Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

هام وصلت بعض إصدارات Microsoft Windows إلى نهاية الدعم. لاحظ أنه قد يتم دعم بعض إصدارات Windows بعد تاريخ انتهاء نظام التشغيل الأخير عند توفر تحديثات الأمان الموسعة (ESUs). راجع الأسئلة المتداولة حول دورة الحياة - تحديثات الأمان الموسعة للحصول على قائمة بالمنتجات التي تقدم وحدات ESUs.

تغيير التاريخ

تغيير الوصف

1 أغسطس 2024

  • تغييرات بسيطة في التنسيق لسهولة القراءة

  • في تكوين "تكوين التحقق من سمة Message-Authenticator في كافة حزم Access-Request على العميل"، تم استخدام كلمة "message" بدلا من "حزمة البيانات"

5 أغسطس 2024

  • إضافة ارتباط لبروتوكول مخطط بيانات المستخدم (UDP)

  • إضافة ارتباط لخادم نهج الشبكة (NPS)

6 أغسطس 2024

  • تم تحديث قسم "الملخص" للإشارة إلى تضمين هذه التغييرات في تحديثات Windows بتاريخ 9 يوليو 2024 أو بعده

  • تم تحديث نقاط التعداد النقطي في قسم "اتخاذ إجراء" للإشارة إلى أننا نوصي بتشغيل الخيارات. يتم إيقاف تشغيل هذه الخيارات بشكل افتراضي.

  • تمت إضافة ملاحظة إلى قسم "الأحداث المضافة بواسطة هذا التحديث" للإشارة إلى إضافة معرفات الأحداث إلى خادم NPS بواسطة تحديثات Windows بتاريخ 9 يوليو 2024 أو بعده

المحتويات

الملخص

تعالج تحديثات Windows بتاريخ 9 يوليو 2024 أو بعد ذلك ثغرة أمنية في بروتوكول خدمة مستخدم طلب المصادقة عن بعد (RADIUS) المتعلقة بمشاكل تضارب MD5 . بسبب ضعف عمليات التحقق من التكامل في MD5، قد يعبث المهاجم بالحزم للحصول على وصول غير مصرح به. تجعل ثغرة MD5 نسبة استخدام الشبكة المستندة إلى بروتوكول مخطط بيانات المستخدم (UDP) عبر الإنترنت غير آمنة مقابل تزوير الحزمة أو تعديلها أثناء النقل. 

لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع CVE-2024-3596وهجمات RADIUS وMD5 تصادم المستند التقني.

ملاحظه تتطلب هذه الثغرة الأمنية الوصول الفعلي إلى شبكة RADIUS وخادم نهج الشبكة (NPS). لذلك، العملاء الذين لديهم شبكات RADIUS آمنة ليسوا عرضة للخطر. بالإضافة إلى ذلك، لا تنطبق الثغرة الأمنية عند حدوث اتصال RADIUS عبر VPN. 

اتخاذ إجراء

للمساعدة في حماية بيئتك، نوصي بتمكين التكوينات التالية. لمزيد من المعلومات، راجع قسم التكوينات .

  • تعيين السمة Message-Authenticator في حزم Access-Request . تأكد من أن جميع حزم Access-Request تتضمن السمة Message-Authenticator . بشكل افتراضي، يتم إيقاف تشغيل خيار تعيين السمة Message-Authenticator . نوصي بتشغيل هذا الخيار.

  • تحقق من السمة Message-Authenticator في حزم Access-Request . ضع في اعتبارك فرض التحقق من صحة السمة Message-Authenticator على حزم Access-Request . لن تتم معالجة حزم Access-Request بدون هذه السمة. بشكل افتراضي، يجب أن تحتوي رسائل Access-Request على خيار سمة مصدق الرسالة متوقف عن التشغيل. نوصي بتشغيل هذا الخيار.

  • تحقق من السمة Message-Authenticator في حزم Access-Request إذا كانت السمة Proxy-State موجودة. اختياريا، قم بتمكين خيار limitProxyState إذا تعذر تنفيذ التحقق من صحة سمة Message-Authenticator على كل حزمة Access-Request . يفرض limitProxyState إسقاط حزم Access-Request التي تحتوي على سمة حالة الوكيل دون سمة Message-Authenticator. بشكل افتراضي، يتم إيقاف تشغيل خيار limitproxystate . نوصي بتشغيل هذا الخيار.

