บทสรุป
การอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 14 ธันวาคม 2021 เพิ่มการสนับสนุนสําหรับความเป็นส่วนตัวระดับแพคเก็ตในไคลเอ็นต์ Encrypting File System (EFS) คุณจําเป็นต้องใช้ทั้งไคลเอ็นต์ Windows และไคลเอ็นต์ EFS ที่ไม่ใช่ Windows ใช้ความเป็นส่วนตัวในระดับแพคเก็ตเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ EFS ที่มีการอัปเดต Windows ลงวันที่หรือหลังจากติดตั้งวันที่ 14 ธันวาคม 2021
ดำเนิน
เพื่อช่วยปกป้องสภาพแวดล้อมของคุณเพื่อหลีกเลี่ยงการหยุดทํางาน ให้ทําตามขั้นตอนเหล่านี้:
-
อัปเดตไคลเอ็นต์ EFS ทั้งหมดจากนั้นเซิร์ฟเวอร์ด้วยการติดตั้งการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 14 ธันวาคม 2021 หรือหลังจากนั้น
-
เริ่มต้นด้วยวันที่ 8 มีนาคม 2022 จําเป็นต้องมีการอัปเดตระยะการบังคับใช้ โหมดการบังคับใช้บนเซิร์ฟเวอร์ Windows EFS ทั้งหมด
การกําหนดเวลาของการอัปเดต Windows
การอัปเดต EFS Windows จะเผยแพร่ในสองขั้นตอน:
-
การปรับใช้ครั้งแรก: บทนําของการอัปเดตในวันที่ 14 ธันวาคม 2021
-
ระยะการบังคับใช้: เปิดใช้งานโหมดการบังคับใช้ การเอารีจิสทรีคีย์ AllowAllCliAuth ออก
14 ธันวาคม 2021: ระยะการปรับใช้เบื้องต้น
ระยะการปรับใช้เริ่มต้นด้วยการอัปเดต Windows ที่เผยแพร่ในวันที่ 14 ธันวาคม 2021
รุ่นนี้:
-
การใช้การอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 14 ธันวาคม 2021 จะแก้ไขปัญหาที่ระบุไว้ใน CVE-2021-43217
การอัปเดตมีรีจิสทรีคีย์ AllowAllCliAuth ของโหมดการบังคับใช้เพื่อช่วยในการปรับใช้การอัปเดต
EFS บนเครือข่าย: สําหรับสภาพแวดล้อมที่ใช้ EFS ในการเข้ารหัสลับไฟล์ผ่านเครือข่าย จากไคลเอ็นต์ไปยังเซิร์ฟเวอร์ที่โฮสต์ไฟล์ เราขอแนะนําให้ไคลเอ็นต์ได้รับการอัปเดตก่อน จากนั้นจึงอัปเดตเซิร์ฟเวอร์ การอัปเดตเซิร์ฟเวอร์ก่อนไคลเอ็นต์จะทําให้เกิดข้อผิดพลาดในการเชื่อมต่อ EFS
สําหรับสภาพแวดล้อมที่การอัปเดตไคลเอ็นต์ EFS ก่อนเซิร์ฟเวอร์ไม่สามารถทําได้ เราได้ให้รีจิสทรีคีย์ที่ชื่อ AllowAllCliAuth ที่สามารถตั้งค่าบนเซิร์ฟเวอร์เพื่อเปิดใช้งานไคลเอ็นต์ EFS ที่ไม่ได้อัปเดตเพื่อเชื่อมต่อต่อไปจนกว่าการอัปเดตไคลเอ็นต์จะเสร็จสมบูรณ์ หลังจากอัปเดตไคลเอ็นต์แล้ว เราขอแนะนําให้ลบรีจิสทรีคีย์ AllowAllCliAuth หรือตั้งค่าเป็น 0 เพื่อให้แน่ใจว่าการแก้ไขถูกบังคับใช้ในไคลเอ็นต์ทั้งหมด
8 มีนาคม 2022: ระยะการบังคับใช้
ระยะการปรับใช้ครั้งที่สองจะเริ่มต้นด้วยการอัปเดต Windows ที่จะเผยแพร่ในวันที่ 8 มีนาคม 2022 ในรุ่นนี้:
-
การสนับสนุนรีจิสทรีคีย์ AllowAllCliAuth จะถูกเอาออกเพื่อให้แน่ใจว่าการบังคับใช้การแก้ไขสําหรับ CVE-2021-43217 เกิดขึ้นในไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมดที่อัปเดตด้วยการอัปเดต Windows ของวันที่ 8 มีนาคม 2022
