هام وصلت بعض إصدارات Microsoft Windows إلى نهاية الدعم. لاحظ أنه قد يتم دعم بعض إصدارات Windows بعد تاريخ انتهاء نظام التشغيل الأخير عند توفر تحديثات الأمان الموسعة (ESUs). راجع الأسئلة المتداولة حول دورة الحياة - تحديثات الأمان الموسعة للحصول على قائمة بالمنتجات التي تقدم وحدات ESUs.
تغيير التاريخ |
تغيير الوصف |
1 أغسطس 2024 |
|
5 أغسطس 2024 |
|
6 أغسطس 2024 |
|
المحتويات
الملخص
تعالج تحديثات Windows بتاريخ 9 يوليو 2024 أو بعد ذلك ثغرة أمنية في بروتوكول خدمة مستخدم طلب المصادقة عن بعد (RADIUS) المتعلقة بمشاكل تضارب MD5 . بسبب ضعف عمليات التحقق من التكامل في MD5، قد يعبث المهاجم بالحزم للحصول على وصول غير مصرح به. تجعل ثغرة MD5 نسبة استخدام الشبكة المستندة إلى بروتوكول مخطط بيانات المستخدم (UDP) عبر الإنترنت غير آمنة مقابل تزوير الحزمة أو تعديلها أثناء النقل.
لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع CVE-2024-3596وهجمات RADIUS وMD5 تصادم المستند التقني.
ملاحظه تتطلب هذه الثغرة الأمنية الوصول الفعلي إلى شبكة RADIUS وخادم نهج الشبكة (NPS). لذلك، العملاء الذين لديهم شبكات RADIUS آمنة ليسوا عرضة للخطر. بالإضافة إلى ذلك، لا تنطبق الثغرة الأمنية عند حدوث اتصال RADIUS عبر VPN.
اتخاذ إجراء
للمساعدة في حماية بيئتك، نوصي بتمكين التكوينات التالية. لمزيد من المعلومات، راجع قسم التكوينات .
|
الأحداث التي تمت إضافتها بواسطة هذا التحديث
لمزيد من المعلومات، راجع قسم التكوينات .
ملاحظة تتم إضافة معرفات الأحداث هذه إلى خادم NPS بواسطة تحديثات Windows بتاريخ 9 يوليو 2024 أو بعده.
تم إسقاط حزمة Access-Request لأنها تحتوي على سمة Proxy-State ولكنها تفتقر إلى السمة Message-Authenticator . ضع في اعتبارك تغيير عميل RADIUS لتضمين السمة Message-Authenticator . أو بدلا من ذلك، أضف استثناء لعميل RADIUS باستخدام تكوين limitProxyState .
سجل الأحداث |
النظام |
نوع الحدث |
الخطأ |
مصدر الحدث |
NPS |
معرف الحدث |
4418 |
نص الحدث |
تم تلقي رسالة Access-Request من عميل RADIUS <ip/name> تحتوي على سمة Proxy-State، ولكنها لم تتضمن سمة Message-Authenticator. ونتيجة لذلك، تم إسقاط الطلب. السمة Message-Authenticator إلزامية لأغراض الأمان. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. |
هذا حدث تدقيق لحزم Access-Request بدون سمة Message-Authenticator في حالة الوكيل. ضع في اعتبارك تغيير عميل RADIUS لتضمين السمة Message-Authenticator . سيتم إسقاط حزمة RADIUS بمجرد تمكين تكوين limitproxystate .
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
NPS |
معرف الحدث |
4419 |
نص الحدث |
تم تلقي رسالة Access-Request من عميل RADIUS <ip/name> تحتوي على سمة Proxy-State، ولكنها لم تتضمن سمة Message-Authenticator. الطلب مسموح به حاليا نظرا لتكوين limitProxyState في وضع التدقيق. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. |
هذا حدث تدقيق لحزم استجابة RADIUS المستلمة دون سمة Message-Authenticator في الوكيل. ضع في اعتبارك تغيير خادم RADIUS المحدد للسمة Message-Authenticator . سيتم إسقاط حزمة RADIUS بمجرد تمكين تكوين requiremsgauth .
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
NPS |
معرف الحدث |
4420 |
نص الحدث |
تلقى وكيل RADIUS استجابة من الخادم <ip/name> بسمة Message-Authenticator مفقودة. الاستجابة مسموح بها حاليا نظرا لتكوين requireMsgAuth في وضع التدقيق. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. |
يتم تسجيل هذا الحدث أثناء بدء تشغيل الخدمة عندما لا يتم تكوين الإعدادات الموصى بها. ضع في اعتبارك تمكين الإعدادات إذا كانت شبكة RADIUS غير آمنة. بالنسبة للشبكات الآمنة، يمكن تجاهل هذه الأحداث.
سجل الأحداث |
النظام |
نوع الحدث |
تحذير |
مصدر الحدث |
NPS |
معرف الحدث |
4421 |
نص الحدث |
يوجد تكوين RequireMsgAuth و/أو limitProxyState في وضع<تعطيل/تدقيق> . يجب تكوين هذه الإعدادات في وضع التمكين لأغراض الأمان. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. |
تكوينات
يمكن هذا التكوين وكيل NPS من بدء إرسال السمة Message-Authenticator في جميع حزم Access-Request . لتمكين هذا التكوين، استخدم إحدى الطرق التالية.
