Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Важно Някои версии на Microsoft Windows достигнаха края на поддръжката. Имайте предвид, че някои версии на Windows може да се поддържат след последната крайна дата на ОС, когато са налични разширени актуализации на защитата (ESU). Вижте ЧЗВ за жизнения цикъл – разширени актуализации на защитата за списък на продуктите, които предлагат ESU.

Промяна на датата

Промяна на описанието

1 август 2024 г.

  • Второстепенни промени във форматирането за четливост

  • В конфигурацията "Конфигуриране на проверката на атрибута Message-Authenticator във всички пакети за искане на достъп на клиента" е използвана думата "message" вместо "packet"

5 август 2024 г.

  • Добавена връзка за протокола за потребителска datagram (UDP)

  • Добавена връзка за сървъра за мрежови правила (NPS)

6 август 2024 г.

  • Актуализиран е разделът "Резюме", за да посочи, че тези промени са включени в актуализациите на Windows с дата от 9 юли 2024 г.

  • Актуализирани са водещите символи в секцията "Предприемане на действие", за да укажете, че препоръчваме да включите опциите. Тези опции са изключени по подразбиране.

  • Добавена бележка към секцията "Събития, добавени от тази актуализация", за да посочи, че ИД на събития се добавят към NPS сървъра чрез актуализациите на Windows, дата на или след 9 юли 2024 г.

Съдържанието

Резюме

Актуализациите на Windows, датирани на или след 9 юли 2024 г., адресират уязвимост на защитата в протокола за услуга за външно избиране за отдалечено удостоверяване (RADIUS), свързана с проблеми при конфликт на MD5 . Поради проверките за слаба цялост в MD5 атакуващият може да промени злонамерено пакети, за да получи неупълномощен достъп. Уязвимостта В MD5 прави потребителския radius трафик по интернет базиран на User Datagram Protocol (UDP) несигурен срещу подправяне на пакети или промяна по време на транспортиране. 

За повече информация относно тази уязвимост вижте CVE-2024-3596 и лакът RADIUS И MD5 АТАКИ С КОНФЛИКТИ.

БЕЛЕЖКА Тази уязвимост изисква физически достъп до мрежата RADIUS и сървъра за мрежови правила (NPS).. Затова клиенти, които са защитени RADIUS мрежи не са уязвими. Освен това уязвимостта не се отнася, когато RADIUS комуникация възниква през VPN. 

Предприемане на действие

За да защитите вашата среда, ви препоръчваме да разрешите следните конфигурации. За повече информация вижте раздела Конфигурации .

  • Задайте атрибута Message-Authenticator в пакети на Access-Request . Уверете се, че всички пакети на Access-Request включват атрибута Message-Authenticator . По подразбиране опцията за задаване на атрибута Message-Authenticator е изключена. Препоръчваме ви да включите тази опция.

  • Проверете атрибута Message-Authenticator в пакетите на Access-Request . Помислете за налагане на проверка на атрибута Message-Authenticator на пакети на Access-Request . Пакетите с искания за достъп без този атрибут няма да бъдат обработени. По подразбиране съобщенията на Access-Request трябва да съдържат атрибута message-authenticator е изключена. Препоръчваме ви да включите тази опция.

  • Проверете атрибута Message-Authenticator в пакети на Access-Request , ако атрибутът Proxy-State е наличен. По желание разрешете опцията limitProxyState , ако не може да се извърши проверка на атрибута Message-Authenticator на всеки пакет на Access-Request . limitProxyState налага пускането на пакети на Access-Request , съдържащи атрибута Proxy-state без атрибута Message-Authenticator . По подразбиране опцията limitproxystate е изключена. Препоръчваме ви да включите тази опция.

  • Проверете атрибута Message-Authenticator в RADIUS пакети за отговор: Access-Accept, Access-Reject и Access-Challenge. Разрешете опцията requireMsgAuth , за да приложите прекратяването на RADIUS пакети за отговор от отдалечени сървъри без атрибута Message-Authenticator . По подразбиране опцията requiremsgauth е изключена. Препоръчваме ви да включите тази опция.

Събития, добавени от тази актуализация

За повече информация вижте раздела Конфигурации .

Забележка Тези идентификатори на събития се добавят към NPS сървъра чрез актуализациите на Windows, давани на или след 9 юли 2024 г.

Пакетът за искане на достъп е прекратен, защото съдържа атрибута Proxy-State , но му липсва атрибут Message-Authenticator . Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . Или добавете изключение за RADIUS клиент с помощта на конфигурацията limitProxyState .

Регистър на събитията

Система

Тип събитие

Грешка

Източник на събитие

Недоставяне

ИД на събитие

4418

Текст на събитие

Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. В резултат на това искането е отхвърлено. Атрибутът Message-Authenticator е задължителен за целите на сигурността. Вижте https://support.microsoft.com/help/5040268, за да научите повече. 

Това е събитие за проверка за пакети с искания за достъп без атрибута Message-Authenticator в присъствието на Proxy-State. Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . RADIUS пакет ще бъде прекратен, след като е разрешена конфигурацията на limitproxystate .

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4419

Текст на събитие

Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. Искането в момента е разрешено, тъй като limitProxyState е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече. 

