Sammanfattning
Windows-uppdateringar daterade 14 december 2021 eller senare lägger till stöd för sekretess på paketnivå på EFS-klienter (Encrypting File System). Det är obligatoriskt att både Windows- och efs-klienter som inte är Windows använder sekretess på paketnivå när de ansluter till EFS-servrar som har Windows-uppdateringarna daterade den 14 december 2021 eller senare installerade.
Vidta åtgärder
Gör så här för att skydda miljön för att undvika avbrott:
-
Uppdatera alla EFS-klienter och sedan servrar genom att installera Windows-uppdateringarna daterade den 14 december 2021 eller senare.
-
Från och med den 8 mars 2022 krävs och aktiveras tillämpningsläget på alla Windows EFS-servrar.
Tidsinställning för Windows-uppdateringar
EFS Windows-uppdateringarna kommer att släppas i två faser:
-
Inledande distribution: Introduktion till uppdateringen den 14 december 2021.
-
Tvingande fas: Tvingande läge är aktiverat. Borttagning av registernyckeln AllowAllCliAuth .
14 december 2021: Inledande distributionsfas
Den första distributionsfasen börjar med Windows-uppdateringarna som släpptes 14 december 2021.
Den här versionen:
-
Genom att tillämpa Windows-uppdateringar daterade den 14 december 2021 eller senare åtgärdar du problemet som beskrivs i CVE-2021-43217.
Uppdateringen innehåller registernyckeln AllowAllCliAuth för tvingande läge för att underlätta distributionen av uppdateringarna.
EFS i nätverk: För miljöer där EFS används för att kryptera filer via nätverket, från en klient till en server som är värd för filerna, rekommenderar vi att klienten uppdateras först och sedan servern. Om servrar uppdateras före klienter orsakas EFS-anslutningsfel.
För miljöer där det inte går att uppdatera EFS-klienter innan servrar är möjligt har vi tillhandahållit en registernyckel med namnet AllowAllCliAuth som kan ställas in på servern så att icke-uppdaterade EFS-klienter kan fortsätta ansluta tills klientuppdateringen är klar. När klienterna har uppdaterats rekommenderar vi att du tar bort registernyckeln AllowAllCliAuth eller anger 0 för att säkerställa att korrigeringen tillämpas på alla klienter.
8 mars 2022: Tillämpningsfas
Den andra distributionsfasen börjar med Windows-uppdateringen som släpps 8 mars 2022. I den här versionen:
-
Stöd för registernyckeln AllowAllCliAuth tas bort för att säkerställa att korrigeringen för CVE-2021-43217 tillämpas på alla klienter och servrar som uppdateras med Windows-uppdateringen från 8 mars 2022.
Registernyckelinformation
Registerinställningskontrollen AllowAllCliAuth tillämpar om EFS-klienter måste använda sekretess på paketnivå när de ansluter till en EFS-server som har installerat Windows-uppdateringar som släppts mellan 14 december 2021 och 22 februari 2022.
Inställningen AllowAllCliAuth ignoreras av EFS-servrar som installerar Windows-uppdateringarna från 8 mars 2022 och senare.
Registerundernyckel |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Värde |
AllowAllCliAuth |
Datatyp |
REG_DWORD |
Data |
1: EFS-servern tillämpar inte integritet på paketnivå på EFS-servern. 0: EFS-klienter måste ha stöd för sekretess på paketnivå för att ansluta till en EFS-server som har den här registernyckeluppsättningen. Det här är tvingande läge. Obs! Om registernyckeln inte finns på en server används standardinställningen. |
Standard |
0 (när registernyckeln inte har angetts) |
Krävs en omstart? |
Nej |
Granskningshändelser
Windows-uppdateringarna från 14 december 2021 lägger till två nya händelseloggar. Observera att dessa händelser bara kan loggas en gång under en session efter en omstart om registerinställningen för tvingande läge ändras.
Händelse 1
Händelsen loggas när en icke-uppdaterad EFS-klient som inte stöder sekretessförsök på paketnivå försöker ansluta till en EFS-server med Windows-uppdateringar daterade den 14 december 2021 eller senare.
Händelselogg |
Program |
Händelsetyp |
Fel |
Händelsekälla |
EFS |
Händelse-ID |
4420 |
Händelsetext |
En klient försökte anropa ett EFS-tjänst-API utan autentisering på sekretessnivå. Felkod: <felKoda>. Se https://go.microsoft.com/fwlink/?linkid=2181030 |
Händelse 2
Händelsen loggas när en EFS-klient försöker ansluta till en EFS-server som har installerat Windows-uppdateringar daterade den 14 december 2021 eller senare och ställer in registerinställningen AllowAllCliAuth på 1.
Händelselogg |
Program |
Händelsetyp |
Varning |
Händelsekälla |
EFS |
Händelse-ID |
4421 |
Händelsetext |
En klient som anropade efs-tjänst-API utan autentisering på sekretessnivå tilläts. Se https://go.microsoft.com/fwlink/?linkid=2181030. |