Сводка
Обновления Windows от 14 декабря 2021 г. или позже добавляют поддержку конфиденциальности на уровне пакетов в клиентах шифруемой файловой системы (EFS). При подключении к серверам EFS, на которых установлены обновления Windows 14 декабря 2021 г. или позже, необходимо, чтобы клиенты EFS и другие клиенты EFS использовали конфиденциальность на уровне пакетов.
Принять меры
Чтобы защитить среду и избежать сбоев, выполните следующие действия.
-
Обновите все клиенты EFS, а затем серверы, установив обновления Windows от 14 декабря 2021 г. или позже.
-
Начиная с обновления этапа принудительного применения от 8 марта 2022 г. режим принудительного применения будет необходим и включен на всех серверах Windows EFS.
Время обновления Windows
Обновления EFS для Windows будут выпущены в два этапа:
-
Первоначальное развертывание. Введение обновления 14 декабря 2021 г.
-
Этап принудительного применения: режим принудительного применения включен. Удаление раздела реестра AllowAllCliAuth .
14 декабря 2021 г.: этап первоначального развертывания
Начальный этап развертывания начинается с обновлений Windows, выпущенных 14 декабря 2021 г.
Этот выпуск:
-
Применение обновлений Windows от 14 декабря 2021 г. или позже устраняет проблему, описанную в CVE-2021-43217.
Обновление включает раздел реестра AllowAllCliAuth в режиме принудительного применения, который поможет при развертывании обновлений.
EFS в сети. Для сред, в которых EFS используется для шифрования файлов по сети, от клиента до сервера, на котором размещены файлы, рекомендуется сначала обновить клиент, а затем сервер. Обновление серверов до клиентов приведет к ошибкам подключения EFS.
Для сред, в которых обновление клиентов EFS до серверов невозможно, мы предоставили раздел реестра с именем AllowAllCliAuth , который можно задать на сервере, чтобы разрешить не обновленным клиентам EFS продолжать подключение до завершения обновления клиента. После обновления клиентов рекомендуется удалить раздел реестра AllowAllCliAuth или задать для него значение 0 , чтобы убедиться, что исправление применено ко всем клиентам.
8 марта 2022 г.: этап принудительного применения
Второй этап развертывания начинается с обновления Windows, выпущенного 8 марта 2022 г. В этом выпуске:
-
Поддержка раздела реестра AllowAllCliAuth будет удалена , чтобы обеспечить принудительное применение исправления для CVE-2021-43217 на всех клиентах и серверах, обновленных с обновлением Windows от 8 марта 2022 г.
Сведения о разделе реестра
Параметр реестра AllowAllCliAuth определяет, должны ли клиенты EFS использовать конфиденциальность на уровне пакетов при подключении к серверу EFS, на котором установлены обновления Windows, выпущенные в период с 14 декабря 2021 г. по 22 февраля 2022 г.
Параметр AllowAllCliAuth будет игнорироваться серверами EFS, устанавливающими обновления Windows от 8 марта 2022 г. и более поздних версий.
Подраздел реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Значение |
AllowAllCliAuth |
Тип данных |
REG_DWORD |
Данные |
1. Сервер EFS не будет обеспечивать конфиденциальность на уровне пакетов на сервере EFS. 0. Клиенты EFS должны поддерживать конфиденциальность на уровне пакетов для подключения к серверу EFS, для которого задан этот раздел реестра. Это режим принудительного применения. Примечание Если раздел реестра не существует на сервере, используется параметр По умолчанию. |
По умолчанию |
0 (если раздел реестра не задан) |
Требуется ли перезапуск? |
Нет |
События аудита
Обновления Windows от 14 декабря 2021 г. добавляют два новых журнала событий. Обратите внимание, что эти события могут быть зарегистрированы только один раз во время сеанса после перезапуска, если параметр реестра режима принудительного применения изменен.
Событие 1
Это событие регистрируется, когда необновленный клиент EFS, который не поддерживает конфиденциальность на уровне пакетов, пытается подключиться к серверу EFS с обновлениями Windows, датируемыми 14 декабря 2021 г. или позже.
Журнал событий |
Приложение |
Тип события |
Ошибка |
Источник события |
EFS |
Идентификатор события |
4420 |
Текст события |
Клиент пытался вызвать API службы EFS без проверки подлинности на уровне конфиденциальности. Код ошибки: <errorCode>. См . https://go.microsoft.com/fwlink/?linkid=2181030 |
Событие 2
Это событие регистрируется, когда клиент EFS пытается подключиться к серверу EFS, на котором установлены обновления Windows, датированные 14 декабря 2021 г. или позже, и для параметра реестра AllowAllCliAuth задано значение 1.
Журнал событий |
Приложение |
Тип события |
Предупреждение |
Источник события |
EFS |
Идентификатор события |
4421 |
Текст события |
Клиент, который вызвал API службы EFS без проверки подлинности на уровне конфиденциальности, был разрешен. См . https://go.microsoft.com/fwlink/?linkid=2181030. |