Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Zhrnutie

Aktualizácie Windowsu s dátumom 14. decembra 2021 alebo po tomto dátume pridajú podporu ochrany osobných údajov na úrovni paketov v klientoch systému šifrovania súborov EFS. Pri pripájaní k serverom EFS, ktoré majú aktualizácie Windowsu s dátumom 14. decembra 2021 alebo po ňom, sa vyžaduje, aby klienti systému Windows aj klienti bez systému Windows EFS používali ochranu osobných údajov na úrovni paketov.

Vykonanie akcie

Ak chcete chrániť svoje prostredie, aby ste sa vyhli výpadkom, postupujte takto:

  1. Aktualizujte všetkých klientov EFS a potom servery inštaláciou aktualizácií Windowsu z 14. decembra 2021 alebo po ich skončení.

  2. Od 8. marca 2022 sa bude na všetkých serveroch EFS systému Windows vyžadovať a povoliť režim presadzovania.

Časovanie aktualizácií Windowsu

Aktualizácie systému Windows efs budú vydané v dvoch fázach:

  1. Počiatočné nasadenie: Zavedenie aktualizácie 14. decembra 2021.

  2. Fáza vynútenia: Režim presadzovania je povolený. Odstránenie kľúča databázy Registry AllowAllCliAuth .

14. decembra 2021: Počiatočná fáza nasadenia

Počiatočná fáza nasadenia sa začína aktualizáciami Windowsu vydanými 14. decembra 2021.

Toto vydanie:

  • Použitie aktualizácií Windowsu z 14. decembra 2021 alebo po ich skončení sa zaoberá problémom uvedeným v CVE-2021-43217.

Aktualizácia obsahuje kľúč databázy Registry AllowAllCliAuth režim presadzovania na pomoc pri nasadení aktualizácií.

EFS v sieti: V prostrediach, v ktorých sa efs používa na šifrovanie súborov cez sieť, od klienta po server hosťovaný súbormi, odporúčame najprv aktualizovať klienta a potom server. Aktualizácia serverov pred klientmi spôsobí chyby pripojenia EFS.

V prostrediach, v ktorých aktualizácia klientov EFS pred servermi nie je možná, sme poskytli kľúč databázy Registry s názvom AllowAllCliAuth , ktorý možno nastaviť na serveri, aby bolo možné pokračovať v pripájaní neaktualizovaných klientov EFS, kým sa nedokončí aktualizácia klienta. Po aktualizácii klientov odporúčame odstrániť kľúč databázy Registry AllowAllCliAuth alebo ho nastaviť na hodnotu 0 , aby sa zabezpečilo vynútenie opravy vo všetkých klientoch.

8. marca 2022: Fáza presadzovania

Druhá fáza nasadenia sa začína aktualizáciou windowsu, ktorá bude vydaná 8. marca 2022. V tomto vydaní:

  • Podpora kľúča databázy Registry AllowAllCliAuth sa odstráni, aby sa zabezpečilo, že vynútenie opravy CVE-2021-43217 sa vyskytuje na všetkých klientoch a serveroch aktualizovaných aktualizáciou Windowsu z 8. marca 2022.

Informácie o kľúči databázy Registry

Ovládací prvok nastavenia databázy Registry AllowAllCliAuth vynucuje, či klienti EFS musia pri pripájaní k serveru EFS, ktorý má nainštalované aktualizácie windowsu vydané od 14. decembra 2021 do 22. februára 2022, musia používať ochranu osobných údajov na úrovni paketov.

Nastavenie AllowAllCliAuth budú servery EFS, ktoré inštalujú aktualizácie Windowsu z 8. marca 2022 a novšie, ignorovať.

Podkľúč databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS

Hodnota

Povoliť všetkoCliAuth

Typ údajov

REG_DWORD

Údaje

1: Server EFS nebude vynucovať ochranu osobných údajov na úrovni paketov na serveri EFS.

0: Klienti EFS musia podporovať ochranu osobných údajov na úrovni paketov, aby sa mohli pripojiť k serveru EFS s touto množinou kľúčov databázy Registry. Toto je režim presadzovania práva.

Poznámka Ak kľúč databázy Registry na serveri neexistuje, použije sa predvolené nastavenie.

Predvolená

0 (ak kľúč databázy Registry nie je nastavený)

Vyžaduje sa reštartovanie?

Nie

Udalosti auditovania

Aktualizácie Windowsu zo 14. decembra 2021 pridávaa dva nové denníky udalostí. Všimnite si, že tieto udalosti sa môžu zaznamenať len raz počas relácie po reštarte, ak sa zmení nastavenie databázy Registry režimu presadzovania.

Udalosť 1

Táto udalosť sa zapisuje do denníka, keď sa neaktualizovaný klient EFS, ktorý nepodporuje pokusy o ochranu osobných údajov na úrovni paketov, pokúsi pripojiť k serveru EFS s aktualizáciami Windowsu 14. decembra 2021 alebo po tomto dátume.

Denník udalostí

Používanie

Typ udalosti

Chyba

Zdroj udalosti

EFS

Identifikačné číslo udalosti

4420

Text udalosti

Klient sa pokúsil zavolať rozhranie API služby EFS bez overenia úrovne ochrany osobných údajov. Kód chyby: <> kód chyby. Zobraziť https://go.microsoft.com/fwlink/?linkid=2181030

Udalosť 2

Táto udalosť sa zapisuje do denníka, keď sa klient EFS pokúsi pripojiť k serveru EFS, ktorý má nainštalované aktualizácie systému Windows zo 14. decembra 2021 alebo po tomto dátume, a nastaví nastavenie databázy Registry AllowAllCliAuth na hodnotu 1.

Denník udalostí

Používanie

Typ udalosti

Upozornenie

Zdroj udalosti

EFS

Identifikačné číslo udalosti

4421

Text udalosti

Klient, ktorý volal rozhranie API služby EFS bez overovania na úrovni ochrany osobných údajov, bol povolený. Pozrite si https://go.microsoft.com/fwlink/?linkid=2181030.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.