摘要
2021 年 12 月 14 日或之后的 Windows 更新添加了对加密文件系统 (EFS) 客户端上的数据包级隐私的支持。 连接到安装了 2021 年 12 月 14 日或之后的 Windows 更新的 EFS 服务器时,Windows 和非 Windows EFS 客户端都必须使用数据包级隐私。
采取操作
若要帮助保护环境以避免中断,请执行以下步骤:
-
通过安装 2021 年 12 月 14 日或之后的 Windows 更新来更新所有 EFS 客户端和服务器。
-
从 2022 年 3 月 8 日强制阶段更新开始,所有 Windows EFS 服务器上都需要并启用强制模式。
Windows 更新时间安排
EFS Windows 更新将分两个阶段发布:
-
初始部署:2021 年 12 月 14 日推出更新。
-
强制阶段:启用强制模式。 删除 AllowAllCliAuth 注册表项。
2021 年 12 月 14 日:初始部署阶段
初始部署阶段从 2021 年 12 月 14 日发布的 Windows 更新开始。
该版本:
-
应用 2021 年 12 月 14 日或之后的 Windows 更新解决了 CVE-2021-43217 中概述的问题。
此更新包括强制模式 AllowAllCliAuth 注册表项,以帮助部署更新。
EFS on Network:对于使用 EFS 通过网络加密文件的环境(从客户端到托管文件的服务器),建议先更新客户端,然后更新服务器。 在客户端之前更新服务器将导致 EFS 连接错误。
对于无法在服务器之前更新 EFS 客户端的环境,我们提供了一个名为 AllowAllCliAuth 的注册表项,可以在服务器上设置该注册表项,使未更新的 EFS 客户端能够继续连接,直到客户端更新完成。 更新客户端后,建议删除 AllowAllCliAuth 注册表项,或将其设置为 0 ,以确保在所有客户端上强制实施修复。
2022 年 3 月 8 日:实施阶段
第二个部署阶段从将于 2022 年 3 月 8 日发布的 Windows 更新开始。 在此版本中:
-
将删除对 AllowAllCliAuth 注册表项的支持,以确保在 2022 年 3 月 8 日 Windows 更新的所有客户端和服务器上实施 CVE-2021-43217 修补程序。
注册表项信息
AllowAllCliAuth 注册表设置控制强制在连接到安装了 2021 年 12 月 14 日至 2022 年 2 月 22 日之间发布的 Windows 更新的 EFS 服务器时,EFS 客户端是否必须使用数据包级别隐私。
安装 2022 年 3 月 8 日及更高版本的 Windows 更新的 EFS 服务器将忽略 AllowAllCliAuth 设置。
注册表子项 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
值 |
AllowAllCliAuth |
数据类型 |
REG_DWORD |
数据 |
1:EFS 服务器不会在 EFS 服务器上强制实施数据包级别隐私。 0:EFS 客户端必须支持数据包级别隐私才能连接到设置了此注册表项的 EFS 服务器。 这是强制模式。 注意 如果服务器上不存在注册表项,则使用默认设置。 |
默认为 |
0(未设置注册表项时) |
是否需要重启? |
否 |
审核事件
2021 年 12 月 14 日 Windows 更新添加了两个新的事件日志。 请注意,如果“强制模式注册表”设置发生更改,则这些事件只能在会话期间在重启后记录一次。
事件 1
当不支持数据包级别隐私的非更新 EFS 客户端尝试连接到 2021 年 12 月 14 日或之后有 Windows 更新的 EFS 服务器时,将记录此事件。
事件日志 |
Application |
事件类型 |
错误 |
事件源 |
Efs |
事件 ID |
4420 |
事件文本 |
客户端尝试在没有隐私级别身份验证的情况下调用 EFS 服务 API。 错误代码:<errorCode>。 请参阅 https://go.microsoft.com/fwlink/?linkid=2181030 |
事件 2
当 EFS 客户端尝试连接到安装了 2021 年 12 月 14 日或之后的 Windows 更新的 EFS 服务器,并将 AllowAllCliAuth 注册表设置设置为 1 时,将记录此事件。
事件日志 |
Application |
事件类型 |
警告 |
事件源 |
Efs |
事件 ID |
4421 |
事件文本 |
允许在没有隐私级别身份验证的情况下调用 EFS 服务 API 的客户端。 请参阅 https://go.microsoft.com/fwlink/?linkid=2181030。 |