Tóm tắt
Các bản cập nhật Windows được phát hành vào hoặc sau ngày 14 tháng 12 năm 2021 sẽ bổ sung hỗ trợ cho quyền riêng tư cấp gói trên máy khách Mã hóa Hệ thống Tệp (EFS). Bắt buộc cả máy khách Windows và máy khách EFS không phải Windows đều sử dụng quyền riêng tư cấp gói khi kết nối với máy chủ EFS đã cài đặt các bản cập nhật Windows vào hoặc sau ngày 14 tháng 12 năm 2021.
Thực hiện hành động
Để giúp bảo vệ môi trường của bạn nhằm tránh mất điện, hãy làm theo các bước sau:
-
Cập nhật tất cả máy khách EFS và sau đó là máy chủ bằng cách cài đặt các bản cập nhật Windows được xác định ngày hoặc sau ngày 14 tháng 12 năm 2021.
-
Bắt đầu từ ngày 8 tháng 3 năm 2022, bản cập nhật Giai đoạn Thực thi, chế độ Thực thi sẽ được yêu cầu và bật trên tất cả các máy chủ Windows EFS.
Thời gian cập nhật Windows
Các bản cập nhật EFS Windows sẽ được phát hành theo hai giai đoạn:
-
Triển khai Ban đầu: Giới thiệu bản cập nhật vào ngày 14 tháng 12 năm 2021.
-
Giai đoạn thực thi: Chế độ thực thi được bật. Loại bỏ khóa đăng ký AllowAllCliAuth .
Ngày 14 tháng 12 năm 2021: Giai đoạn triển khai ban đầu
Giai đoạn triển khai ban đầu bắt đầu với các bản cập nhật Windows được phát hành vào ngày 14 tháng 12 năm 2021.
Bản phát hành này:
-
Việc áp dụng các bản cập nhật Windows ngày hoặc sau ngày 14 tháng 12 năm 2021 sẽ khắc phục sự cố được nêu trong CVE-2021-43217.
Bản cập nhật bao gồm khóa đăng ký AllowAllCliAuth Chế độ Thực thi để giúp triển khai các bản cập nhật.
EFS trên mạng: Đối với các môi trường sử dụng EFS để mã hóa tệp qua mạng, từ máy khách đến máy chủ lưu trữ tệp, chúng tôi khuyên khách hàng nên được cập nhật trước rồi mới đến máy chủ. Cập nhật máy chủ trước máy khách sẽ gây ra lỗi kết nối EFS.
Đối với các môi trường không thể cập nhật máy khách EFS trước máy chủ, chúng tôi đã cung cấp khóa đăng ký có tên AllowAllCliAuth có thể được đặt trên máy chủ để cho phép máy khách EFS không cập nhật tiếp tục kết nối cho đến khi quá trình cập nhật máy khách hoàn tất. Sau khi máy khách được cập nhật, chúng tôi khuyên bạn nên loại bỏ khóa đăng ký AllowAllCliAuth hoặc đặt khóa đó thành 0 để đảm bảo rằng bản sửa lỗi được thực thi trên tất cả các máy khách.
Ngày 8 tháng 3 năm 2022: Giai đoạn thực thi
Giai đoạn triển khai thứ hai bắt đầu với bản cập nhật Windows sẽ được phát hành vào ngày 8 tháng 3 năm 2022. Trong bản phát hành này:
-
Hỗ trợ cho khóa đăng ký AllowAllCliAuth sẽ bị loại bỏ để đảm bảo việc thực thi bản sửa lỗi cho CVE-2021-43217 xảy ra trên tất cả máy khách và máy chủ được cập nhật với bản cập nhật Windows ngày 8 tháng 3 năm 2022.
Thông tin khóa đăng ký
Điều khiển cài đặt đăng ký AllowAllCliAuth bắt buộc máy khách EFS có phải sử dụng quyền riêng tư cấp gói khi kết nối với Máy chủ EFS đã cài đặt các bản cập nhật Windows được phát hành từ ngày 14 tháng 12 năm 2021 đến ngày 22 tháng 2 năm 2022 hay không.
Cài đặt AllowAllCliAuth sẽ bị các máy chủ EFS cài đặt các bản cập nhật Windows ngày 8 tháng 3 năm 2022 trở lên bỏ qua.
Khóa đăng ký phụ |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
Giá trị |
AllowAllCliAuth |
Kiểu dữ liệu |
REG_DWORD |
Dữ liệu |
1: Máy chủ EFS sẽ không thực thi quyền riêng tư cấp gói trên máy chủ EFS. 0: Máy khách EFS phải hỗ trợ quyền riêng tư cấp gói để kết nối với máy chủ EFS có đặt khóa đăng ký này. Đây là Chế độ Thực thi. Lưu ý Nếu khóa đăng ký không tồn tại trên máy chủ thì thiết đặt Mặc định được sử dụng. |
Mặc định |
0 (khi chưa đặt khóa đăng ký) |
Bạn có cần khởi động lại không? |
Không |
Sự kiện kiểm tra
Các bản cập nhật Windows ngày 14 tháng 12 năm 2021 thêm hai nhật ký sự kiện mới. Lưu ý rằng các sự kiện này chỉ có thể được ghi nhật ký một lần trong phiên sau khi khởi động lại nếu thiết đặt đăng ký chế độ Thực thi được thay đổi.
Sự kiện 1
Sự kiện này được ghi nhật ký khi một máy khách EFS không cập nhật không hỗ trợ các nỗ lực bảo mật cấp gói để kết nối với máy chủ EFS có các bản cập nhật Windows được cập nhật vào hoặc sau ngày 14 tháng 12 năm 2021.
Nhật ký Sự kiện |
Ứng dụng |
Loại Sự kiện |
Lỗi |
Nguồn Sự kiện |
EFS |
ID Sự kiện |
4420 |
Văn bản Sự kiện |
Một máy khách đã tìm cách gọi MỘT API dịch vụ EFS mà không có xác thực cấp độ quyền riêng tư. Mã lỗi: mã <mã lỗi>. Xem https://go.microsoft.com/fwlink/?linkid=2181030 |
Sự kiện 2
Sự kiện này được ghi nhật ký khi máy khách EFS cố gắng kết nối với máy chủ EFS đã cài đặt các bản cập nhật Windows được ghi ngày vào hoặc sau ngày 14 tháng 12 năm 2021 và đặt cài đặt đăng ký AllowAllCliAuth thành 1.
Nhật ký Sự kiện |
Ứng dụng |
Loại Sự kiện |
Cảnh báo |
Nguồn Sự kiện |
EFS |
ID Sự kiện |
4421 |
Văn bản Sự kiện |
Một máy khách gọi là API dịch vụ EFS không có xác thực cấp độ quyền riêng tư đã được cho phép. Xem https://go.microsoft.com/fwlink/?linkid=2181030. |