Важно Някои версии на Microsoft Windows достигнаха края на поддръжката. Имайте предвид, че някои версии на Windows може да се поддържат след последната крайна дата на ОС, когато са налични разширени актуализации на защитата (ESU). Вижте ЧЗВ за жизнения цикъл – разширени актуализации на защитата за списък на продуктите, които предлагат ESU.
Промяна на датата |
Промяна на описанието |
1 август 2024 г. |
|
5 август 2024 г. |
|
6 август 2024 г. |
|
Съдържанието
Резюме
Актуализациите на Windows, датирани на или след 9 юли 2024 г., адресират уязвимост на защитата в протокола за услуга за външно избиране за отдалечено удостоверяване (RADIUS), свързана с проблеми при конфликт на MD5 . Поради проверките за слаба цялост в MD5 атакуващият може да промени злонамерено пакети, за да получи неупълномощен достъп. Уязвимостта В MD5 прави потребителския radius трафик по интернет базиран на User Datagram Protocol (UDP) несигурен срещу подправяне на пакети или промяна по време на транспортиране.
За повече информация относно тази уязвимост вижте CVE-2024-3596 и лакът RADIUS И MD5 АТАКИ С КОНФЛИКТИ.
БЕЛЕЖКА Тази уязвимост изисква физически достъп до мрежата RADIUS и сървъра за мрежови правила (NPS).. Затова клиенти, които са защитени RADIUS мрежи не са уязвими. Освен това уязвимостта не се отнася, когато RADIUS комуникация възниква през VPN.
Предприемане на действие
За да защитите вашата среда, ви препоръчваме да разрешите следните конфигурации. За повече информация вижте раздела Конфигурации .
|
Събития, добавени от тази актуализация
За повече информация вижте раздела Конфигурации .
Забележка Тези идентификатори на събития се добавят към NPS сървъра чрез актуализациите на Windows, давани на или след 9 юли 2024 г.
Пакетът за искане на достъп е прекратен, защото съдържа атрибута Proxy-State , но му липсва атрибут Message-Authenticator . Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . Или добавете изключение за RADIUS клиент с помощта на конфигурацията limitProxyState .
Регистър на събитията |
Система |
Тип събитие |
Грешка |
Източник на събитие |
Недоставяне |
ИД на събитие |
4418 |
Текст на събитие |
Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. В резултат на това искането е отхвърлено. Атрибутът Message-Authenticator е задължителен за целите на сигурността. Вижте https://support.microsoft.com/help/5040268, за да научите повече. |
Това е събитие за проверка за пакети с искания за достъп без атрибута Message-Authenticator в присъствието на Proxy-State. Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . RADIUS пакет ще бъде прекратен, след като е разрешена конфигурацията на limitproxystate .
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Недоставяне |
ИД на събитие |
4419 |
Текст на събитие |
Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. Искането в момента е разрешено, тъй като limitProxyState е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече. |
Това е събитие за проверка за RADIUS пакети за отговор, получени без атрибута Message-Authenticator на прокси сървъра. Помислете за промяна на зададения RADIUS сървър за атрибута Message-Authenticator . RADIUS пакет ще бъдат пуснати, след като е разрешена конфигурацията requiremsgauth .
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Недоставяне |
ИД на събитие |
4420 |
Текст на събитие |
Radius прокси сървърът получи отговор от сървър <ip/name> с липсващ атрибут Message-Authenticator. В момента е разрешен отговор, тъй като requireMsgAuth е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече. |
Това събитие се регистрира по време на стартирането на услугата, когато препоръчителните настройки не са конфигурирани. Помислете дали да не разрешите настройките, ако мрежата RADIUS не е незащитена. За защитени мрежи тези събития могат да бъдат игнорирани.
Регистър на събитията |
Система |
Тип събитие |
Предупреждение |
Източник на събитие |
Недоставяне |
ИД на събитие |
4421 |
Текст на събитие |
Конфигурацията requireMsgAuth и/или limitProxyState е в режим<забраняване/проверка> . Тези настройки трябва да бъдат конфигурирани в режим на разрешаване от съображения за сигурност. Вижте https://support.microsoft.com/help/5040268, за да научите повече. |
Конфигурации
Тази конфигурация позволява на NPS прокси сървър да започне да изпраща атрибута Message-Authenticator във всички пакети на Access-Request . За да разрешите тази конфигурация, използвайте един от следните методи.
