Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Důležité U některých verzí systému Microsoft Windows skončila podpora. Upozorňujeme, že některé verze Windows můžou být podporovány po datu ukončení nejnovějšího operačního systému, když jsou k dispozici rozšířené aktualizace zabezpečení (ESU). Seznam produktů nabízejících ESU najdete v nejčastějších dotazech k životnímu cyklu – Rozšířené aktualizace zabezpečení.

Změnit datum

Změnit popis

úterý 1. srpna 2024

  • Menší změny formátování pro lepší čitelnost

  • V konfiguraci Konfigurace ověření atributu Message-Authenticator ve všech paketech Access-Request v klientovi se místo paketu použilo slovo "message"

úterý 5. srpna 2024

  • Přidání odkazu pro protokol UDP (User Datagram Protocol)

  • Přidání odkazu pro server NPS (Network Policy Server)

úterý 6. srpna 2024

  • Aktualizace části Souhrn tak, aby označovala, že tyto změny jsou zahrnuté v aktualizacích Windows od 9. července 2024 nebo později.

  • Aktualizovali jsme odrážky v části Provést akci, aby naznačovaly, že doporučujeme zapnout možnosti. Tyto možnosti jsou ve výchozím nastavení vypnuté.

  • Přidání poznámky do části "Události přidané touto aktualizací" označující, že ID událostí jsou přidána na server NPS aktualizace systému Windows datované 9. července 2024 nebo později.

Obsah

Shrnutí

Aktualizace systému Windows z 9. července 2024 nebo později řeší chybu zabezpečení v protokolu RADIUS (Remote Authentication Dial-In User Service) související s problémy s kolizí MD5 . Kvůli slabým kontrolám integrity v MD5 může útočník manipulovat s pakety, aby získal neoprávněný přístup. Chyba zabezpečení MD5 způsobuje, že provoz protokolu RADIUS založený na protokolu UDP (User Datagram Protocol) přes internet není zabezpečený proti padělání nebo úpravám paketů během přenosu. 

Další informace o této chybě zabezpečení najdete v článcích CVE-2024-3596 a v dokumentu white paper KOLIZNÍ ÚTOKY RADIUS A MD5.

POZNÁMKA Tato chyba zabezpečení vyžaduje fyzický přístup k síti RADIUS a serveru NPS (Network Policy Server). Proto zákazníci, kteří mají zabezpečené sítě RADIUS, nejsou zranitelní. Kromě toho se toto ohrožení zabezpečení nevztahuje, pokud komunikace protokolu RADIUS probíhá přes síť VPN. 

Přijmout opatření

V zájmu ochrany vašeho prostředí doporučujeme povolit následující konfigurace. Další informace najdete v části Konfigurace .

  • Nastavte atribut Message-Authenticator v paketech Access-Request . Ujistěte se, že všechny pakety Access-Request obsahují atribut Message-Authenticator . Ve výchozím nastavení je možnost nastavení atributu Message-Authenticator vypnutá. Doporučujeme tuto možnost zapnout.

  • Ověřte atribut Message-Authenticator v paketech Access-Request . Zvažte vynucování ověření atributu Message-Authenticator u paketů Access-Request . Pakety access-Request bez tohoto atributu nebudou zpracovány. Ve výchozím nastavení musí zprávy s žádostí o přístup obsahovat atribut message-authenticator vypnutý. Doporučujeme tuto možnost zapnout.

  • Ověřte atribut Message-Authenticator v paketech Access-Request , pokud existuje atribut Stav proxy serveru. Volitelně můžete povolit možnost limitProxyState , pokud nelze provést ověření atributu Message-Authenticator u každého paketu Access-Request . limitProxyState vynucuje vyřazení paketů Access-Request obsahujících atribut Stav proxy bez atributu Message-Authenticator . Ve výchozím nastavení je možnost limitproxystate vypnutá. Doporučujeme tuto možnost zapnout.

