Vigtigt! Visse versioner af Microsoft Windows har nået slutdatoen for support. Bemærk, at nogle versioner af Windows muligvis understøttes efter den seneste slutdato for operativsystemet, når extended security updates (ESUs) er tilgængelige. Se Ofte stillede spørgsmål om livscyklus – udvidede sikkerhedsopdateringer for en liste over produkter, der tilbyder ESU'er.
Skift dato |
Skift beskrivelse |
1. august 2024 |
|
5. august 2024 |
|
6. august 2024 |
|
Indhold
Sammendrag
Windows-opdateringerne, der er dateret den 9. juli 2024 eller derefter, løser en sikkerhedsrisiko i RADIUS-protokollen (Remote Authentication Dial-In User Service), der er relateret til MD5-kollisionsproblemer . På grund af svage integritetskontroller i MD5 kan en hacker pille ved pakker for at få uautoriseret adgang. MD5-sårbarhed gør UDP-baseret RADIUS-trafik (User Datagram Protocol) over internettet usikker mod pakkeforfalskning eller ændring under transport.
Du kan få mere at vide om denne sårbarhed under CVE-2024-3596 og hvidbogen RADIUS OG MD5 KOLLISIONSANGREB.
SEDDEL Denne sårbarhed kræver fysisk adgang til RADIUS-netværket og NPS (Network Policy Server). Derfor er kunder, der har sikret RADIUS-netværk, ikke sårbare. Desuden gælder sårbarheden ikke, når RADIUS-kommunikation sker via VPN.
Gør noget
For at beskytte dit miljø anbefaler vi, at du aktiverer følgende konfigurationer. Du kan få mere at vide i afsnittet Konfigurationer .
|
Hændelser, der er tilføjet af denne opdatering
Du kan få mere at vide i afsnittet Konfigurationer .
Bemærk! Disse hændelses-id'er føjes til NPS-serveren af De Windows-opdateringer, der er dateret den 9. juli 2024 eller derefter.
Adgangsanmodningspakken blev fjernet, fordi den indeholdt proxytilstandsattributten, men manglede attributten Message-Authenticator. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . Du kan også tilføje en undtagelse for RADIUS-klienten ved hjælp af konfigurationen limitProxyState .
Hændelseslogfil |
System |
Hændelsestype |
Fejl |
Hændelseskilde |
NPS |
Hændelses-id |
4418 |
Hændelsestekst |
Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Derfor blev anmodningen afvist. Attributten Message-Authenticator er obligatorisk af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide. |
Dette er en overvågningshændelse for Access-Request-pakker uden attributten Message-Authenticator under tilstedeværelse af proxytilstand. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . RADIUS-pakken udelades, når konfigurationen af limitproxystate er aktiveret.
Hændelseslogfil |
System |
Hændelsestype |
Advarsel |
Hændelseskilde |
NPS |
Hændelses-id |
4419 |
Hændelsestekst |
Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Anmodningen er i øjeblikket tilladt, da limitProxyState er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide. |
Dette er en overvågningshændelse for RADIUS-svarpakker, der er modtaget uden attributten Message-Authenticator på proxyen. Overvej at ændre den angivne RADIUS-server for Message-Authenticator-attributten . RADIUS-pakken slippes, når konfigurationen requiremsgauth er aktiveret.
Hændelseslogfil |
System |
Hændelsestype |
Advarsel |
Hændelseskilde |
NPS |
Hændelses-id |
4420 |
Hændelsestekst |
RADIUS-proxyen har modtaget et svar fra server <ip/name> med en manglende attribut for Message-Authenticator. Svar er i øjeblikket tilladt, da det kræver, atMsgAuth er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide. |
Hændelsen logføres under tjenestestart, når de anbefalede indstillinger ikke er konfigureret. Overvej at aktivere indstillingerne, hvis RADIUS-netværket er usikkert. For sikre netværk kan disse hændelser ignoreres.
