Rezumat
Actualizările Windows datate la sau după 14 decembrie 2021 adaugă suport pentru confidențialitatea la nivel de pachet pentru clienții Encrypting File System (EFS). Este necesar ca atât clienții Windows, cât și cei non-Windows EFS să utilizeze confidențialitatea la nivel de pachet atunci când se conectează la serverele EFS care au actualizările Windows datate pe sau după 14 decembrie 2021 instalate.
Luați măsuri
Pentru a contribui la protejarea mediului dvs. pentru a evita întreruperile, urmați acești pași:
-
Actualizați toți clienții EFS, apoi serverele, instalând actualizările Windows datate pe sau după 14 decembrie 2021.
-
Începând cu 8 martie 2022, actualizarea fazei de impunere, modul Impunere va fi necesar și activat pe toate serverele Windows EFS.
Temporizarea actualizărilor Windows
Actualizările Windows EFS vor fi lansate în două faze:
-
Implementare inițială: Introducerea actualizării pe 14 decembrie 2021.
-
Faza de impunere: Modul impunere este activat. Eliminarea cheii de registry AllowAllCliAuth .
14 decembrie 2021: Etapa inițială de implementare
Faza inițială de implementare începe cu actualizările Windows lansate pe 14 decembrie 2021.
Această versiune:
-
Aplicarea actualizărilor Windows datate la sau după 14 decembrie 2021 tratează problema prezentată în CVE-2021-43217.
Actualizarea include cheia de registry AllowAllCliAuth pentru a ajuta la implementarea actualizărilor.
EFS în rețea: Pentru mediile în care EFS este utilizat pentru a cripta fișiere prin rețea, de la un client la un server care găzduiește fișierele, vă recomandăm ca clientul să fie actualizat mai întâi, apoi serverul. Actualizarea serverelor înaintea clienților va provoca erori de conexiune EFS.
Pentru mediile în care actualizarea clienților EFS înainte de servere nu este posibilă, am furnizat o cheie de registry numită AllowAllCliAuth care poate fi setată pe server pentru a permite clienților EFS ne-actualizați să se conecteze în continuare până la finalizarea actualizării clientului. După actualizarea clienților, vă recomandăm să eliminați cheia de registry AllowAllCliAuth sau să o setați la 0 pentru a vă asigura că remedierea este impusă pentru toți clienții.
8 martie 2022: Faza de impunere
A doua fază de implementare începe cu actualizarea Windows care va fi lansată pe 8 martie 2022. În această versiune:
-
Suportul pentru cheia de registry AllowAllCliAuth va fi eliminat pentru a vă asigura că impunerea remedierii pentru CVE-2021-43217 are loc pe toți clienții și serverele actualizate cu actualizarea Windows din 8 martie 2022.
Informații despre cheia de registry
Controlul setării de registry AllowAllCliAuth impune dacă clienții EFS trebuie să utilizeze confidențialitatea la nivel de pachet atunci când se conectează la un server EFS care a instalat actualizări Windows lansate între 14 decembrie 2021 și 22 februarie 2022.
Setarea AllowAllCliAuth va fi ignorată de serverele EFS care instalează actualizările Windows din 8 martie 2022 și ulterioare.
Subcheie de registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Valoare |
AllowAllCliAuth |
Tip de date |
REG_DWORD |
Date |
1: Serverul EFS nu va impune confidențialitatea la nivel de pachet pe serverul EFS. 0: Clienții EFS trebuie să accepte confidențialitatea la nivel de pachet pentru a se conecta la un server EFS care are acest set de chei de registry. Acesta este modul Impunere. Notă Dacă cheia de registry nu există pe un server, atunci se utilizează setarea Implicit. |
Valoare Implicită |
0 (atunci când cheia de registry nu este setată) |
Este necesară o repornire? |
Nu |
Evenimente de audit
Actualizările Windows din 14 decembrie 2021 adaugă două jurnale de evenimente noi. Rețineți că aceste evenimente pot fi înregistrate o singură dată în timpul unei sesiuni după o repornire, dacă setarea de registry pentru modul Impunere este modificată.
Evenimentul 1
Acest eveniment este înregistrat atunci când un client EFS ne-actualizat care nu acceptă încercările de confidențialitate la nivel de pachet de a se conecta la un server EFS care are actualizări Windows datate la sau după 14 decembrie 2021.
Jurnal de evenimente |
Aplicație |
Tip eveniment |
Eroare |
Sursa de eveniment |
EFS |
ID eveniment |
4420 |
Text eveniment |
Un client a încercat să apeleze un API de serviciu EFS fără autentificarea la nivel de confidențialitate. Cod de eroare: <errorCode>. Consultați https://go.microsoft.com/fwlink/?linkid=2181030 |
Evenimentul 2
Acest eveniment este înregistrat atunci când un client EFS încearcă să se conecteze la un server EFS care a instalat actualizări Windows datate pe sau după 14 decembrie 2021 și setați setarea de registry AllowAllCliAuth la 1.
Jurnal de evenimente |
Aplicație |
Tip eveniment |
Avertisment |
Sursa de eveniment |
EFS |
ID eveniment |
4421 |
Text eveniment |
Un client care a apelat un API de serviciu EFS fără autentificare la nivel de confidențialitate a fost permis. Vezi https://go.microsoft.com/fwlink/?linkid=2181030. |