الأسلوب 1: استخدام وحدة تحكم إدارة NPS Microsoft (MMC)
لاستخدام NPS MMC، اتبع الخطوات التالية:
-
افتح واجهة مستخدم NPS (UI) على الخادم.
-
افتح مجموعات خادم Radius البعيدة.
-
حدد خادم Radius.
-
انتقل إلى المصادقة/المحاسبة.
-
انقر لتحديد خانة الاختيار يجب أن يحتوي الطلب على خانة الاختيار سمة Message-Authenticator .
الأسلوب 2: استخدام الأمر netsh
لاستخدام netsh، قم بتشغيل الأمر التالي:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
لمزيد من المعلومات، راجع أوامر مجموعة خادم RADIUS البعيد.
يتطلب هذا التكوين السمة Message-Authenticator في جميع حزم Access-Request ويسقط الحزمة إذا لم تكن موجودة.
الأسلوب 1: استخدام وحدة تحكم إدارة NPS Microsoft (MMC)
لاستخدام NPS MMC، اتبع الخطوات التالية:
-
افتح واجهة مستخدم NPS (UI) على الخادم.
-
افتح عملاء Radius.
-
حدد Radius Client.
-
انتقل إلى الإعدادات المتقدمة.
-
انقر لتحديد يجب أن تحتوي رسائل Access-Request على خانة الاختيار سمة مصدق الرسالة .
لمزيد من المعلومات، راجع تكوين عملاء RADIUS.
الأسلوب 2: استخدام أمر netsh
لاستخدام netsh، قم بتشغيل الأمر التالي:
netsh nps set client name = <client name> requireauthattrib = yes
لمزيد من المعلومات، راجع أوامر مجموعة خادم RADIUS البعيد.
يمكن هذا التكوين خادم NPS من إسقاط حزم Access-Request الضعيفة المحتملة التي تحتوي على سمة Proxy-State ، ولكن لا تتضمن سمة Message-Authenticator . يدعم هذا التكوين ثلاثة أوضاع:
-
التدقيق
-
تمكين
-
تعطيل
في وضع التدقيق ، يتم تسجيل حدث تحذير (معرف الحدث: 4419)، ولكن لا يزال الطلب قيد المعالجة. استخدم هذا الوضع لتحديد الكيانات غير المتوافقة التي ترسل الطلبات.
استخدم الأمر netsh لتكوين استثناء وتمكينه وإضافته حسب الحاجة.
-
لتكوين العملاء في وضع التدقيق ، قم بتشغيل الأمر التالي:
netsh nps تعيين limitproxystate all = "audit"
-
لتكوين العملاء في وضع التمكين ، قم بتشغيل الأمر التالي:
netsh nps تعيين limitproxystate all = "enable"
-
لإضافة استثناء لاستبعاد عميل من التحقق من صحة limitProxystate ، قم بتشغيل الأمر التالي:
netsh nps تعيين اسم limitproxystate = <اسم العميل> الاستثناء = "نعم"
يمكن هذا التكوين وكيل NPS من إسقاط رسائل الاستجابة المعرضة للخطر دون سمة Message-Authenticator . يدعم هذا التكوين ثلاثة أوضاع:
-
التدقيق
-
تمكين
-
تعطيل
في وضع التدقيق، يتم تسجيل حدث تحذير (معرف الحدث: 4420)، ولكن لا يزال الطلب قيد المعالجة. استخدم هذا الوضع لتحديد الكيانات غير المتوافقة التي ترسل الاستجابات.
استخدم الأمر netsh لتكوين استثناء وتمكينه وإضافته حسب الحاجة.
-
لتكوين الخوادم في وضع التدقيق، قم بتشغيل الأمر التالي:
netsh nps set يتطلبall = "audit"msgauth
-
لتمكين التكوينات لجميع الخوادم، قم بتشغيل الأمر التالي:
تتطلب مجموعة netsh npsmsgauth جميع = "enable"
-
لإضافة استثناء لاستبعاد خادم من التحقق من صحة requireauthmsg، قم بتشغيل الأمر التالي:
يتطلب netsh nps setmsgauth remoteservergroup = <عنوان>اسم مجموعة الخادم البعيد = <عنوان الخادم> الاستثناء = "نعم"
الأسئلة المتداولة
تحقق من أحداث وحدة NPS للأحداث ذات الصلة. ضع في اعتبارك إضافة استثناءات أو تعديلات التكوين للعملاء/الخوادم المتأثرة.
لا، يوصى بالتكوينات التي تمت مناقشتها في هذه المقالة للشبكات غير الآمنة.
مراجع
وصف المصطلحات القياسية المستخدمة لوصف تحديثات برامج Microsoft
المنتجات المذكورة في هذه المقالة للجهات الأخرى تابعة لشركات مستقلة عن Microsoft. نحن لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء أو موثوقية هذه المنتجات.
نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.