Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Vigtigt! Visse versioner af Microsoft Windows har nået slutdatoen for support. Bemærk, at nogle versioner af Windows muligvis understøttes efter den seneste slutdato for operativsystemet, når extended security updates (ESUs) er tilgængelige. Se Ofte stillede spørgsmål om livscyklus – udvidede sikkerhedsopdateringer for en liste over produkter, der tilbyder ESU'er.

Skift dato

Skift beskrivelse

1. august 2024

  • Mindre formateringsændringer for læsbarhed

  • I konfigurationen "Configure verification of the Message-Authenticator in all Access-Request packets on the client" (Konfigurer bekræftelse af message-Authenticator)-konfigurationen blev ordet "meddelelse" brugt i stedet for "pakke"

5. august 2024

  • Tilføjet link til User Datagram Protocol (UDP)

  • Tilføjet link til Netværkspolitikserver (NPS)

6. august 2024

  • Afsnittet "Oversigt" er opdateret for at angive, at disse ændringer er inkluderet i Windows-opdateringer, der er dateret den 9. juli 2024 eller derefter

  • Punkttegnene i afsnittet "Benyt en handling" er blevet opdateret for at angive, at vi anbefaler, at du slår indstillingerne til. Disse indstillinger er som standard slået fra.

  • Der er føjet en note til afsnittet "Hændelser tilføjet af denne opdatering" for at angive, at hændelses-id'erne føjes til NPS-serveren af De Windows-opdateringer, der er dateret den 9. juli 2024 eller derefter

Indhold

Sammendrag

Windows-opdateringerne, der er dateret den 9. juli 2024 eller derefter, løser en sikkerhedsrisiko i RADIUS-protokollen (Remote Authentication Dial-In User Service), der er relateret til MD5-kollisionsproblemer . På grund af svage integritetskontroller i MD5 kan en hacker pille ved pakker for at få uautoriseret adgang. MD5-sårbarhed gør UDP-baseret RADIUS-trafik (User Datagram Protocol) over internettet usikker mod pakkeforfalskning eller ændring under transport. 

Du kan få mere at vide om denne sårbarhed under CVE-2024-3596 og hvidbogen RADIUS OG MD5 KOLLISIONSANGREB.

SEDDEL Denne sårbarhed kræver fysisk adgang til RADIUS-netværket og NPS (Network Policy Server). Derfor er kunder, der har sikret RADIUS-netværk, ikke sårbare. Desuden gælder sårbarheden ikke, når RADIUS-kommunikation sker via VPN. 

Gør noget

For at beskytte dit miljø anbefaler vi, at du aktiverer følgende konfigurationer. Du kan få mere at vide i afsnittet Konfigurationer .

  • Angiv attributten Message-Authenticator i Access-Request-pakker . Sørg for, at alle pakker med adgangsanmodninger indeholder attributten Message-Authenticator . Indstillingen til at angive attributten Message-Authenticator er som standard slået fra. Vi anbefaler, at du slår denne indstilling til.

  • Kontrollér attributten Message-Authenticator i Access-Request-pakker . Overvej at gennemtvinge validering af attributten Message-AuthenticatorAccess-Request-pakker . Pakker med adgangsanmodninger uden denne attribut behandles ikke. Meddelelser om adgangsanmodninger skal som standard indeholde attributindstillingen for godkenderen af meddelelsen er slået fra. Vi anbefaler, at du slår denne indstilling til.

  • Kontrollér attributten Message-Authenticator i Access-Request-pakker , hvis attributten Proxy-State findes. Du kan også aktivere indstillingen limitProxyState , hvis det ikke er muligt at gennemtvinge validering af Message-Authenticator-attributten på hver access-request-pakke . limitProxyState gennemtvinger slippende Access-Request-pakker , der indeholder proxytilstandsattributten uden attributten Message-Authenticator . Indstillingen limitproxystate er som standard slået fra. Vi anbefaler, at du slår denne indstilling til.

  • Bekræft attributten Message-Authenticator i RADIUS-svarpakker: Access-Accept, Access-Reject og Access-Challenge. Aktivér indstillingen requireMsgAuth for at gennemtvinge, at RADIUS-svarpakkerne slippes fra fjernservere uden attributten Message-Authenticator . Indstillingen Requiremsgauth er som standard slået fra. Vi anbefaler, at du slår denne indstilling til.

Hændelser, der er tilføjet af denne opdatering

Du kan få mere at vide i afsnittet Konfigurationer .

Bemærk! Disse hændelses-id'er føjes til NPS-serveren af De Windows-opdateringer, der er dateret den 9. juli 2024 eller derefter.

Adgangsanmodningspakken blev fjernet, fordi den indeholdt proxytilstandsattributten, men manglede attributten Message-Authenticator. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . Du kan også tilføje en undtagelse for RADIUS-klienten ved hjælp af konfigurationen limitProxyState .

Hændelseslogfil

System

Hændelsestype

Fejl

Hændelseskilde

NPS

Hændelses-id

4418

Hændelsestekst

Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Derfor blev anmodningen afvist. Attributten Message-Authenticator er obligatorisk af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide. 