Това е събитие за проверка за RADIUS пакети за отговор, получени без атрибута Message-Authenticator на прокси сървъра. Помислете за промяна на зададения RADIUS сървър за атрибута Message-Authenticator . RADIUS пакет ще бъдат пуснати, след като е разрешена конфигурацията requiremsgauth .

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4420

Текст на събитие

Radius прокси сървърът получи отговор от сървър <ip/name> с липсващ атрибут Message-Authenticator. В момента е разрешен отговор, тъй като requireMsgAuth е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече.

Това събитие се регистрира по време на стартирането на услугата, когато препоръчителните настройки не са конфигурирани. Помислете дали да не разрешите настройките, ако мрежата RADIUS не е незащитена. За защитени мрежи тези събития могат да бъдат игнорирани.

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4421

Текст на събитие

Конфигурацията requireMsgAuth и/или limitProxyState е в режим<забраняване/проверка> . Тези настройки трябва да бъдат конфигурирани в режим на разрешаване от съображения за сигурност. Вижте https://support.microsoft.com/help/5040268, за да научите повече.

Конфигурации

Тази конфигурация позволява на NPS прокси сървър да започне да изпраща атрибута Message-Authenticator във всички пакети на Access-Request . За да разрешите тази конфигурация, използвайте един от следните методи.

Метод 1: Използване на NPS Microsoft Management Console (MMC)

За да използвате NPS MMC, изпълнете следните стъпки:

  1. Отворете потребителския интерфейс (ПИ) на NPS на сървъра.

  2. Отворете отдалечените групи на сървъра за Radius.

  3. Изберете Radius Server.

  4. Отидете на Удостоверяване/счетоводство.

  5. Щракнете, за да изберете квадратчето за отметка Искането трябва да съдържа Message-Authenticator атрибут .

Метод 2: Използване на командата netsh

За да използвате netsh, изпълнете следната команда:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

За повече информация вж. Команди за групата на отдалечения RADIUS сървър.

Тази конфигурация изисква атрибута Message-Authenticator във всички пакети на Access-Request и изпуска пакета, ако липсва.

Метод 1: Използване на NPS Microsoft Management Console (MMC)

За да използвате NPS MMC, изпълнете следните стъпки:

  1. Отворете потребителския интерфейс (ПИ) на NPS на сървъра.

  2. Отваряне на radius клиенти.

  3. Изберете Radius Client.

  4. Отидете в Разширени настройки.

  5. Щракнете, за да изберете квадратчето за отметка съобщенията на Access-Request трябва да съдържат атрибута message-authenticator .

За повече информация вижте Конфигуриране на RADIUS клиенти.

Метод 2: Използване на командата netsh

За да използвате netsh, изпълнете следната команда:

netsh nps set client name = <client name> requireauthattrib = yes

За повече информация вж. Команди за групата на отдалечения RADIUS сървър.

Тази конфигурация позволява на NPS сървъра да откаже потенциални уязвими пакети на Access-Request , които съдържат атрибут Proxy-State , но не включват атрибут Message-Authenticator . Тази конфигурация поддържа три режима:

  • Проверка

  • „Разрешаване“

  • „Дезактивиране“

В режим на проверка се записва предупредително събитие (ИД на събитие: 4419), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи заявките.

Използвайте командата netsh , за да конфигурирате, разрешите и добавите изключение, ако е необходимо.

  1. За да конфигурирате клиенти в режим на проверка , изпълнете следната команда:

    netsh nps set limitproxystate all = "audit"

  2. За да конфигурирате клиенти в режим на разрешаване , изпълнете следната команда:

    netsh nps set limitproxystate all = "enable" 

  3. За да добавите изключение за изключване на клиент от проверката limitProxystate , изпълнете следната команда:

    netsh nps set limitproxystate име = <име на клиент> изключение = "Да" 

Тази конфигурация позволява на NPS прокси сървър да отпадне потенциално уязвимите съобщения за отговор без атрибута Message-Authenticator . Тази конфигурация поддържа три режима:

  • Проверка

  • „Разрешаване“

  • „Дезактивиране“

В режим на проверка се записва предупредително събитие (ИД на събитие: 4420), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи отговорите.

Използвайте командата netsh, за да конфигурирате, разрешите и добавите изключение, ако е необходимо.

  1. За да конфигурирате сървъри в режим на проверка, изпълнете следната команда:

    netsh nps set изискватall = "audit"

  2. За да разрешите конфигурации за всички сървъри, изпълнете следната команда:

    netsh nps set requiremsgauth всички = "enable"

  3. За да добавите изключение за изключване на сървър от requireauthmsg проверка, изпълнете следната команда:

    netsh nps set requiremsgauth remoteservergroup = <име на отдалечен сървър група> адрес = <адрес на сървър> изключение = "да"

Често задавани въпроси

Проверете събитията от NPS модула за свързани събития. Помислете за добавяне на изключения или корекции на конфигурацията за засегнати клиенти/сървъри.

Не, конфигурациите, разгледани в тази статия, се препоръчват за незащитени мрежи. 

Справочни материали

Описание на стандартната терминология, която се използва за описване на актуализациите на софтуера на Microsoft

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.