Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Σημαντικό Η υποστήριξη για ορισμένες εκδόσεις των Microsoft Windows έχει λήξει. Λάβετε υπόψη ότι ορισμένες εκδόσεις των Windows ενδέχεται να υποστηρίζονται μετά την τελευταία ημερομηνία λήξης του λειτουργικού συστήματος, όταν είναι διαθέσιμες εκτεταμένες ενημερώσεις ασφαλείας (ESU). Ανατρέξτε στο θέμα Συνήθεις ερωτήσεις κύκλου ζωής - Εκτεταμένες ενημερώσεις ασφαλείας για μια λίστα προϊόντων που προσφέρουν ESU.

Αλλαγή ημερομηνίας

Αλλαγή περιγραφής

1 Αυγούστου 2024

  • Μικρές αλλαγές μορφοποίησης για εύκολη ανάγνωση

  • Στη ρύθμιση παραμέτρων "Ρύθμιση παραμέτρων επαλήθευσης του χαρακτηριστικού Message-Authenticator σε όλα τα πακέτα αίτησης πρόσβασης στο πρόγραμμα-πελάτη ", χρησιμοποιήθηκε η λέξη "μήνυμα" αντί για "πακέτο"

5 Αυγούστου 2024

  • Προστέθηκε σύνδεση για το πρωτόκολλο datagram χρήστη (UDP)

  • Προστέθηκε σύνδεση για διακομιστή πολιτικής δικτύου (NPS)

6 Αυγούστου 2024

  • Ενημερώθηκε η ενότητα "Σύνοψη" για να υποδείξει ότι αυτές οι αλλαγές περιλαμβάνονται στις ενημερώσεις των Windows που χρονολογούνται στις ή μετά τις 9 Ιουλίου 2024

  • Ενημερώθηκε τα σημεία κουκκίδας στην ενότητα "Ανάληψη δράσης" για να υποδείξει ότι συνιστάται να ενεργοποιήσετε τις επιλογές. Αυτές οι επιλογές είναι απενεργοποιημένες από προεπιλογή.

  • Προστέθηκε μια σημείωση στην ενότητα "Συμβάντα που προστέθηκαν από αυτήν την ενημέρωση", η οποία υποδεικνύει ότι τα αναγνωριστικά συμβάντων προστίθενται στο διακομιστή NPS από τις ενημερώσεις των Windows που χρονολογούνται στις ή μετά τις 9 Ιουλίου 2024

Περιεχόμενα

Σύνοψη

Οι ενημερώσεις των Windows που χρονολογούνται στις ή μετά τις 9 Ιουλίου 2024 αντιμετωπίζουν μια ευπάθεια ασφαλείας στο πρωτόκολλο υπηρεσίας απομακρυσμένου ελέγχου ταυτότητας χρηστών κλήσης σύνδεσης (RADIUS) που σχετίζεται με προβλήματα σύγκρουσης MD5 . Λόγω των ελέγχων αδύναμης ακεραιότητας στο MD5, ένας εισβολέας μπορεί να αλλοιώσει πακέτα για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Η ευπάθεια MD5 καθιστά την κυκλοφορία RADIUS βάσει πρωτοκόλλου datagram χρήστη (UDP) μέσω Internet μη ασφαλή έναντι πλαστογραφίας πακέτων ή τροποποίησης κατά τη μεταφορά. 

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια, ανατρέξτε στο θέμα CVE-2024-3596 και whitepaper RADIUS AND MD5 COLLISION ATTACKS.

ΣΗΜΕΊΩΣΗ Αυτή η ευπάθεια απαιτεί φυσική πρόσβαση στο δίκτυο RADIUS και στο διακομιστή πολιτικής δικτύου (NPS). Επομένως, οι πελάτες που έχουν εξασφαλίσει δίκτυα RADIUS δεν είναι ευάλωτοι. Επιπλέον, η ευπάθεια δεν ισχύει όταν παρουσιάζεται επικοινωνία RADIUS μέσω VPN. 

Ανάληψη δράσης

Για να συμβάλετε στην προστασία του περιβάλλοντός σας, συνιστάται να ενεργοποιήσετε τις παρακάτω ρυθμίσεις παραμέτρων. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ρυθμίσεις παραμέτρων .

  • Ορίστε το χαρακτηριστικό Message-Authenticator σε πακέτα αίτησης πρόσβασης . Βεβαιωθείτε ότι όλα τα πακέτα αίτησης πρόσβασης περιλαμβάνουν το χαρακτηριστικό Message-Authenticator . Από προεπιλογή, η επιλογή για τον ορισμό του χαρακτηριστικού Message-Authenticator είναι απενεργοποιημένη. Σας συνιστούμε να ενεργοποιήσετε αυτήν την επιλογή.

