Resumo
As atualizações do Windows datadas de 14 de dezembro de 2021 ou posteriores adicionam suporte para privacidade ao nível dos pacotes em clientes do Sistema de Encriptação de Ficheiros (EFS). É necessário que os clientes windows e não Windows EFS utilizem a privacidade ao nível dos pacotes ao ligar a servidores EFS que tenham as atualizações do Windows datadas de 14 de dezembro de 2021 ou posteriores instaladas.
Tomar medidas
Para ajudar a proteger o seu ambiente para evitar interrupções, siga estes passos:
-
Atualize todos os clientes EFS e, em seguida, os servidores ao instalar as atualizações do Windows datadas de ou depois de 14 de dezembro de 2021.
-
A partir de 8 de março de 2022, a atualização da Fase de Imposição, o Modo de imposição será necessário e ativado em todos os servidores EFS do Windows.
Temporização das atualizações do Windows
As atualizações do Windows do EFS serão lançadas em duas fases:
-
Implementação Inicial: Introdução à atualização a 14 de dezembro de 2021.
-
Fase de Imposição: o modo de imposição está ativado. Remoção da chave de registo AllowAllCliAuth .
14 de dezembro de 2021: Fase inicial de implementação
A fase de implementação inicial começa com as atualizações do Windows lançadas a 14 de dezembro de 2021.
Esta versão:
-
A aplicação das atualizações do Windows datadas de ou depois de 14 de dezembro de 2021 resolve o problema descrito no CVE-2021-43217.
A atualização inclui a chave de registo AllowAllCliAuth do Modo de Imposição para ajudar na implementação das atualizações.
EFS na Rede: para ambientes em que o EFS é utilizado para encriptar ficheiros através da rede, de um cliente para um servidor que aloja os ficheiros, recomendamos que o cliente seja atualizado primeiro e, em seguida, o servidor. A atualização dos servidores antes dos clientes causará erros de ligação do EFS.
Para ambientes em que a atualização de clientes EFS antes dos servidores não é possível, fornecemos uma chave de registo denominada AllowAllCliAuth que pode ser definida no servidor para permitir que os clientes EFS não atualizados continuem a ligar até que a atualização do cliente esteja concluída. Depois de os clientes serem atualizados, recomendamos que remova a chave de registo AllowAllCliAuth ou que a defina como 0 para garantir que a correção é imposta em todos os clientes.
8 de março de 2022: Fase de imposição
A segunda fase de implementação começa com a atualização do Windows a ser lançada a 8 de março de 2022. Nesta versão:
-
O suporte para a chave de registo AllowAllCliAuth será removido para garantir que a imposição da correção para CVE-2021-43217 ocorre em todos os clientes e servidores atualizados com a atualização do Windows de 8 de março de 2022.
Informações da chave do registo
O controlo de definição de registo AllowAllCliAuth impõe se os clientes EFS têm de utilizar a privacidade ao nível do pacote ao ligar a um Servidor EFS que tenha instalado atualizações do Windows lançadas entre 14 de dezembro de 2021 e 22 de fevereiro de 2022.
A definição AllowAllCliAuth será ignorada pelos servidores EFS que instalam as atualizações do Windows de 8 de março de 2022 e posteriores.
Subchave de registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Valor |
AllowAllCliAuth |
Tipo de dados |
REG_DWORD |
Dados |
1: O servidor EFS não irá impor a privacidade ao nível do pacote no servidor EFS. 0: Os clientes EFS têm de suportar a privacidade ao nível dos pacotes para se ligarem a um servidor EFS que tenha esta chave de registo definida. Este é o Modo de Imposição. Nota Se a chave de registo não existir num servidor, será utilizada a Predefinição. |
Predefinição |
0 (quando a chave de registo não está definida) |
É necessário reiniciar? |
Não |
Eventos de auditoria
As atualizações do Windows de 14 de dezembro de 2021 adicionam dois novos registos de eventos. Tenha em atenção que estes eventos só podem ser registados uma vez durante uma sessão após um reinício se a definição do registo do Modo de imposição for alterada.
Evento 1
Este evento é registado quando um cliente EFS não atualizado que não suporta tentativas de privacidade ao nível do pacote para ligar a um servidor EFS com atualizações do Windows datadas de ou depois de 14 de dezembro de 2021.
Registo de Eventos |
Aplicação |
Tipo de Evento |
Erro |
Origem do Evento |
EFS |
ID de Evento |
4420 |
Texto do Evento |
Um cliente tentou chamar uma API do serviço EFS sem autenticação de nível de privacidade. Código de erro: <errorCode>. Ver https://go.microsoft.com/fwlink/?linkid=2181030 |
Evento 2
Este evento é registado quando um cliente EFS tenta ligar a um servidor EFS que instalou atualizações do Windows datadas de ou depois de 14 de dezembro de 2021 e defina a definição de registo AllowAllCliAuth como 1.
Registo de Eventos |
Aplicação |
Tipo de Evento |
Aviso |
Origem do Evento |
EFS |
ID de Evento |
4421 |
Texto do Evento |
Foi permitido um cliente que chamou uma API de serviço EFS sem autenticação de nível de privacidade. Veja https://go.microsoft.com/fwlink/?linkid=2181030. |