony. Usunięcie klucza rejestru AllowAllCliAuth .
14 grudnia 2021 r.: Początkowa faza wdrażania
Początkowa faza wdrażania rozpoczyna się od aktualizacji systemu Windows wydanych 14 grudnia 2021 r.
Ta wersja:
-
Zastosowanie aktualizacji systemu Windows z dnia 14 grudnia 2021 r. lub później rozwiązuje problem opisany w cve-2021-43217.
Aktualizacja zawiera klucz rejestru AllowAllCliAuth trybu wymuszania, który ułatwia wdrażanie aktualizacji.
EFS w sieci: W przypadku środowisk, w których efs jest używany do szyfrowania plików przez sieć, od klienta do serwera hostującego pliki, zalecamy najpierw zaktualizowanie klienta, a następnie serwera. Aktualizowanie serwerów przed klientami spowoduje błędy połączenia EFS.
W przypadku środowisk, w których aktualizowanie klientów EFS przed serwerami nie jest możliwe, dostarczyliśmy klucz rejestru o nazwie AllowAllCliAuth , który można ustawić na serwerze w celu umożliwienia nie zaktualizowanym klientom EFS kontynuowania nawiązywania połączenia do czasu ukończenia aktualizacji klienta. Po zaktualizowaniu klientów zalecamy usunięcie klucza rejestru AllowAllCliAuth lub ustawienie go na wartość 0 w celu upewnienia się, że poprawka jest wymuszana we wszystkich klientach.
8 marca 2022 r.: Faza egzekwowania przepisów
Druga faza wdrażania rozpoczyna się od wydania aktualizacji systemu Windows 8 marca 2022 r. W tej wersji:
-
Obsługa klucza rejestru AllowAllCliAuth zostanie usunięta w celu upewnienia się, że wymuszanie poprawki dla cve-2021-43217 występuje na wszystkich klientach i serwerach zaktualizowanych za pomocą aktualizacji systemu Windows z 8 marca 2022 r.
Informacje o kluczu rejestru
Kontrola ustawienia rejestru AllowAllCliAuth wymusza, czy klienci EFS muszą używać prywatności na poziomie pakietów podczas nawiązywania połączenia z serwerem EFS, na którym zainstalowano aktualizacje systemu Windows wydane między 14 grudnia 2021 r. a 22 lutego 2022 r.
Ustawienie AllowAllCliAuth zostanie zignorowane przez serwery EFS, które zainstalują aktualizacje systemu Windows z 8 marca 2022 r. i nowsze.
Podklucz rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Wartość |
AllowAllCliAuth |
Typ danych |
REG_DWORD |
dane |
1: Serwer EFS nie będzie wymuszał prywatności na poziomie pakietów na serwerze EFS. 0: Klienci EFS muszą obsługiwać prywatność na poziomie pakietów, aby połączyć się z serwerem EFS, na którym jest ustawiony ten klucz rejestru. Jest to tryb wymuszania. Uwaga Jeśli klucz rejestru nie istnieje na serwerze, zostanie użyte ustawienie Domyślne. |
Domyślne |
0 (jeśli nie ustawiono klucza rejestru) |
Czy jest wymagane ponowne uruchomienie komputera? |
Nie |
Inspekcja zdarzeń
Aktualizacje systemu Windows z 14 grudnia 2021 r. dodają dwa nowe dzienniki zdarzeń. Należy pamiętać, że te zdarzenia mogą być rejestrowane tylko raz w trakcie sesji po ponownym uruchomieniu, jeśli zmieniono ustawienie rejestru trybu wymuszenia.
Zdarzenie 1
To zdarzenie jest rejestrowane, gdy nie zaktualizowano klienta EFS, który nie obsługuje ochrony prywatności na poziomie pakietów, próbuje nawiązać połączenie z serwerem EFS z aktualizacjami systemu Windows z dnia 14 grudnia 2021 r. lub później.
Dziennik zdarzeń |
Zastosowanie |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
EFS |
Identyfikator zdarzenia |
4420 |
Tekst zdarzenia |
Klient próbował zadzwonić do interfejsu API usługi EFS bez uwierzytelniania na poziomie prywatności. Kod błędu: <> kod błędu. Zobacz https://go.microsoft.com/fwlink/?linkid=2181030 |
Zdarzenie 2
To zdarzenie jest rejestrowane, gdy klient systemu EFS próbuje nawiązać połączenie z serwerem EFS, na którym zainstalowano aktualizacje systemu Windows z dnia 14 grudnia 2021 r. lub później, i ustawić dla ustawienia rejestru AllowAllCliAuthwartość 1.
Dziennik zdarzeń |
Zastosowanie |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
EFS |
Identyfikator zdarzenia |
4421 |
Tekst zdarzenia |
Klient, który nazwał interfejs API usługi EFS bez uwierzytelniania na poziomie prywatności, był dozwolony. Zobacz https://go.microsoft.com/fwlink/?linkid=2181030. |