Důležité U některých verzí systému Microsoft Windows skončila podpora. Upozorňujeme, že některé verze Windows můžou být podporovány po datu ukončení nejnovějšího operačního systému, když jsou k dispozici rozšířené aktualizace zabezpečení (ESU). Seznam produktů nabízejících ESU najdete v nejčastějších dotazech k životnímu cyklu – Rozšířené aktualizace zabezpečení.
Změnit datum |
Změnit popis |
úterý 1. srpna 2024 |
|
úterý 5. srpna 2024 |
|
úterý 6. srpna 2024 |
|
Obsah
Shrnutí
Aktualizace systému Windows z 9. července 2024 nebo později řeší chybu zabezpečení v protokolu RADIUS (Remote Authentication Dial-In User Service) související s problémy s kolizí MD5 . Kvůli slabým kontrolám integrity v MD5 může útočník manipulovat s pakety, aby získal neoprávněný přístup. Chyba zabezpečení MD5 způsobuje, že provoz protokolu RADIUS založený na protokolu UDP (User Datagram Protocol) přes internet není zabezpečený proti padělání nebo úpravám paketů během přenosu.
Další informace o této chybě zabezpečení najdete v článcích CVE-2024-3596 a v dokumentu white paper KOLIZNÍ ÚTOKY RADIUS A MD5.
POZNÁMKA Tato chyba zabezpečení vyžaduje fyzický přístup k síti RADIUS a serveru NPS (Network Policy Server). Proto zákazníci, kteří mají zabezpečené sítě RADIUS, nejsou zranitelní. Kromě toho se toto ohrožení zabezpečení nevztahuje, pokud komunikace protokolu RADIUS probíhá přes síť VPN.
Přijmout opatření
V zájmu ochrany vašeho prostředí doporučujeme povolit následující konfigurace. Další informace najdete v části Konfigurace .
|
Události přidané touto aktualizací
Další informace najdete v části Konfigurace .
Poznámka Tato ID událostí jsou přidána na server NPS aktualizace systému Windows datované 9. července 2024 nebo později.
Paket Access-Request byl vyřazen, protože obsahoval atribut Proxy-State , ale chyběl atribut Message-Authenticator . Zvažte změnu klienta RADIUS tak, aby zahrnoval atribut Message-Authenticator . Případně můžete přidat výjimku pro klienta RADIUS pomocí konfigurace limitProxyState .
Protokol událostí |
Systém |
Typ události |
Chyba |
Zdroj události |
NPS |
ID události |
4418 |
Text události |
Z klientského<ip adresy a>názvu protokolu RADIUS byla přijata zpráva Access-Request obsahující atribut Proxy-State, ale neobsahuje atribut Message-Authenticator. V důsledku toho se požadavek zahodil. Atribut Message-Authenticator je pro účely zabezpečení povinný. Další informace najdete v https://support.microsoft.com/help/5040268. |
Toto je událost auditu pro pakety Access-Request bez atributu Message-Authenticator v přítomnosti proxy-state. Zvažte změnu klienta RADIUS tak, aby zahrnoval atribut Message-Authenticator . Jakmile je povolena konfigurace limitproxystate , paket RADIUS se zahodí.
Protokol událostí |
Systém |
Typ události |
Upozornění |
Zdroj události |
NPS |
ID události |
4419 |
Text události |
Z klientského<ip adresy a>názvu protokolu RADIUS byla přijata zpráva Access-Request obsahující atribut Proxy-State, ale neobsahuje atribut Message-Authenticator. Požadavek je aktuálně povolený, protože limitProxyState je nakonfigurovaný v režimu auditování. Další informace najdete v https://support.microsoft.com/help/5040268. |
Jedná se o událost auditování paketů odpovědí protokolu RADIUS přijatých bez atributu Message-Authenticator na proxy serveru. Zvažte změnu zadaného serveru RADIUS pro atribut Message-Authenticator . Jakmile je povolená konfigurace requiremsgauth , paket RADIUS se zahodí.
Protokol událostí |
Systém |
Typ události |
Upozornění |
Zdroj události |
NPS |
ID události |
4420 |
Text události |
Proxy server RADIUS přijal odpověď ze serveru <ip/název> s chybějícím atributem Message-Authenticator. Odpověď je aktuálně povolená, protože requireMsgAuth je nakonfigurovaná v režimu auditování. Další informace najdete v https://support.microsoft.com/help/5040268. |
Tato událost se zaprotokoluje při spuštění služby, pokud nejsou nakonfigurována doporučená nastavení. Pokud je síť RADIUS nezabezpečená, zvažte povolení nastavení. U zabezpečených sítí je možné tyto události ignorovat.
