摘要
2021 年 12 月 14 日或之後的 Windows 更新新增加密檔案系統 (EFS) 用戶端的封包層級隱私權支援。 在連線到安裝 Windows 更新日期為 2021 年 12 月 14 日或之後的 EFS 伺服器時,Windows 和非 Windows EFS 用戶端都必須使用封包層級隱私權。
採取行動
若要協助保護您的環境以避免中斷,請遵循下列步驟:
-
安裝日期為 2021 年 12 月 14 日或之後的 Windows 更新,以更新所有 EFS 用戶端,然後補救伺服器。
-
自 2022 年 3 月 8 日「強制執行階段」更新開始,所有 Windows EFS 伺服器上都必須具備強制執行模式並啟用。
Windows 更新的時程
EFS Windows 更新將分兩個階段發行:
-
初始部署:2021 年 12 月 14 日更新簡介。
-
強制執行階段:已啟用強制執行模式。 移除 AllowAllCliAuth 登錄機碼。
2021 年 12 月 14 日:初始部署階段
初始部署階段從 2021 年 12 月 14 日發佈的 Windows 更新開始。
此版本:
-
套用日期為 2021 年 12 月 14 日或之後的 Windows 更新,可解決 CVE-2021-43217中概述的問題。
更新包含強制執行模式 AllowAllCliAuth 登錄機碼,以協助部署更新。
網路上的 EFS:針對使用 EFS 來透過網路加密檔案的環境,從用戶端到主控檔案的伺服器,建議您先更新用戶端,再補救伺服器。 在用戶端之前補救伺服器會導致 EFS 連線錯誤。
針對無法在伺服器之前更新 EFS 用戶端的環境,我們提供了一個名為 AllowAllCliAuth 的登錄機碼,可在伺服器上設定,讓非更新的 EFS 用戶端繼續連線,直到用戶端更新完成為止。 用戶端更新之後,我們建議移除 AllowAllCliAuth 登錄機碼,或將它設定為 0 ,以確保所有用戶端都強制執行修正程式。
2022 年 3 月 8 日:強制執行階段
第二個部署階段從將于 2022 年 3 月 8 日發行的 Windows 更新開始。 在此版本中:
-
將會移除 AllowAllCliAuth 登錄機碼的支援,以確保在 2022 年 3 月 8 日 Windows 更新更新的所有用戶端和伺服器上強制執行 CVE-2021-43217 的修正程式。
登錄機碼資訊
AllowAllCliAuth登錄設定控制項會強制執行連線到已在 2021 年 12 月 14 日到 2022 年 2 月 22 日之間發行 Windows 更新的 EFS Server 時,EFS 用戶端是否必須使用封包層級隱私權。
安裝 2022 年 3 月 8 日及更新版本 Windows 更新的 EFS 伺服器將會忽略 AllowAllCliAuth 設定。
|
登錄子機碼 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EFS |
|
值 |
AllowAllCliAuth |
|
資料類型 |
REG_DWORD |
|
資料 |
1:EFS 伺服器不會在 EFS 伺服器上強制執行封包層級隱私權。 0:EFS 用戶端必須支援封包層級隱私權,才能連線到已設定此登錄機碼的 EFS 伺服器。 這是強制執行模式。 附註: 如果登錄機碼不存在於伺服器上,則會使用 [預設] 設定。 |
|
預設值 |
0 (未設定登錄機碼時) |
|
是否需要重新開機? |
否 |
稽核事件
2021 年 12 月 14 日 Windows 更新新增了兩個新事件記錄檔。 請注意,如果 [強制執行模式] 登錄設定已變更,這些事件在重新開機後的會話期間只會記錄一次。
事件 1
當不支援封包層級隱私權的非更新 EFS 用戶端嘗試連線到 Windows 更新日期在 2021 年 12 月 14 日或之後的 EFS 伺服器時,就會記錄此事件。
|
事件記錄檔 |
應用程式 |
|
事件類型 |
錯誤 |
|
事件來源 |
Efs |
|
事件識別碼 |
4420 |
|
事件文字 |
客戶嘗試在沒有隱私權層級驗證的情況下呼叫 EFS 服務 API。 錯誤碼:<錯誤碼>。 請參閱 HTTPs://go.microsoft.com/fwlink/?linkid=2181030 |
事件 2
當 EFS 用戶端嘗試連線到已安裝 Windows 更新的 EFS 伺服器,其日期為 2021 年 12 月 14 日或之後,並將 AllowAllCliAuth 登錄設定設為 1時,就會記錄此事件。
|
事件記錄檔 |
應用程式 |
|
事件類型 |
警告 |
|
事件來源 |
Efs |
|
事件識別碼 |
4421 |
|
事件文字 |
已允許稱為 EFS 服務 API 但不含隱私權層級驗證的用戶端。 請參閱 HTTPs://go.microsoft.com/fwlink/?linkid=2181030。 |
