Wichtig Bestimmte Versionen von Microsoft Windows haben das Ende des Supports erreicht. Beachten Sie, dass einige Versionen von Windows möglicherweise nach dem neuesten Betriebssystemenddatum unterstützt werden, wenn erweiterte Sicherheitsupdates (ESUs) verfügbar sind. Eine Liste der Produkte, für die wir erweiterte Sicherheitsupdates anbieten, finden Sie unterHäufig gestellte Fragen zum Lebenszyklus – Erweiterte Sicherheitsupdates.
Datum ändern |
Beschreibung ändern |
1. August 2024 |
|
Dienstag, 5. August 2024 |
|
6. August 2024 |
|
Inhalt
Zusammenfassung
Die Windows-Updates vom 9. Juli 2024 beheben ein Sicherheitsrisiko im RADIUS-Protokoll (Remote Authentication Dial-In User Service) im Zusammenhang mit MD5- -Kollisionsproblemen. Aufgrund schwacher Integritätsprüfungen in MD5 kann ein Angreifer Pakete manipulieren, um nicht autorisierten Zugriff zu erhalten. MD5-Sicherheitsanfälligkeit macht den auf demUser Datagram Protocol (UDP)basierenden RADIUS-Datenverkehr über das Internet ist unsicher gegenüber Paketfälschung oder -modifikation während des Transits.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2024-3596 und im Whitepaper RADIUS- UND MD5-KOLLISIONSANGRIFFE.
HINWEIS Diese Sicherheitsanfälligkeit erfordert physischen Zugriff auf das RADIUS-Netzwerk und den -Netzwerkrichtlinienserver (NETWORK Policy Server, NPS). Kunden, die über gesicherte RADIUS-Netzwerke verfügen, sind daher nicht anfällig. Darüber hinaus gilt die Sicherheitsanfälligkeit nicht, wenn die RADIUS-Kommunikation über VPN erfolgt.
Handeln Sie
Um Ihre Umgebung zu schützen, wird empfohlen, die folgenden Konfigurationen zu aktivieren. Weitere Informationen finden Sie im Abschnitt Empfehlungen.
|
Von diesem Update hinzugefügte Ereignisse
Weitere Informationen finden Sie im Abschnitt Empfehlungen.
Hinweis Diese Ereignis-IDs werden dem NPS-Server durch die Windows-Updates vom oder nach dem 9. Juli 2024 hinzugefügt.
Das Paket Access-Request wurde verworfen, weil es das Attribut Proxy-State enthielt, aber das Attribut Message-Authenticator fehlte. Erwägen Sie, den RADIUS-Client so zu ändern, dass er das Message-Authenticator-Attribut enthält. Alternativ können Sie eine Ausnahme für den RADIUS-Client mithilfe der Konfiguration limitProxyState hinzufügen.
Ereignisprotokoll |
System |
Ereignistyp |
Fehler |
Ereignisquelle |
NPS- |
Ereigniskennung |
4418 |
Ereignistext |
Eine Access-Request Nachricht wurde vom RADIUS-Client <ip/name-> empfangen, die ein Proxy-State-Attribut enthält, aber kein Message-Authenticator-Attribut enthielt. Daher wurde die Anforderung gelöscht. Das Message-Authenticator-Attribut ist aus Sicherheitsgründen obligatorisch. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. |
Dies ist ein Überwachungsereignis für Access-Request-Pakete ohne das Attribut Message-Authenticator bei Vorhandensein von Proxy-State. Erwägen Sie, den RADIUS-Client so zu ändern, dass er das Message-Authenticator-Attribut enthält. Das RADIUS-Paket wird verworfen, sobald die Konfiguration limitproxystate aktiviert ist.
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
NPS- |
Ereigniskennung |
4419 |
Ereignistext |
Eine Access-Request Nachricht wurde vom RADIUS-Client <ip/name-> empfangen, die ein Proxy-State-Attribut enthält, aber kein Message-Authenticator-Attribut enthielt. Die Anforderung ist derzeit zulässig, da limitProxyState im Überwachungsmodus konfiguriert ist. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. |
Dies ist ein Überwachungsereignis für RADIUS-Antwortpakete, die ohne das Message-Authenticator-Attribut am Proxy empfangen werden. Erwägen Sie, den angegebenen RADIUS-Server für das Message-Authenticator-Attribut zu ändern. Das RADIUS-Paket wird gelöscht, sobald die Konfiguration requiremsgauth aktiviert ist.
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
NPS- |
Ereigniskennung |
4420 |
Ereignistext |
Der RADIUS-Proxy hat eine Antwort vom Server <ip/name> mit einem fehlenden Message-Authenticator-Attribut empfangen. Die Antwort ist derzeit zulässig, da requireMsgAuth im Überwachungsmodus konfiguriert ist. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. |
Dieses Ereignis wird während des Dienststarts protokolliert, wenn die empfohlenen Einstellungen nicht konfiguriert sind. Erwägen Sie, die Einstellungen zu aktivieren, wenn das RADIUS-Netzwerk unsicher ist. Bei sicheren Netzwerken können diese Ereignisse ignoriert werden.