ข้อมูลรีจิสทรีคีย์
ตัวควบคุมการตั้งค่ารีจิสทรี AllowAllCliAuth บังคับใช้ว่าไคลเอ็นต์ EFS ต้องใช้ความเป็นส่วนตัวระดับแพคเก็ตหรือไม่เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ EFS ที่ติดตั้งการอัปเดต Windows ที่เผยแพร่ระหว่างวันที่ 14 ธันวาคม 2021 และ 22 กุมภาพันธ์ 2022
การตั้งค่า AllowAllCliAuth จะถูกละเว้นโดยเซิร์ฟเวอร์ EFS ที่ติดตั้งการอัปเดต Windows ในวันที่ 8 มีนาคม 2022 และที่ใหม่กว่า
คีย์ย่อยรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
ค่า |
AllowAllCliAuth |
ชนิดข้อมูล |
Reg_dword |
ข้อมูล |
1: เซิร์ฟเวอร์ EFS จะไม่บังคับใช้ความเป็นส่วนตัวของระดับแพคเก็ตบนเซิร์ฟเวอร์ EFS 0: ไคลเอ็นต์ EFS ต้องสนับสนุนความเป็นส่วนตัวของระดับแพคเก็ตเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ EFS ที่มีชุดรีจิสทรีคีย์นี้ นี่คือโหมดการบังคับใช้ หมายเหตุ หากไม่มีรีจิสทรีคีย์บนเซิร์ฟเวอร์ จะมีการใช้การตั้งค่าเริ่มต้น |
ค่าเริ่มต้น |
0 (เมื่อไม่ได้ตั้งค่ารีจิสทรีคีย์) |
จําเป็นต้องเริ่มระบบใหม่หรือไม่ |
ไม่ใช่ |
เหตุการณ์การตรวจสอบ
การอัปเดต Windows ของวันที่ 14 ธันวาคม 2021 เพิ่มบันทึกเหตุการณ์ใหม่สองรายการ โปรดทราบว่าเหตุการณ์เหล่านี้อาจถูกบันทึกเพียงครั้งเดียวในระหว่างเซสชันหลังจากเริ่มระบบใหม่ถ้ามีการเปลี่ยนแปลงการตั้งค่ารีจิสทรีของโหมดการบังคับใช้
เหตุการณ์ 1
เหตุการณ์นี้ถูกบันทึกเมื่อไคลเอ็นต์ EFS ที่ไม่ได้อัปเดตซึ่งไม่สนับสนุนความพยายามในการเข้าถึงความเป็นส่วนตัวระดับแพคเก็ตเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ EFS ที่มีการอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 14 ธันวาคม 2021
บันทึกเหตุการณ์ |
แอปพลิเคชัน |
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
แหล่งของเหตุการณ์ |
Efs |
ID เหตุการณ์ |
4420 |
ข้อความเหตุการณ์ |
ไคลเอ็นต์พยายามเรียก API ของบริการ EFS โดยไม่มีการรับรองความถูกต้องระดับความเป็นส่วนตัว รหัสข้อผิดพลาด: <errorCode> ดู https://go.microsoft.com/fwlink/?linkid=2181030 |
เหตุการณ์ 2
เหตุการณ์นี้ถูกบันทึกเมื่อไคลเอ็นต์ EFS พยายามเชื่อมต่อกับเซิร์ฟเวอร์ EFS ที่ติดตั้งการอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 14 ธันวาคม 2021 และตั้งค่ารีจิสทรี AllowAllCliAuth เป็น 1
บันทึกเหตุการณ์ |
แอปพลิเคชัน |
ชนิดเหตุการณ์ |
คำเตือน |
แหล่งของเหตุการณ์ |
Efs |
ID เหตุการณ์ |
4421 |
ข้อความเหตุการณ์ |
ไคลเอ็นต์ที่เรียก API ของบริการ EFS โดยไม่มีการรับรองความถูกต้องระดับความเป็นส่วนตัวได้รับอนุญาต ดู https://go.microsoft.com/fwlink/?linkid=2181030 |