Resumo
As atualizações do Windows datadas de 14 de dezembro de 2021 adicionam suporte à privacidade no nível do pacote em clientes do EFS (Sistema de Arquivos Criptografados). É necessário que clientes Windows e não Windows EFS usem privacidade no nível do pacote ao se conectar a servidores EFS que tenham as atualizações do Windows datadas em ou após 14 de dezembro de 2021 instaladas.
Tome medidas
Para ajudar a proteger seu ambiente para evitar interrupções, siga estas etapas:
-
Atualize todos os clientes EFS e, em seguida, servidores instalando as atualizações do Windows datadas em ou após 14 de dezembro de 2021.
-
A partir de 8 de março de 2022, atualização da Fase de Execução, o modo de imposição será necessário e habilitado em todos os servidores EFS do Windows.
Momento das atualizações do Windows
As atualizações do Windows do EFS serão lançadas em duas fases:
-
Implantação inicial: introdução da atualização em 14 de dezembro de 2021.
-
Fase de imposição: o modo de imposição está habilitado. Remoção da chave de registro AllowAllCliAuth .
14 de dezembro de 2021: Fase inicial de implantação
A fase inicial de implantação começa com as atualizações do Windows lançadas em 14 de dezembro de 2021.
Esta versão:
-
A aplicação das atualizações do Windows datadas de 14 de dezembro de 2021 resolve o problema descrito no CVE-2021-43217.
A atualização inclui a chave de registro AllowAllCliAuth do Modo de Execução para ajudar na implantação das atualizações.
EFS on Network: para ambientes em que o EFS é usado para criptografar arquivos pela rede, de um cliente a um servidor que hospeda os arquivos, recomendamos que o cliente seja atualizado primeiro e, em seguida, o servidor. Atualizar servidores antes dos clientes causará erros de conexão EFS.
Para ambientes em que a atualização de clientes EFS antes dos servidores não é possível, fornecemos uma chave de registro chamada AllowAllCliAuth que pode ser definida no servidor para permitir que clientes EFS não atualizados continuem se conectando até que a atualização do cliente seja concluída. Depois que os clientes forem atualizados, recomendamos remover a chave do registro AllowAllCliAuth ou defini-la como 0 para garantir que a correção seja imposta em todos os clientes.
8 de março de 2022: Fase de execução
A segunda fase de implantação começa com a atualização do Windows a ser lançada em 8 de março de 2022. Nesta versão:
-
O suporte para a chave de registro AllowAllCliAuth será removido para garantir que a aplicação da correção para CVE-2021-43217 ocorra em todos os clientes e servidores atualizados com a atualização do Windows de 8 de março de 2022.
Informações da chave do Registro
O controle de configuração de registro AllowAllCliAuth impõe se os clientes EFS devem usar privacidade no nível do pacote ao se conectar a um Servidor EFS que instalou atualizações do Windows lançadas entre 14 de dezembro de 2021 e 22 de fevereiro de 2022.
A configuração AllowAllCliAuth será ignorada pelos servidores EFS que instalam as atualizações do Windows de 8 de março de 2022 e posteriores.
Subchave do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Valor |
AllowAllCliAuth |
Tipo de dados |
REG_DWORD |
Dados |
1: O servidor EFS não imporá a privacidade no nível do pacote no servidor EFS. 0: os clientes EFS devem dar suporte à privacidade no nível do pacote para se conectar a um servidor EFS que tenha esse conjunto de chaves de registro. Este é o Modo de Execução. Observação Se a chave do registro não existir em um servidor, a configuração Padrão será usada. |
Padrão |
0 (quando a chave do Registro não está definida) |
É necessário reiniciar? |
Não |
Auditando eventos
As atualizações do Windows de 14 de dezembro de 2021 adicionam dois novos logs de eventos. Observe que esses eventos podem ser registrados apenas uma vez durante uma sessão após uma reinicialização se a configuração do registro de modo de imposição for alterada.
Evento 1
Esse evento é registrado quando um cliente EFS não atualizado que não dá suporte a tentativas de privacidade no nível do pacote para se conectar a um servidor EFS com atualizações do Windows datadas em 14 de dezembro de 2021 ou após 14 de dezembro de 2021.
Log de Eventos |
Aplicativo |
Tipo de Evento |
Erro |
Origem do evento |
EFS |
ID de Evento |
4420 |
Texto do Evento |
Um cliente tentou chamar uma API de serviço EFS sem autenticação no nível de privacidade. Código de erro: <errorCode>. Consulte https://go.microsoft.com/fwlink/?linkid=2181030 |
Evento 2
Esse evento é registrado quando um cliente EFS tenta se conectar a um servidor EFS que instalou atualizações do Windows datadas em ou após 14 de dezembro de 2021 e define a configuração de registro AllowAllCliAuth como 1.
Log de Eventos |
Aplicativo |
Tipo de Evento |
Aviso |
Origem do evento |
EFS |
ID de Evento |
4421 |
Texto do Evento |
Um cliente que chamou uma API de serviço EFS sem autenticação no nível de privacidade foi permitido. Consulte https://go.microsoft.com/fwlink/?linkid=2181030. |