  • Επαληθεύστε το χαρακτηριστικό Message-Authenticator στα πακέτα αίτησης πρόσβασης . Εξετάστε το ενδεχόμενο επιβολής επικύρωσης του χαρακτηριστικού Message-Authenticator σε πακέτα αίτησης πρόσβασης . Τα πακέτα αίτησης πρόσβασης χωρίς αυτό το χαρακτηριστικό δεν θα υποβάλλονται σε επεξεργασία. Από προεπιλογή, τα μηνύματα αίτησης πρόσβασης πρέπει να περιέχουν την επιλογή χαρακτηριστικού ελέγχου ταυτότητας μηνύματος είναι απενεργοποιημένη. Σας συνιστούμε να ενεργοποιήσετε αυτήν την επιλογή.

  • Επαληθεύστε το χαρακτηριστικό Message-Authenticator στα πακέτα αίτησης πρόσβασης , εάν υπάρχει το χαρακτηριστικό Proxy-State . Προαιρετικά, ενεργοποιήστε την επιλογή limitProxyState εάν δεν είναι δυνατή η επιβολή επικύρωσης του χαρακτηριστικού Message-Authenticator σε κάθε πακέτο αίτησης πρόσβασης . limitProxyState επιβάλλει την απόθεση πακέτων αίτησης πρόσβασης που περιέχουν το χαρακτηριστικό κατάστασης διακομιστή μεσολάβησης χωρίς το χαρακτηριστικό Message-Authenticator . Από προεπιλογή, η επιλογή limitproxystate είναι απενεργοποιημένη. Σας συνιστούμε να ενεργοποιήσετε αυτήν την επιλογή.

  • Επαληθεύστε το χαρακτηριστικό Message-Authenticator στα πακέτα απόκρισης RADIUS: Access-Accept, Access-Reject και Access-Challenge. Ενεργοποιήστε την επιλογή requireMsgAuth για να επιβάλετε την απόρριψη των πακέτων απόκρισης RADIUS από απομακρυσμένους διακομιστές χωρίς το χαρακτηριστικό Message-Authenticator . Από προεπιλογή, η επιλογή requiremsgauth είναι απενεργοποιημένη . Σας συνιστούμε να ενεργοποιήσετε αυτήν την επιλογή.

Συμβάντα που προστέθηκαν από αυτήν την ενημέρωση

Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ρυθμίσεις παραμέτρων .

Σημείωση Αυτά τα αναγνωριστικά συμβάντων προστίθενται στο διακομιστή NPS από τις ενημερώσεις των Windows που χρονολογούνται στις ή μετά τις 9 Ιουλίου 2024.

Το πακέτο αίτησης πρόσβασης απορρίφθηκε επειδή περιείχε το χαρακτηριστικό Proxy-State , αλλά δεν διέθετε το χαρακτηριστικό Message-Authenticator . Εξετάστε το ενδεχόμενο να αλλάξετε το πρόγραμμα-πελάτη RADIUS για να συμπεριλάβετε το χαρακτηριστικό Message-Authenticator . Εναλλακτικά, προσθέστε μια εξαίρεση για τον υπολογιστή-πελάτη RADIUS χρησιμοποιώντας το όριο ρύθμισης παραμέτρωνProxyState .

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Σφάλμα

Προέλευση συμβάντος

NPS

Αναγνωριστικό συμβάντος

4418

Κείμενο συμβάντος

Ελήφθη ένα μήνυμα Access-Request από τον υπολογιστή-πελάτη RADIUS<>διευθύνσεων ip/name που περιέχουν ένα χαρακτηριστικό Proxy-State, αλλά δεν περιλάμβανε χαρακτηριστικό Message-Authenticator. Ως αποτέλεσμα, η αίτηση απορρίφθηκε. Το χαρακτηριστικό Message-Authenticator είναι υποχρεωτικό για λόγους ασφαλείας. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. 

Αυτό είναι ένα συμβάν ελέγχου για πακέτα αίτησης πρόσβασης χωρίς το χαρακτηριστικό Message-Authenticator παρουσία κατάστασης διακομιστή μεσολάβησης. Εξετάστε το ενδεχόμενο να αλλάξετε το πρόγραμμα-πελάτη RADIUS για να συμπεριλάβετε το χαρακτηριστικό Message-Authenticator . Το πακέτο RADIUS θα απορριφθεί μόλις ενεργοποιηθεί η ρύθμιση παραμέτρων limitproxystate .