  • تحقق من السمة Message-Authenticator في حزم استجابة RADIUS: Access-AcceptوAccess-RejectوAccess-Challenge. قم بتمكين الخيار requireMsgAuth لفرض إسقاط حزم استجابة RADIUS من الخوادم البعيدة دون سمة Message-Authenticator . بشكل افتراضي، يتم إيقاف تشغيل خيار requiremsgauth . نوصي بتشغيل هذا الخيار.

الأحداث التي تمت إضافتها بواسطة هذا التحديث

لمزيد من المعلومات، راجع قسم التكوينات .

‏ملاحظة تتم إضافة معرفات الأحداث هذه إلى خادم NPS بواسطة تحديثات Windows بتاريخ 9 يوليو 2024 أو بعده.

تم إسقاط حزمة Access-Request لأنها تحتوي على سمة Proxy-State ولكنها تفتقر إلى السمة Message-Authenticator . ضع في اعتبارك تغيير عميل RADIUS لتضمين السمة Message-Authenticator . أو بدلا من ذلك، أضف استثناء لعميل RADIUS باستخدام تكوين limitProxyState .

سجل الأحداث

النظام

نوع الحدث

الخطأ

مصدر الحدث

NPS

معرف الحدث

4418

نص الحدث

تم تلقي رسالة Access-Request من عميل RADIUS <ip/name> تحتوي على سمة Proxy-State، ولكنها لم تتضمن سمة Message-Authenticator. ونتيجة لذلك، تم إسقاط الطلب. السمة Message-Authenticator إلزامية لأغراض الأمان. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. 

هذا حدث تدقيق لحزم Access-Request بدون سمة Message-Authenticator في حالة الوكيل. ضع في اعتبارك تغيير عميل RADIUS لتضمين السمة Message-Authenticator . سيتم إسقاط حزمة RADIUS بمجرد تمكين تكوين limitproxystate .

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

NPS

معرف الحدث

4419

نص الحدث

تم تلقي رسالة Access-Request من عميل RADIUS <ip/name> تحتوي على سمة Proxy-State، ولكنها لم تتضمن سمة Message-Authenticator. الطلب مسموح به حاليا نظرا لتكوين limitProxyState في وضع التدقيق. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد. 

هذا حدث تدقيق لحزم استجابة RADIUS المستلمة دون سمة Message-Authenticator في الوكيل. ضع في اعتبارك تغيير خادم RADIUS المحدد للسمة Message-Authenticator . سيتم إسقاط حزمة RADIUS بمجرد تمكين تكوين requiremsgauth .

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

NPS

معرف الحدث

4420

نص الحدث

تلقى وكيل RADIUS استجابة من الخادم <ip/name> بسمة Message-Authenticator مفقودة. الاستجابة مسموح بها حاليا نظرا لتكوين requireMsgAuth في وضع التدقيق. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد.

يتم تسجيل هذا الحدث أثناء بدء تشغيل الخدمة عندما لا يتم تكوين الإعدادات الموصى بها. ضع في اعتبارك تمكين الإعدادات إذا كانت شبكة RADIUS غير آمنة. بالنسبة للشبكات الآمنة، يمكن تجاهل هذه الأحداث.

سجل الأحداث

النظام

نوع الحدث

تحذير

مصدر الحدث

NPS

معرف الحدث

4421

نص الحدث

يوجد تكوين RequireMsgAuth و/أو limitProxyState في وضع<تعطيل/تدقيق> . يجب تكوين هذه الإعدادات في وضع التمكين لأغراض الأمان. راجع https://support.microsoft.com/help/5040268 لمعرفة المزيد.

تكوينات

يمكن هذا التكوين وكيل NPS من بدء إرسال السمة Message-Authenticator في جميع حزم Access-Request . لتمكين هذا التكوين، استخدم إحدى الطرق التالية.

الأسلوب 1: استخدام وحدة تحكم إدارة NPS Microsoft (MMC)

لاستخدام NPS MMC، اتبع الخطوات التالية:

  1. افتح واجهة مستخدم NPS (UI) على الخادم.

  2. افتح مجموعات خادم Radius البعيدة.

  3. حدد خادم Radius.

  4. انتقل إلى المصادقة/المحاسبة.

  5. انقر لتحديد خانة الاختيار يجب أن يحتوي الطلب على خانة الاختيار سمة Message-Authenticator .

الأسلوب 2: استخدام الأمر netsh

لاستخدام netsh، قم بتشغيل الأمر التالي:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

لمزيد من المعلومات، راجع أوامر مجموعة خادم RADIUS البعيد.