Dette er en overvågningshændelse for Access-Request-pakker uden attributten Message-Authenticator under tilstedeværelse af proxytilstand. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . RADIUS-pakken udelades, når konfigurationen af limitproxystate er aktiveret.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4419

Hændelsestekst

Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Anmodningen er i øjeblikket tilladt, da limitProxyState er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide. 

Dette er en overvågningshændelse for RADIUS-svarpakker, der er modtaget uden attributten Message-Authenticator på proxyen. Overvej at ændre den angivne RADIUS-server for Message-Authenticator-attributten . RADIUS-pakken slippes, når konfigurationen requiremsgauth er aktiveret.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4420

Hændelsestekst

RADIUS-proxyen har modtaget et svar fra server <ip/name> med en manglende attribut for Message-Authenticator. Svar er i øjeblikket tilladt, da det kræver, atMsgAuth er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide.

Hændelsen logføres under tjenestestart, når de anbefalede indstillinger ikke er konfigureret. Overvej at aktivere indstillingerne, hvis RADIUS-netværket er usikkert. For sikre netværk kan disse hændelser ignoreres.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4421

Hændelsestekst

RequireMsgAuth and/or limitProxyState configuration is in <Disable/Audit> mode. Disse indstillinger skal konfigureres i Aktivér tilstand af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide.

Konfigurationer

Denne konfiguration gør det muligt for NPS-proxyen at begynde at sende attributten Message-Authenticator i alle Access-Request-pakker . Hvis du vil aktivere denne konfiguration, skal du bruge en af følgende metoder.

Metode 1: Brug NPS Microsoft Management Console (MMC)

Hvis du vil bruge NPS MMC, skal du følge disse trin:

  1. Åbn NPS-brugergrænsefladen på serveren.

  2. Åbn de eksterne Radius-servergrupper.

  3. Vælg Radius-server.

  4. Gå til Godkendelse/revision.

  5. Klik for at markere afkrydsningsfeltet Anmodningen skal indeholde Message-Authenticator attributten .

Metode 2: Brug kommandoen netsh

Kør følgende kommando for at bruge netsh:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.

Denne konfiguration kræver attributten Message-Authenticator i alle Access-Request-pakker og slipper pakken, hvis den ikke er til stede.

Metode 1: Brug NPS Microsoft Management Console (MMC)

Hvis du vil bruge NPS MMC, skal du følge disse trin:

  1. Åbn NPS-brugergrænsefladen på serveren.

  2. Åbn Radius-klienter.

  3. Vælg Radius-klient.

  4. Gå til Avancerede indstillinger.

  5. Klik for at markere afkrydsningsfeltet Anmodninger om adgang skal indeholde attributten message-authenticator .

Du kan få mere at vide under Konfigurere RADIUS-klienter.

Metode 2: Brug kommandoen netsh

Kør følgende kommando for at bruge netsh:

netsh nps set client name = <client name> requireauthattrib = yes

Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.

Denne konfiguration gør det muligt for NPS-serveren at slippe potentielle sårbare Access-Request-pakker , der indeholder en proxytilstandsattribut , men ikke indeholder en Message-Authenticator-attribut . Denne konfiguration understøtter tre tilstande:

  • Overvågning

  • Aktivér

  • Deaktiver

I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4419), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender anmodningerne.

Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.

  1. Hvis du vil konfigurere klienter i overvågningstilstand , skal du køre følgende kommando:

    netsh nps set limitproxystate all = "audit"

  2. Hvis du vil konfigurere klienter i aktiveringstilstand , skal du køre følgende kommando:

    netsh nps set limitproxystate all = "enable" 

  3. Hvis du vil tilføje en undtagelse for at udelukke en klient fra limitProxystate-validering , skal du køre følgende kommando:

    netsh nps set limitproxystate name = <klientnavn> undtagelse = "Ja" 

Denne konfiguration gør det muligt for NPS-proxy at slippe potentielt sårbare svarmeddelelser uden attributten Message-Authenticator . Denne konfiguration understøtter tre tilstande:

  • Overvågning

  • Aktivér

  • Deaktiver

I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4420), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender svarene.

Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.

  1. Hvis du vil konfigurere servere i overvågningstilstand, skal du køre følgende kommando:

    netsh nps set kræverall = "audit"

  2. Kør følgende kommando for at aktivere konfigurationer for alle servere:

    netsh nps set requiremsgauth all = "enable"

  3. Hvis du vil tilføje en undtagelse for at udelukke en server fra requireauthmsg-validering, skal du køre følgende kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Ofte stillede spørgsmål

Kontrollér NPS-modulhændelser for relaterede hændelser. Overvej at tilføje undtagelser eller konfigurationsjusteringer for berørte klienter/servere.

Nej, de konfigurationer, der beskrives i denne artikel, anbefales til usikre netværk. 

Referencer

Beskrivelse af den standardterminologi, der bruges til at beskrive Microsoft-softwareopdateringer

De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.