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

NPS

Αναγνωριστικό συμβάντος

4419

Κείμενο συμβάντος

Ελήφθη ένα μήνυμα Access-Request από τον υπολογιστή-πελάτη RADIUS<>διευθύνσεων ip/name που περιέχουν ένα χαρακτηριστικό Proxy-State, αλλά δεν περιλάμβανε χαρακτηριστικό Message-Authenticator. Επί του παρόντος, η αίτηση επιτρέπεται, καθώς το όριοProxyState έχει ρυθμιστεί σε λειτουργία ελέγχου. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. 

Αυτό είναι ένα συμβάν ελέγχου για πακέτα απόκρισης RADIUS που λαμβάνονται χωρίς το χαρακτηριστικό Message-Authenticator στο διακομιστή μεσολάβησης. Εξετάστε το ενδεχόμενο να αλλάξετε τον καθορισμένο διακομιστή RADIUS για το χαρακτηριστικό Message-Authenticator . Το πακέτο RADIUS θα απορριφθεί μόλις ενεργοποιηθεί η ρύθμιση παραμέτρων requiremsgauth .

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

NPS

Αναγνωριστικό συμβάντος

4420

Κείμενο συμβάντος

Ο διακομιστής μεσολάβησης RADIUS έλαβε μια απάντηση από <ip/όνομα διακομιστή> με ένα χαρακτηριστικό Message-Authenticator που λείπει. Προς το παρόν, επιτρέπεται η απόκριση, καθώς οι παράμετροι του requireMsgAuth ρυθμίζονται σε κατάσταση λειτουργίας ελέγχου. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα.

Αυτό το συμβάν καταγράφεται κατά την έναρξη της υπηρεσίας όταν δεν έχουν ρυθμιστεί οι προτεινόμενες ρυθμίσεις. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε τις ρυθμίσεις, αν το δίκτυο RADIUS δεν είναι ασφαλές. Για ασφαλή δίκτυα, αυτά τα συμβάντα μπορούν να αγνοηθούν.

Αρχείο καταγραφής συμβάντων

Σύστημα

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

NPS

Αναγνωριστικό συμβάντος

4421

Κείμενο συμβάντος

RequireMsgAuth or/or limitProxyState configuration is in <Disable/Audit> mode. Αυτές οι ρυθμίσεις θα πρέπει να ρυθμιστούν σε Λειτουργία ενεργοποίησης για λόγους ασφαλείας. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα.

Ρυθμίσεις παραμέτρων

Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή μεσολάβησης NPS να ξεκινήσει την αποστολή του χαρακτηριστικού Message-Authenticator σε όλα τα πακέτα αίτησης πρόσβασης . Για να ενεργοποιήσετε αυτήν τη ρύθμιση παραμέτρων, χρησιμοποιήστε μία από τις παρακάτω μεθόδους.

Μέθοδος 1: Χρήση της κονσόλας διαχείρισης της Microsoft NPS (MMC)

Για να χρησιμοποιήσετε την NPS MMC, ακολουθήστε τα εξής βήματα:

  1. Ανοίξτε το περιβάλλον εργασίας χρήστη (UI) NPS στο διακομιστή.

  2. Ανοίξτε τις απομακρυσμένες ομάδες διακομιστή Radius.

  3. Επιλέξτε Διακομιστής radius.

  4. Μεταβείτε στην περιοχή Έλεγχος ταυτότητας/Λογιστική.

  5. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Η αίτηση πρέπει να περιέχει το πλαίσιο ελέγχου χαρακτηριστικού Message-Authenticator .

Μέθοδος 2: Χρήση της εντολής netsh

Για να χρησιμοποιήσετε netsh, εκτελέστε την ακόλουθη εντολή:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εντολές ομάδας απομακρυσμένου διακομιστή RADIUS.

Αυτή η ρύθμιση παραμέτρων απαιτεί το χαρακτηριστικό Message-Authenticator σε όλα τα πακέτα αίτησης πρόσβασης και απορρίπτει το πακέτο, εάν δεν υπάρχει.

Μέθοδος 1: Χρήση της κονσόλας διαχείρισης της Microsoft NPS (MMC)

Για να χρησιμοποιήσετε την NPS MMC, ακολουθήστε τα εξής βήματα:

  1. Ανοίξτε το περιβάλλον εργασίας χρήστη (UI) NPS στο διακομιστή.

  2. Ανοίξτε τα προγράμματα-πελάτες του Radius.

  3. Επιλέξτε Πρόγραμμα-πελάτης Radius.

  4. Μεταβείτε στις Ρυθμίσεις για προχωρημένους.

  5. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Τα μηνύματα αίτησης πρόσβασης πρέπει να περιέχουν το πλαίσιο ελέγχου χαρακτηριστικού ελέγχου ταυτότητας μηνύματος .

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων πελατών RADIUS.