Метод 1: Използване на NPS Microsoft Management Console (MMC)
За да използвате NPS MMC, изпълнете следните стъпки:
-
Отворете потребителския интерфейс (ПИ) на NPS на сървъра.
-
Отворете отдалечените групи на сървъра за Radius.
-
Изберете Radius Server.
-
Отидете на Удостоверяване/счетоводство.
-
Щракнете, за да изберете квадратчето за отметка Искането трябва да съдържа Message-Authenticator атрибут .
Метод 2: Използване на командата netsh
За да използвате netsh, изпълнете следната команда:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
За повече информация вж. Команди за групата на отдалечения RADIUS сървър.
Тази конфигурация изисква атрибута Message-Authenticator във всички пакети на Access-Request и изпуска пакета, ако липсва.
Метод 1: Използване на NPS Microsoft Management Console (MMC)
За да използвате NPS MMC, изпълнете следните стъпки:
-
Отворете потребителския интерфейс (ПИ) на NPS на сървъра.
-
Отваряне на radius клиенти.
-
Изберете Radius Client.
-
Отидете в Разширени настройки.
-
Щракнете, за да изберете квадратчето за отметка съобщенията на Access-Request трябва да съдържат атрибута message-authenticator .
За повече информация вижте Конфигуриране на RADIUS клиенти.
Метод 2: Използване на командата netsh
За да използвате netsh, изпълнете следната команда:
netsh nps set client name = <client name> requireauthattrib = yes
За повече информация вж. Команди за групата на отдалечения RADIUS сървър.
Тази конфигурация позволява на NPS сървъра да откаже потенциални уязвими пакети на Access-Request , които съдържат атрибут Proxy-State , но не включват атрибут Message-Authenticator . Тази конфигурация поддържа три режима:
-
Проверка
-
„Разрешаване“
-
„Дезактивиране“
В режим на проверка се записва предупредително събитие (ИД на събитие: 4419), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи заявките.
Използвайте командата netsh , за да конфигурирате, разрешите и добавите изключение, ако е необходимо.
-
За да конфигурирате клиенти в режим на проверка , изпълнете следната команда:
netsh nps set limitproxystate all = "audit"
-
За да конфигурирате клиенти в режим на разрешаване , изпълнете следната команда:
netsh nps set limitproxystate all = "enable"
-
За да добавите изключение за изключване на клиент от проверката limitProxystate , изпълнете следната команда:
netsh nps set limitproxystate име = <име на клиент> изключение = "Да"
Тази конфигурация позволява на NPS прокси сървър да отпадне потенциално уязвимите съобщения за отговор без атрибута Message-Authenticator . Тази конфигурация поддържа три режима:
-
Проверка
-
„Разрешаване“
-
„Дезактивиране“
В режим на проверка се записва предупредително събитие (ИД на събитие: 4420), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи отговорите.
Използвайте командата netsh, за да конфигурирате, разрешите и добавите изключение, ако е необходимо.
-
За да конфигурирате сървъри в режим на проверка, изпълнете следната команда:
netsh nps set изискватall = "audit"
-
За да разрешите конфигурации за всички сървъри, изпълнете следната команда:
netsh nps set requiremsgauth всички = "enable"
-
За да добавите изключение за изключване на сървър от requireauthmsg проверка, изпълнете следната команда:
netsh nps set requiremsgauth remoteservergroup = <име на отдалечен сървър група> адрес = <адрес на сървър> изключение = "да"
Често задавани въпроси
Проверете събитията от NPS модула за свързани събития. Помислете за добавяне на изключения или корекции на конфигурацията за засегнати клиенти/сървъри.
Не, конфигурациите, разгледани в тази статия, се препоръчват за незащитени мрежи.
Справочни материали
Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.
Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.