Protokol událostí |
Systém |
Typ události |
Upozornění |
Zdroj události |
NPS |
ID události |
4421 |
Text události |
Konfigurace RequireMsgAuth a/nebo limitProxyState je v <režimu>zakázání/auditování . Tato nastavení by měla být z bezpečnostních důvodů nakonfigurovaná v režimu povolení. Další informace najdete v https://support.microsoft.com/help/5040268. |
Konfigurace
Tato konfigurace umožňuje proxy serveru NPS začít odesílat atribut Message-Authenticator ve všech paketech Access-Request . Pokud chcete tuto konfiguraci povolit, použijte jednu z následujících metod.
Metoda 1: Použití konzoly MICROSOFT Management Console (MMC) serveru NPS
Chcete-li použít konzolu MMC nps, postupujte takto:
-
Na serveru otevřete uživatelské rozhraní NPS.
-
Otevřete skupiny vzdálených serverů Radius.
-
Vyberte Server Radius.
-
Přejděte do části Ověřování nebo účtování.
-
Kliknutím zaškrtněte políčko Požadavek musí obsahovat atribut Message-Authenticator .
Metoda 2: Použití příkazu netsh
Pokud chcete použít netsh, spusťte následující příkaz:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Další informace najdete v tématu Příkazy skupiny vzdálených serverů RADIUS.
Tato konfigurace vyžaduje atribut Message-Authenticator ve všech paketech Access-Request a v případě nepřítomnosti paket zahodí.
Metoda 1: Použití konzoly MICROSOFT Management Console (MMC) serveru NPS
Chcete-li použít konzolu MMC nps, postupujte takto:
-
Na serveru otevřete uživatelské rozhraní NPS.
-
Otevřete klienty Radius.
-
Vyberte Klient radiusu.
-
Přejděte na Upřesnit nastavení.
-
Kliknutím zaškrtněte políčko Zprávy s žádostí o přístup musí obsahovat atribut message-authenticator .
Další informace najdete v tématu Konfigurace klientů RADIUS.
Metoda 2: Použití příkazu netsh
Pokud chcete použít netsh, spusťte následující příkaz:
netsh nps set client name = <client name> requireauthattrib = yes
Další informace najdete v tématu Příkazy skupiny vzdálených serverů RADIUS.
Tato konfigurace umožňuje serveru NPS odstranit potenciálně ohrožené pakety access-request , které obsahují atribut Proxy-State , ale neobsahují atribut Message-Authenticator . Tato konfigurace podporuje tři režimy:
-
Audit
-
Povolit
-
Zakázat
V režimu auditování se zaprotokoluje událost upozornění (ID události: 4419), ale požadavek se stále zpracovává. Tento režim použijte k identifikaci nevyhovujících entit odesílajících požadavky.
Pomocí příkazu netsh nakonfigurujte, povolte a přidejte výjimku podle potřeby.
-
Pokud chcete nakonfigurovat klienty v režimu auditování , spusťte následující příkaz:
netsh nps set limitproxystate all = "audit"
-
Pokud chcete nakonfigurovat klienty v režimu povolení , spusťte následující příkaz:
netsh nps set limitproxystate all = "enable"
-
Pokud chcete přidat výjimku pro vyloučení klienta z ověření limitProxystate , spusťte následující příkaz:
netsh nps set limitproxystate name = <název klienta> výjimka = "Ano"
Tato konfigurace umožňuje proxy serveru NPS odstranit potenciálně ohrožené zprávy odpovědí bez atributu Message-Authenticator . Tato konfigurace podporuje tři režimy:
-
Audit
-
Povolit
-
Zakázat
V režimu auditování se zaprotokoluje událost upozornění (ID události: 4420), ale požadavek se stále zpracovává. Tento režim použijte k identifikaci nevyhovujících entit, které odesílají odpovědi.
Pomocí příkazu netsh nakonfigurujte, povolte a přidejte výjimku podle potřeby.
-
Pokud chcete nakonfigurovat servery v režimu auditování, spusťte následující příkaz:
netsh nps set vyžadováníall = "audit"msgauth
-
Pokud chcete povolit konfigurace pro všechny servery, spusťte následující příkaz:
netsh nps set requiremsgauth all = "enable"
-
Pokud chcete přidat výjimku pro vyloučení serveru z ověřování requireauthmsg, spusťte následující příkaz:
netsh nps set requiremsgauth remoteservergroup = <název skupiny vzdálených serverů> adresa = adresa<serveru> výjimka = "ano"
Nejčastější dotazy
Zkontrolujte události související s událostmi modulu NPS. Zvažte přidání výjimek nebo úprav konfigurace pro ovlivněné klienty nebo servery.
Ne, konfigurace popisované v tomto článku se doporučují pro nezabezpečené sítě.
Reference
Popis standardní terminologie, která se používá k popisu aktualizací softwaru společnosti Microsoft
Produkty třetích stran, které tento článek popisuje, pocházejí od společností, které jsou nezávislé na společnosti Microsoft. Neposkytujeme žádnou záruku, předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů.
Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.