Ereignisprotokoll |
System |
Ereignistyp |
Warnung |
Ereignisquelle |
NPS- |
Ereigniskennung |
4421 |
Ereignistext |
Die RequireMsgAuth- und/oder limitProxyState-Konfiguration befindet sich im Modus <Disable/Audit>. Diese Einstellungen sollten aus Sicherheitsgründen im Aktivierungsmodus konfiguriert werden. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. |
Konfigurationen
Diese Konfiguration ermöglicht es dem NPS-Proxy, mit dem Senden des Message-Authenticator-Attributs in allen Access-Request-Paketen zu beginnen. Verwenden Sie eine der folgenden Methoden, um diese Konfiguration zu aktivieren.
Methode 1: Verwenden der NPS Microsoft Management Console (MMC)
Führen Sie die folgenden Schritte aus, um die NPS-MMC zu verwenden:
-
Öffnen Sie die NPS-Benutzeroberfläche (UI) auf dem Server.
-
Öffnen Sie die Remote-Radius-Servergruppen.
-
Wählen Sie Radius-Server aus.
-
Wechseln Sie zu Authentifizierung/Buchhaltung.
-
Klicken Sie hier, um das Kontrollkästchen Die Anforderung muss das Message-Authenticator-Attribut enthalten auszuwählen.
Methode 2: Verwenden des Netsh-Befehls
Führen Sie den folgenden Befehl aus, um netshzu verwenden:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Weitere Informationen finden Sie unter Remote RADIUS-Servergruppenbefehle.
Diese Konfiguration erfordert das Attribut Message-Authenticator in allen Access-Request-Paketen und verwirft das Paket, wenn es nicht vorhanden ist.
Methode 1: Verwenden der NPS Microsoft Management Console (MMC)
Führen Sie die folgenden Schritte aus, um die NPS-MMC zu verwenden:
-
Öffnen Sie die NPS-Benutzeroberfläche (UI) auf dem Server.
-
Öffnen Sie Radius-Clients.
-
Wählen Sie Radius-Client aus.
-
Wechseln Sie zu Erweiterte Einstellungen.
-
Klicken Sie hier, um das Kontrollkästchen Access-Request-Nachrichten müssen das Attribut message-authenticator enthalten auszuwählen.
Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Clients.
Methode 2: Netsh-Befehl verwenden
Führen Sie den folgenden Befehl aus, um netshzu verwenden:
netsh nps set client name = <client name> requireauthattrib = yes
Weitere Informationen finden Sie unter Remote RADIUS-Servergruppenbefehle.
Diese Konfiguration ermöglicht es dem NPS-Server, potenziell anfällige Access-Request--Pakete zu verwerfen, die ein Proxy-State--Attribut enthalten, aber kein Message-Authenticator-Attribut enthalten. Diese Konfiguration unterstützt drei Modi:
-
Audit
-
Aktivieren
-
Deaktivieren
Im ModusÜberwachung wird ein Warnereignis (Ereignis-ID: 4419) protokolliert, aber die Anforderung wird weiterhin verarbeitet. Verwenden Sie diesen Modus, um die nicht konformen Entitäten zu identifizieren, die die Anforderungen senden.
Verwenden Sie den Netsh-Befehl, um bei Bedarf eine Ausnahme zu konfigurieren, zu aktivieren und hinzuzufügen.
-
Führen Sie den folgenden Befehl aus, um Clients im Modus Überwachung zu konfigurieren:
netsh nps set limitproxystate all = "audit"
-
Führen Sie den folgenden Befehl aus, um Clients im Modus Aktivieren zu konfigurieren:
netsh nps set limitproxystate all = "enable"
-
Führen Sie den folgenden Befehl aus, um eine Ausnahme hinzuzufügen, um einen Client von der limitProxystate-Überprüfung auszuschließen:
netsh nps set limitproxystate name = <Clientname> Ausnahme = „Ja“
Diese Konfiguration ermöglicht es dem NPS-Proxy, potenziell anfällige Antwortnachrichten ohne das Message-Authenticator-Attribut zu verwerfen. Diese Konfiguration unterstützt drei Modi:
-
Audit
-
Aktivieren
-
Deaktivieren
Im Modus Überwachung wird ein Warnereignis (Ereignis-ID: 4420) protokolliert, aber die Anforderung wird weiterhin verarbeitet. Verwenden Sie diesen Modus, um die nicht konformen Entitäten zu identifizieren, die die Antworten senden.
Verwenden Sie den Netshl-Befehl, um bei Bedarf eine Ausnahme zu konfigurieren, zu aktivieren und hinzuzufügen.
-
Führen Sie den folgenden Befehl aus, um Server im Modus Überwachung zu konfigurieren:
netsh nps set requiremsgauthall = "audit"
-
Führen Sie den folgenden Befehl aus, um Konfigurationen für alle Server zu aktivieren:
netsh nps set requirems alle = "enable"
-
Um eine Ausnahme hinzuzufügen, um einen Server von der requireauthmsg-Überprüfung auszuschließen, führen Sie den folgenden Befehl aus:
netsh nps set requiremstop remoteservergroup = <Name der Remote-Servergruppe> Adresse = <Serveradresse> Ausnahme = „ja“
Häufig gestellte Fragen
Überprüfen Sie NPS-Modulereignisse auf verwandte Ereignisse. Erwägen Sie das Hinzufügen von Ausnahmen oder Konfigurationsanpassungen für betroffene Clients/Server.
Nein, die in diesem Artikel beschriebenen Konfigurationen werden für ungesicherte Netzwerke empfohlen.
References
Erläuterung der bei Microsoft-Softwareupdates verwendeten Standardbegriffe
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.