Μέθοδος 2: Χρήση της εντολής netsh

Για να χρησιμοποιήσετε netsh, εκτελέστε την ακόλουθη εντολή:

netsh nps set client name = <client name> requireauthattrib = yes

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εντολές ομάδας απομακρυσμένου διακομιστή RADIUS.

Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή NPS να απορρίπτει πιθανά ευάλωτα πακέτα αίτησης πρόσβασης που περιέχουν ένα χαρακτηριστικό proxy-State , αλλά δεν περιλαμβάνουν χαρακτηριστικό Message-Authenticator . Αυτή η ρύθμιση παραμέτρων υποστηρίζει τρεις λειτουργίες:

  • Έλεγχος

  • Ενεργοποίηση

  • Απενεργοποίηση

Στη λειτουργία ελέγχου , καταγράφεται ένα συμβάν προειδοποίησης (Αναγνωριστικό συμβάντος: 4419), αλλά η αίτηση εξακολουθεί να υποβάλλεται σε επεξεργασία. Χρησιμοποιήστε αυτήν τη λειτουργία για να προσδιορίσετε τις μη συμβατές οντότητες που αποστέλλουν τις αιτήσεις.

Χρησιμοποιήστε την εντολή netsh για να ρυθμίσετε τις παραμέτρους, να ενεργοποιήσετε και να προσθέσετε μια εξαίρεση, ανάλογα με τις ανάγκες.

  1. Για να ρυθμίσετε τις παραμέτρους των πελατών σε κατάσταση λειτουργίας ελέγχου , εκτελέστε την ακόλουθη εντολή:

    netsh nps set limitproxystate all = "audit"

  2. Για να ρυθμίσετε τις παραμέτρους των πελατών στη λειτουργία ενεργοποίησης , εκτελέστε την ακόλουθη εντολή:

    netsh nps set limitproxystate all = "enable" 

  3. Για να προσθέσετε μια εξαίρεση για να εξαιρέσετε έναν υπολογιστή-πελάτη από την επικύρωση limitProxystate , εκτελέστε την ακόλουθη εντολή:

    netsh nps set limitproxystate name = <όνομα πελάτη> εξαίρεση = "Yes" 

Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή μεσολάβησης NPS να αποσύρει πιθανώς ευάλωτα μηνύματα απόκρισης χωρίς το χαρακτηριστικό Message-Authenticator . Αυτή η ρύθμιση παραμέτρων υποστηρίζει τρεις λειτουργίες:

  • Έλεγχος

  • Ενεργοποίηση

  • Απενεργοποίηση

Στη λειτουργία ελέγχου, καταγράφεται ένα συμβάν προειδοποίησης (Αναγνωριστικό συμβάντος: 4420), αλλά η αίτηση εξακολουθεί να υποβάλλεται σε επεξεργασία. Χρησιμοποιήστε αυτήν τη λειτουργία για να προσδιορίσετε τις μη συμβατές οντότητες που αποστέλλουν τις απαντήσεις.

Χρησιμοποιήστε την εντολή netsh για να ρυθμίσετε τις παραμέτρους, να ενεργοποιήσετε και να προσθέσετε μια εξαίρεση, ανάλογα με τις ανάγκες.

  1. Για να ρυθμίσετε τις παραμέτρους των διακομιστών σε λειτουργία ελέγχου, εκτελέστε την ακόλουθη εντολή:

    netsh nps set απαιτείταιmsgauthall = "audit"

  2. Για να ενεργοποιήσετε τις ρυθμίσεις παραμέτρων για όλους τους διακομιστές, εκτελέστε την ακόλουθη εντολή:

    σύνολο netsh nps requiremsgauth all = "enable"

  3. Για να προσθέσετε μια εξαίρεση για να εξαιρέσετε ένα διακομιστή από την επικύρωση requireauthmsg, εκτελέστε την ακόλουθη εντολή:

    netsh nps set requiremsgauth remoteservergroup = <όνομα ομάδας απομακρυσμένου διακομιστή> address = <διεύθυνση διακομιστή> εξαίρεση = "yes"

Συνήθεις ερωτήσεις

Ελέγξτε τα συμβάντα λειτουργικής μονάδας NPS για σχετικά συμβάντα. Εξετάστε το ενδεχόμενο να προσθέσετε εξαιρέσεις ή προσαρμογές ρύθμισης παραμέτρων για τους επηρεαζόμενους υπολογιστές-πελάτες/διακομιστές.

Όχι, οι ρυθμίσεις παραμέτρων που αναφέρονται σε αυτό το άρθρο συνιστώνται για μη ασφαλή δίκτυα. 

Αναφορές

Περιγραφή της τυπικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερώσεων λογισμικού της Microsoft

Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.