Hændelseslogfil |
System |
Hændelsestype |
Advarsel |
Hændelseskilde |
NPS |
Hændelses-id |
4421 |
Hændelsestekst |
RequireMsgAuth and/or limitProxyState configuration is in <Disable/Audit> mode. Disse indstillinger skal konfigureres i Aktivér tilstand af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide. |
Konfigurationer
Denne konfiguration gør det muligt for NPS-proxyen at begynde at sende attributten Message-Authenticator i alle Access-Request-pakker . Hvis du vil aktivere denne konfiguration, skal du bruge en af følgende metoder.
Metode 1: Brug NPS Microsoft Management Console (MMC)
Hvis du vil bruge NPS MMC, skal du følge disse trin:
-
Åbn NPS-brugergrænsefladen på serveren.
-
Åbn de eksterne Radius-servergrupper.
-
Vælg Radius-server.
-
Gå til Godkendelse/revision.
-
Klik for at markere afkrydsningsfeltet Anmodningen skal indeholde Message-Authenticator attributten .
Metode 2: Brug kommandoen netsh
Kør følgende kommando for at bruge netsh:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.
Denne konfiguration kræver attributten Message-Authenticator i alle Access-Request-pakker og slipper pakken, hvis den ikke er til stede.
Metode 1: Brug NPS Microsoft Management Console (MMC)
Hvis du vil bruge NPS MMC, skal du følge disse trin:
-
Åbn NPS-brugergrænsefladen på serveren.
-
Åbn Radius-klienter.
-
Vælg Radius-klient.
-
Gå til Avancerede indstillinger.
-
Klik for at markere afkrydsningsfeltet Anmodninger om adgang skal indeholde attributten message-authenticator .
Du kan få mere at vide under Konfigurere RADIUS-klienter.
Metode 2: Brug kommandoen netsh
Kør følgende kommando for at bruge netsh:
netsh nps set client name = <client name> requireauthattrib = yes
Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.
Denne konfiguration gør det muligt for NPS-serveren at slippe potentielle sårbare Access-Request-pakker , der indeholder en proxytilstandsattribut , men ikke indeholder en Message-Authenticator-attribut . Denne konfiguration understøtter tre tilstande:
-
Overvågning
-
Aktivér
-
Deaktiver
I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4419), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender anmodningerne.
Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.
-
Hvis du vil konfigurere klienter i overvågningstilstand , skal du køre følgende kommando:
netsh nps set limitproxystate all = "audit"
-
Hvis du vil konfigurere klienter i aktiveringstilstand , skal du køre følgende kommando:
netsh nps set limitproxystate all = "enable"
-
Hvis du vil tilføje en undtagelse for at udelukke en klient fra limitProxystate-validering , skal du køre følgende kommando:
netsh nps set limitproxystate name = <klientnavn> undtagelse = "Ja"
Denne konfiguration gør det muligt for NPS-proxy at slippe potentielt sårbare svarmeddelelser uden attributten Message-Authenticator . Denne konfiguration understøtter tre tilstande:
-
Overvågning
-
Aktivér
-
Deaktiver
I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4420), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender svarene.
Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.
-
Hvis du vil konfigurere servere i overvågningstilstand, skal du køre følgende kommando:
netsh nps set kræverall = "audit"
-
Kør følgende kommando for at aktivere konfigurationer for alle servere:
netsh nps set requiremsgauth all = "enable"
-
Hvis du vil tilføje en undtagelse for at udelukke en server fra requireauthmsg-validering, skal du køre følgende kommando:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Ofte stillede spørgsmål
Kontrollér NPS-modulhændelser for relaterede hændelser. Overvej at tilføje undtagelser eller konfigurationsjusteringer for berørte klienter/servere.
Nej, de konfigurationer, der beskrives i denne artikel, anbefales til usikre netværk.
Referencer
Beskrivelse af den standardterminologi, der bruges til at beskrive Microsoft-softwareopdateringer
De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.
Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.