Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Rezumat

Actualizările Windows datate la sau după 14 decembrie 2021 adaugă suport pentru confidențialitatea la nivel de pachet pentru clienții Encrypting File System (EFS). Este necesar ca atât clienții Windows, cât și cei non-Windows EFS să utilizeze confidențialitatea la nivel de pachet atunci când se conectează la serverele EFS care au actualizările Windows datate pe sau după 14 decembrie 2021 instalate.

Luați măsuri

Pentru a contribui la protejarea mediului dvs. pentru a evita întreruperile, urmați acești pași:

  1. Actualizați toți clienții EFS, apoi serverele, instalând actualizările Windows datate pe sau după 14 decembrie 2021.

  2. Începând cu 8 martie 2022, actualizarea fazei de impunere, modul Impunere va fi necesar și activat pe toate serverele Windows EFS.

Temporizarea actualizărilor Windows

Actualizările Windows EFS vor fi lansate în două faze:

  1. Implementare inițială: Introducerea actualizării pe 14 decembrie 2021.

  2. Faza de impunere: Modul impunere este activat. Eliminarea cheii de registry AllowAllCliAuth .

14 decembrie 2021: Etapa inițială de implementare

Faza inițială de implementare începe cu actualizările Windows lansate pe 14 decembrie 2021.

Această versiune:

  • Aplicarea actualizărilor Windows datate la sau după 14 decembrie 2021 tratează problema prezentată în CVE-2021-43217.

Actualizarea include cheia de registry AllowAllCliAuth pentru a ajuta la implementarea actualizărilor.

EFS în rețea: Pentru mediile în care EFS este utilizat pentru a cripta fișiere prin rețea, de la un client la un server care găzduiește fișierele, vă recomandăm ca clientul să fie actualizat mai întâi, apoi serverul. Actualizarea serverelor înaintea clienților va provoca erori de conexiune EFS.

Pentru mediile în care actualizarea clienților EFS înainte de servere nu este posibilă, am furnizat o cheie de registry numită AllowAllCliAuth care poate fi setată pe server pentru a permite clienților EFS ne-actualizați să se conecteze în continuare până la finalizarea actualizării clientului. După actualizarea clienților, vă recomandăm să eliminați cheia de registry AllowAllCliAuth sau să o setați la 0 pentru a vă asigura că remedierea este impusă pentru toți clienții.

8 martie 2022: Faza de impunere

A doua fază de implementare începe cu actualizarea Windows care va fi lansată pe 8 martie 2022. În această versiune:

  • Suportul pentru cheia de registry AllowAllCliAuth va fi eliminat pentru a vă asigura că impunerea remedierii pentru CVE-2021-43217 are loc pe toți clienții și serverele actualizate cu actualizarea Windows din 8 martie 2022.

Informații despre cheia de registry

Controlul setării de registry AllowAllCliAuth impune dacă clienții EFS trebuie să utilizeze confidențialitatea la nivel de pachet atunci când se conectează la un server EFS care a instalat actualizări Windows lansate între 14 decembrie 2021 și 22 februarie 2022.

Setarea AllowAllCliAuth va fi ignorată de serverele EFS care instalează actualizările Windows din 8 martie 2022 și ulterioare.

Subcheie de registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS

Valoare

AllowAllCliAuth

Tip de date

REG_DWORD

Date

1: Serverul EFS nu va impune confidențialitatea la nivel de pachet pe serverul EFS.

0: Clienții EFS trebuie să accepte confidențialitatea la nivel de pachet pentru a se conecta la un server EFS care are acest set de chei de registry. Acesta este modul Impunere.

Notă Dacă cheia de registry nu există pe un server, atunci se utilizează setarea Implicit.

Valoare Implicită

0 (atunci când cheia de registry nu este setată)

Este necesară o repornire?

Nu

Evenimente de audit

Actualizările Windows din 14 decembrie 2021 adaugă două jurnale de evenimente noi. Rețineți că aceste evenimente pot fi înregistrate o singură dată în timpul unei sesiuni după o repornire, dacă setarea de registry pentru modul Impunere este modificată.

Evenimentul 1

Acest eveniment este înregistrat atunci când un client EFS ne-actualizat care nu acceptă încercările de confidențialitate la nivel de pachet de a se conecta la un server EFS care are actualizări Windows datate la sau după 14 decembrie 2021.

Jurnal de evenimente

Aplicație

Tip eveniment

Eroare

Sursa de eveniment

EFS

ID eveniment

4420

Text eveniment

Un client a încercat să apeleze un API de serviciu EFS fără autentificarea la nivel de confidențialitate. Cod de eroare: <errorCode>. Consultați https://go.microsoft.com/fwlink/?linkid=2181030

Evenimentul 2

Acest eveniment este înregistrat atunci când un client EFS încearcă să se conecteze la un server EFS care a instalat actualizări Windows datate pe sau după 14 decembrie 2021 și setați setarea de registry AllowAllCliAuth la 1.

Jurnal de evenimente

Aplicație

Tip eveniment

Avertisment

Sursa de eveniment

EFS

ID eveniment

4421

Text eveniment

Un client care a apelat un API de serviciu EFS fără autentificare la nivel de confidențialitate a fost permis. Vezi https://go.microsoft.com/fwlink/?linkid=2181030.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.