  • Ověřte atribut Message-Authenticator v paketech odpovědí RADIUS: Access-Accept, Access-Reject a Access-Challenge. Povolte možnost requireMsgAuth, pokud chcete vynutit vyřazení paketů odpovědí RADIUS ze vzdálených serverů bez atributu Message-Authenticator . Ve výchozím nastavení je možnost requiremsgauth vypnutá. Doporučujeme tuto možnost zapnout.

Události přidané touto aktualizací

Další informace najdete v části Konfigurace .

Poznámka Tato ID událostí jsou přidána na server NPS aktualizace systému Windows datované 9. července 2024 nebo později.

Paket Access-Request byl vyřazen, protože obsahoval atribut Proxy-State , ale chyběl atribut Message-Authenticator . Zvažte změnu klienta RADIUS tak, aby zahrnoval atribut Message-Authenticator . Případně můžete přidat výjimku pro klienta RADIUS pomocí konfigurace limitProxyState .

Protokol událostí

Systém

Typ události

Chyba

Zdroj události

NPS

ID události

4418

Text události

Z klientského<ip adresy a>názvu protokolu RADIUS byla přijata zpráva Access-Request obsahující atribut Proxy-State, ale neobsahuje atribut Message-Authenticator. V důsledku toho se požadavek zahodil. Atribut Message-Authenticator je pro účely zabezpečení povinný. Další informace najdete v https://support.microsoft.com/help/5040268. 

Toto je událost auditu pro pakety Access-Request bez atributu Message-Authenticator v přítomnosti proxy-state. Zvažte změnu klienta RADIUS tak, aby zahrnoval atribut Message-Authenticator . Jakmile je povolena konfigurace limitproxystate , paket RADIUS se zahodí.

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

NPS

ID události

4419

Text události

Z klientského<ip adresy a>názvu protokolu RADIUS byla přijata zpráva Access-Request obsahující atribut Proxy-State, ale neobsahuje atribut Message-Authenticator. Požadavek je aktuálně povolený, protože limitProxyState je nakonfigurovaný v režimu auditování. Další informace najdete v https://support.microsoft.com/help/5040268. 

Jedná se o událost auditování paketů odpovědí protokolu RADIUS přijatých bez atributu Message-Authenticator na proxy serveru. Zvažte změnu zadaného serveru RADIUS pro atribut Message-Authenticator . Jakmile je povolená konfigurace requiremsgauth , paket RADIUS se zahodí.

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

NPS

ID události

4420

Text události

Proxy server RADIUS přijal odpověď ze serveru <ip/název> s chybějícím atributem Message-Authenticator. Odpověď je aktuálně povolená, protože requireMsgAuth je nakonfigurovaná v režimu auditování. Další informace najdete v https://support.microsoft.com/help/5040268.

Tato událost se zaprotokoluje při spuštění služby, pokud nejsou nakonfigurována doporučená nastavení. Pokud je síť RADIUS nezabezpečená, zvažte povolení nastavení. U zabezpečených sítí je možné tyto události ignorovat.

Protokol událostí

Systém

Typ události

Upozornění

Zdroj události

NPS

ID události

4421

Text události

Konfigurace RequireMsgAuth a/nebo limitProxyState je v <režimu>zakázání/auditování . Tato nastavení by měla být z bezpečnostních důvodů nakonfigurovaná v režimu povolení. Další informace najdete v https://support.microsoft.com/help/5040268.

Konfigurace

Tato konfigurace umožňuje proxy serveru NPS začít odesílat atribut Message-Authenticator ve všech paketech Access-Request . Pokud chcete tuto konfiguraci povolit, použijte jednu z následujících metod.

Metoda 1: Použití konzoly MICROSOFT Management Console (MMC) serveru NPS

Chcete-li použít konzolu MMC nps, postupujte takto:

  1. Na serveru otevřete uživatelské rozhraní NPS.

  2. Otevřete skupiny vzdálených serverů Radius.

  3. Vyberte Server Radius.

  4. Přejděte do části Ověřování nebo účtování.

  5. Kliknutím zaškrtněte políčko Požadavek musí obsahovat atribut Message-Authenticator .

Metoda 2: Použití příkazu netsh

Pokud chcete použít netsh, spusťte následující příkaz:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Další informace najdete v tématu Příkazy skupiny vzdálených serverů RADIUS.

