Povzetek
Posodobitve sistema Windows z datumom ali po 14. decembru 2021 dodajo podporo za zasebnost na ravni paketov v odjemalcih šifrirnega datotečnega sistema (EFS). Pri vzpostavljanju povezave s strežniki EFS, ki imajo nameščene posodobitve sistema Windows z datumom 14. decembra 2021 ali po njem, morajo odjemalci šifrirnega sistema Windows uporabljati zasebnost na ravni paketov.
Ukrepajte
Če želite zaščititi okolje in se izogniti izpadom, sledite tem korakom:
-
Posodobite vse odjemalce efS in nato strežnike tako, da namestite posodobitve sistema Windows z datumom ali po 14. decembru 2021.
-
Od 8. marca 2022 bo zahtevan in omogočen način uveljavljanja v vseh strežnikih ŠIFRI za Windows.
Časovna usklajenost posodobitev sistema Windows
Posodobitve sistema Windows za šifrirni datotečni sistem bodo izdane v dveh fazah:
-
Začetna uvedba: posodobitev je bila izdana 14. decembra 2021.
-
Faza uveljavljanja: način uveljavljanja je omogočen. Odstranitev registrskega ključa AllowAllCliAuth .
14. december 2021: faza začetne uvedbe
Faza začetnega uvajanja se začne s posodobitvami sistema Windows, ki so bile izdane 14. decembra 2021.
Ta izdaja:
-
Z uporabo posodobitev sistema Windows z dne 14. decembra 2021 ali po tem, odpravljamo težavo, ki je opisana v CVE-2021-43217.
Posodobitev vključuje registrski ključ AllowAllCliAuth načina uveljavljanja za pomoč pri uvajanju posodobitev.
EFS v omrežju: V okoljih, kjer se šifrirni datotečni sistem uporablja za šifriranje datotek prek omrežja, od odjemalca do strežnika, ki gosti datoteke, priporočamo, da najprej posodobite odjemalca in nato strežnik. Posodabljanje strežnikov, preden odjemalci povzročijo napake pri povezavi EFS.
V okoljih, v katerih posodabljanje odjemalcev EFS pred strežniki ni mogoče, smo omogočili registrski ključ z imenom AllowAllCliAuth , ki ga je mogoče nastaviti v strežniku, da omogočimo ne posodobljene odjemalce EFS za nadaljevanje vzpostavljanja povezave, dokler ni posodobitev odjemalca dokončana. Ko so odjemalci posodobljeni, priporočamo, da odstranite registrski ključ AllowAllCliAuth ali pa ga nastavite na 0 in tako zagotovite, da bo popravek uveljavljen v vseh odjemalcih.
8. marec 2022: faza izvajanja
Druga faza uvajanja se začne s posodobitvijo sistema Windows, ki bo izdana 8. marca 2022. V tej izdaji:
-
Podpora za registrski ključ AllowAllCliAuth bo odstranjena, tako da bo uveljavljanje popravka za CVE-2021-43217 izvedeno v vseh odjemalcih in strežnikih, posodobljenih s posodobitvijo sistema Windows z dne 8. marca 2022.
Informacije o registrskem ključu
Kontrolnik nastavitve registra AllowAllCliAuth vsili, ali morajo odjemalci EFS uporabljati zasebnost na ravni paketa, ko vzpostavljajo povezavo s strežnikom EFS, v katerem so nameščene posodobitve sistema Windows, izdane med 14. decembrom 2021 in 22. februarjem 2022.
Strežniki EFS, ki namestijo posodobitve sistema Windows z dne 8. marca 2022 in novejše posodobitve sistema Windows, prezrejo nastavitev AllowAllCliAuth .
Registrski podključ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Vrednost |
AllowAllCliAuth |
Podatkovni tip |
REG_DWORD |
Podatki |
1: Strežnik EFS ne bo uveljavil zasebnosti na ravni paketov v strežniku EFS. 0: Odjemalci EFS morajo podpirati zasebnost na ravni paketov, če se želite povezati s strežnikom EFS, ki ima ta nabor registrskega ključa. To je način uveljavljanja. Opomba Če registrski ključ ne obstaja v strežniku, je uporabljena privzeta nastavitev. |
Privzeto |
0 (če registrski ključ ni nastavljen) |
Ali je potreben vnovični zagon? |
Ne |
Dogodki nadzora
Posodobitve sistema Windows z dne 14. decembra 2021 dodajo dva nova dnevnika dogodkov. Upoštevajte, da so ti dogodki med sejo lahko zabeleženi le enkrat po vnovičnem zagonu, če se spremeni nastavitev registra načina uveljavljanja.
Dogodek 1
Ta dogodek je zabeležen, ko nepo posodobiti odjemalca EFS, ki ne podpira poskusov zasebnosti na ravni paketov za vzpostavitev povezave s strežnikom EFS, ki ima posodobitve sistema Windows z datumom ali po 14. decembru 2021.
Dnevnik dogodkov |
Uporaba |
Vrsta dogodka |
Napaka |
Vir dogodka |
EFS |
ID dogodka |
4420 |
Besedilo dogodka |
Odjemalec je poskušal poklicati API storitve EFS brez preverjanja pristnosti na ravni zasebnosti. Koda napake: <koda>. Glejte https://go.microsoft.com/fwlink/?linkid=2181030 |
Dogodek 2
Ta dogodek je zabeležen, ko odjemalec EFS poskuša vzpostaviti povezavo s strežnikom EFS, v katerem so nameščene posodobitve sistema Windows z datumom ali po 14. decembru 2021, in nastaviti nastavitev registra AllowAllCliAuth na 1.
Dnevnik dogodkov |
Uporaba |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
EFS |
ID dogodka |
4421 |
Besedilo dogodka |
Odjemalec, ki se je imenoval API storitve EFS brez preverjanja pristnosti na ravni zasebnosti, je bil dovoljen. Glejte https://go.microsoft.com/fwlink/?linkid=2181030. |