يتطلب هذا التكوين السمة Message-Authenticator في جميع حزم Access-Request ويسقط الحزمة إذا لم تكن موجودة.

الأسلوب 1: استخدام وحدة تحكم إدارة NPS Microsoft (MMC)

لاستخدام NPS MMC، اتبع الخطوات التالية:

  1. افتح واجهة مستخدم NPS (UI) على الخادم.

  2. افتح عملاء Radius.

  3. حدد Radius Client.

  4. انتقل إلى الإعدادات المتقدمة.

  5. انقر لتحديد يجب أن تحتوي رسائل Access-Request على خانة الاختيار سمة مصدق الرسالة .

لمزيد من المعلومات، راجع تكوين عملاء RADIUS.

الأسلوب 2: استخدام أمر netsh

لاستخدام netsh، قم بتشغيل الأمر التالي:

netsh nps set client name = <client name> requireauthattrib = yes

لمزيد من المعلومات، راجع أوامر مجموعة خادم RADIUS البعيد.

يمكن هذا التكوين خادم NPS من إسقاط حزم Access-Request الضعيفة المحتملة التي تحتوي على سمة Proxy-State ، ولكن لا تتضمن سمة Message-Authenticator . يدعم هذا التكوين ثلاثة أوضاع:

  • ‏‏‎‎التدقيق

  • ‏‏تمكين

  • تعطيل

في وضع التدقيق ، يتم تسجيل حدث تحذير (معرف الحدث: 4419)، ولكن لا يزال الطلب قيد المعالجة. استخدم هذا الوضع لتحديد الكيانات غير المتوافقة التي ترسل الطلبات.

استخدم الأمر netsh لتكوين استثناء وتمكينه وإضافته حسب الحاجة.

  1. لتكوين العملاء في وضع التدقيق ، قم بتشغيل الأمر التالي:

    netsh nps تعيين limitproxystate all = "audit"

  2. لتكوين العملاء في وضع التمكين ، قم بتشغيل الأمر التالي:

    netsh nps تعيين limitproxystate all = "enable" 

  3. لإضافة استثناء لاستبعاد عميل من التحقق من صحة limitProxystate ، قم بتشغيل الأمر التالي:

    netsh nps تعيين اسم limitproxystate = <اسم العميل> الاستثناء = "نعم" 

يمكن هذا التكوين وكيل NPS من إسقاط رسائل الاستجابة المعرضة للخطر دون سمة Message-Authenticator . يدعم هذا التكوين ثلاثة أوضاع:

  • ‏‏‎‎التدقيق

  • ‏‏تمكين

  • تعطيل

في وضع التدقيق، يتم تسجيل حدث تحذير (معرف الحدث: 4420)، ولكن لا يزال الطلب قيد المعالجة. استخدم هذا الوضع لتحديد الكيانات غير المتوافقة التي ترسل الاستجابات.

استخدم الأمر netsh لتكوين استثناء وتمكينه وإضافته حسب الحاجة.

  1. لتكوين الخوادم في وضع التدقيق، قم بتشغيل الأمر التالي:

    netsh nps set يتطلبall = "audit"msgauth

  2. لتمكين التكوينات لجميع الخوادم، قم بتشغيل الأمر التالي:

    تتطلب مجموعة netsh npsmsgauth جميع = "enable"

  3. لإضافة استثناء لاستبعاد خادم من التحقق من صحة requireauthmsg، قم بتشغيل الأمر التالي:

    يتطلب netsh nps setmsgauth remoteservergroup = <عنوان>اسم مجموعة الخادم البعيد = <عنوان الخادم> الاستثناء = "نعم"

الأسئلة المتداولة

تحقق من أحداث وحدة NPS للأحداث ذات الصلة. ضع في اعتبارك إضافة استثناءات أو تعديلات التكوين للعملاء/الخوادم المتأثرة.

لا، يوصى بالتكوينات التي تمت مناقشتها في هذه المقالة للشبكات غير الآمنة. 

مراجع

وصف المصطلحات القياسية المستخدمة لوصف تحديثات برامج Microsoft

المنتجات المذكورة في هذه المقالة للجهات الأخرى تابعة لشركات مستقلة عن Microsoft. نحن لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء أو موثوقية هذه المنتجات.

نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

تساعدك المجتمعات على طرح الأسئلة والإجابة عليها، وتقديم الملاحظات، وسماعها من الخبراء ذوي الاطلاع الواسع.