Tato konfigurace vyžaduje atribut Message-Authenticator ve všech paketech Access-Request a v případě nepřítomnosti paket zahodí.

Metoda 1: Použití konzoly MICROSOFT Management Console (MMC) serveru NPS

Chcete-li použít konzolu MMC nps, postupujte takto:

  1. Na serveru otevřete uživatelské rozhraní NPS.

  2. Otevřete klienty Radius.

  3. Vyberte Klient radiusu.

  4. Přejděte na Upřesnit nastavení.

  5. Kliknutím zaškrtněte políčko Zprávy s žádostí o přístup musí obsahovat atribut message-authenticator .

Další informace najdete v tématu Konfigurace klientů RADIUS.

Metoda 2: Použití příkazu netsh

Pokud chcete použít netsh, spusťte následující příkaz:

netsh nps set client name = <client name> requireauthattrib = yes

Další informace najdete v tématu Příkazy skupiny vzdálených serverů RADIUS.

Tato konfigurace umožňuje serveru NPS odstranit potenciálně ohrožené pakety access-request , které obsahují atribut Proxy-State , ale neobsahují atribut Message-Authenticator . Tato konfigurace podporuje tři režimy:

  • Audit

  • Povolit

  • Zakázat

V režimu auditování se zaprotokoluje událost upozornění (ID události: 4419), ale požadavek se stále zpracovává. Tento režim použijte k identifikaci nevyhovujících entit odesílajících požadavky.

Pomocí příkazu netsh nakonfigurujte, povolte a přidejte výjimku podle potřeby.

  1. Pokud chcete nakonfigurovat klienty v režimu auditování , spusťte následující příkaz:

    netsh nps set limitproxystate all = "audit"

  2. Pokud chcete nakonfigurovat klienty v režimu povolení , spusťte následující příkaz:

    netsh nps set limitproxystate all = "enable" 

  3. Pokud chcete přidat výjimku pro vyloučení klienta z ověření limitProxystate , spusťte následující příkaz:

    netsh nps set limitproxystate name = <název klienta> výjimka = "Ano" 

Tato konfigurace umožňuje proxy serveru NPS odstranit potenciálně ohrožené zprávy odpovědí bez atributu Message-Authenticator . Tato konfigurace podporuje tři režimy:

  • Audit

  • Povolit

  • Zakázat

V režimu auditování se zaprotokoluje událost upozornění (ID události: 4420), ale požadavek se stále zpracovává. Tento režim použijte k identifikaci nevyhovujících entit, které odesílají odpovědi.

Pomocí příkazu netsh nakonfigurujte, povolte a přidejte výjimku podle potřeby.

  1. Pokud chcete nakonfigurovat servery v režimu auditování, spusťte následující příkaz:

    netsh nps set vyžadováníall = "audit"msgauth

  2. Pokud chcete povolit konfigurace pro všechny servery, spusťte následující příkaz:

    netsh nps set requiremsgauth all = "enable"

  3. Pokud chcete přidat výjimku pro vyloučení serveru z ověřování requireauthmsg, spusťte následující příkaz:

    netsh nps set requiremsgauth remoteservergroup = <název skupiny vzdálených serverů> adresa = adresa<serveru> výjimka = "ano"

Nejčastější dotazy

Zkontrolujte události související s událostmi modulu NPS. Zvažte přidání výjimek nebo úprav konfigurace pro ovlivněné klienty nebo servery.

Ne, konfigurace popisované v tomto článku se doporučují pro nezabezpečené sítě. 

Reference

Popis standardní terminologie, která se používá k popisu aktualizací softwaru společnosti Microsoft

Produkty třetích stran, které tento článek popisuje, pocházejí od společností, které jsou nezávislé na společnosti Microsoft. Neposkytujeme žádnou záruku, předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů.

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto kontaktní informace se můžou bez upozornění změnit. Nezaručujeme přesnost těchto kontaktních informací třetích stran.

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.