Zhrnutie
Aktualizácie Windowsu s dátumom 14. decembra 2021 alebo po tomto dátume pridajú podporu ochrany osobných údajov na úrovni paketov v klientoch systému šifrovania súborov EFS. Pri pripájaní k serverom EFS, ktoré majú aktualizácie Windowsu s dátumom 14. decembra 2021 alebo po ňom, sa vyžaduje, aby klienti systému Windows aj klienti bez systému Windows EFS používali ochranu osobných údajov na úrovni paketov.
Vykonanie akcie
Ak chcete chrániť svoje prostredie, aby ste sa vyhli výpadkom, postupujte takto:
-
Aktualizujte všetkých klientov EFS a potom servery inštaláciou aktualizácií Windowsu z 14. decembra 2021 alebo po ich skončení.
-
Od 8. marca 2022 sa bude na všetkých serveroch EFS systému Windows vyžadovať a povoliť režim presadzovania.
Časovanie aktualizácií Windowsu
Aktualizácie systému Windows efs budú vydané v dvoch fázach:
-
Počiatočné nasadenie: Zavedenie aktualizácie 14. decembra 2021.
-
Fáza vynútenia: Režim presadzovania je povolený. Odstránenie kľúča databázy Registry AllowAllCliAuth .
14. decembra 2021: Počiatočná fáza nasadenia
Počiatočná fáza nasadenia sa začína aktualizáciami Windowsu vydanými 14. decembra 2021.
Toto vydanie:
-
Použitie aktualizácií Windowsu z 14. decembra 2021 alebo po ich skončení sa zaoberá problémom uvedeným v CVE-2021-43217.
Aktualizácia obsahuje kľúč databázy Registry AllowAllCliAuth režim presadzovania na pomoc pri nasadení aktualizácií.
EFS v sieti: V prostrediach, v ktorých sa efs používa na šifrovanie súborov cez sieť, od klienta po server hosťovaný súbormi, odporúčame najprv aktualizovať klienta a potom server. Aktualizácia serverov pred klientmi spôsobí chyby pripojenia EFS.
V prostrediach, v ktorých aktualizácia klientov EFS pred servermi nie je možná, sme poskytli kľúč databázy Registry s názvom AllowAllCliAuth , ktorý možno nastaviť na serveri, aby bolo možné pokračovať v pripájaní neaktualizovaných klientov EFS, kým sa nedokončí aktualizácia klienta. Po aktualizácii klientov odporúčame odstrániť kľúč databázy Registry AllowAllCliAuth alebo ho nastaviť na hodnotu 0 , aby sa zabezpečilo vynútenie opravy vo všetkých klientoch.
8. marca 2022: Fáza presadzovania
Druhá fáza nasadenia sa začína aktualizáciou windowsu, ktorá bude vydaná 8. marca 2022. V tomto vydaní:
-
Podpora kľúča databázy Registry AllowAllCliAuth sa odstráni, aby sa zabezpečilo, že vynútenie opravy CVE-2021-43217 sa vyskytuje na všetkých klientoch a serveroch aktualizovaných aktualizáciou Windowsu z 8. marca 2022.
Informácie o kľúči databázy Registry
Ovládací prvok nastavenia databázy Registry AllowAllCliAuth vynucuje, či klienti EFS musia pri pripájaní k serveru EFS, ktorý má nainštalované aktualizácie windowsu vydané od 14. decembra 2021 do 22. februára 2022, musia používať ochranu osobných údajov na úrovni paketov.
Nastavenie AllowAllCliAuth budú servery EFS, ktoré inštalujú aktualizácie Windowsu z 8. marca 2022 a novšie, ignorovať.
Podkľúč databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Hodnota |
Povoliť všetkoCliAuth |
Typ údajov |
REG_DWORD |
Údaje |
1: Server EFS nebude vynucovať ochranu osobných údajov na úrovni paketov na serveri EFS. 0: Klienti EFS musia podporovať ochranu osobných údajov na úrovni paketov, aby sa mohli pripojiť k serveru EFS s touto množinou kľúčov databázy Registry. Toto je režim presadzovania práva. Poznámka Ak kľúč databázy Registry na serveri neexistuje, použije sa predvolené nastavenie. |
Predvolená |
0 (ak kľúč databázy Registry nie je nastavený) |
Vyžaduje sa reštartovanie? |
Nie |
Udalosti auditovania
Aktualizácie Windowsu zo 14. decembra 2021 pridávaa dva nové denníky udalostí. Všimnite si, že tieto udalosti sa môžu zaznamenať len raz počas relácie po reštarte, ak sa zmení nastavenie databázy Registry režimu presadzovania.
Udalosť 1
Táto udalosť sa zapisuje do denníka, keď sa neaktualizovaný klient EFS, ktorý nepodporuje pokusy o ochranu osobných údajov na úrovni paketov, pokúsi pripojiť k serveru EFS s aktualizáciami Windowsu 14. decembra 2021 alebo po tomto dátume.
Denník udalostí |
Používanie |
Typ udalosti |
Chyba |
Zdroj udalosti |
EFS |
Identifikačné číslo udalosti |
4420 |
Text udalosti |
Klient sa pokúsil zavolať rozhranie API služby EFS bez overenia úrovne ochrany osobných údajov. Kód chyby: <> kód chyby. Zobraziť https://go.microsoft.com/fwlink/?linkid=2181030 |
Udalosť 2
Táto udalosť sa zapisuje do denníka, keď sa klient EFS pokúsi pripojiť k serveru EFS, ktorý má nainštalované aktualizácie systému Windows zo 14. decembra 2021 alebo po tomto dátume, a nastaví nastavenie databázy Registry AllowAllCliAuth na hodnotu 1.
Denník udalostí |
Používanie |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
EFS |
Identifikačné číslo udalosti |
4421 |
Text udalosti |
Klient, ktorý volal rozhranie API služby EFS bez overovania na úrovni ochrany osobných údajov, bol povolený. Pozrite si https://go.microsoft.com/fwlink/?linkid=2181030. |