Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Importante Algunas versiones de Microsoft Windows han llegado al final del soporte técnico. Tenga en cuenta que es posible que algunas versiones de Windows se admitan después de la fecha de finalización del sistema operativo más reciente cuando estén disponibles las actualizaciones de seguridad extendida (ESU). Consulte Preguntas frecuentes sobre el ciclo de vida: Novedades de seguridad extendida para obtener una lista de productos que ofrecen ESU.

Cambiar fecha

Cambiar descripción

1 de agosto de 2024

  • Cambios de formato menores para mejorar la legibilidad

  • En la configuración "Configurar la comprobación del atributo Message-Authenticator en todos los paquetes de Access-Request en el cliente", se usó la palabra "mensaje" en lugar de "paquete".

5 de agosto de 2024

  • Se ha agregado un vínculo para el Protocolo de Datagrama de usuario (UDP)

  • Se ha agregado un vínculo para el Servidor de directivas de redes (NPS)

6 de agosto de 2024

  • Se actualizó la sección "Resumen" para indicar que estos cambios se incluyen en las actualizaciones de Windows con fecha del 9 de julio de 2024 o posteriores.

  • Se actualizaron los puntos de viñeta en la sección "Realizar acción" para indicar que se recomienda activar las opciones. Estas opciones están desactivadas de manera predeterminada.

  • Se agregó una nota a la sección "Eventos agregados por esta actualización" para indicar que las actualizaciones de Windows con fecha del 9 de julio de 2024 agregan los id. de evento al servidor NPS.

Contenido

Resumen

Las actualizaciones de Windows con fecha del 9 de julio de 2024 abordan una vulnerabilidad de seguridad en el protocolo del Servicio de autenticación remota telefónica de usuario (RADIUS) relacionada con los problemas de colisión de MD5. Debido a las comprobaciones de integridad débiles en MD5, un atacante podría alterar los paquetes para obtener acceso no autorizado. La vulnerabilidad MD5 hace que el tráfico RADIUS basado en el Protocolo de Datagrama de usuario (UDP) a través de Internet no sea seguro frente a la falsificación o modificación de paquetes durante el tránsito. 

Para obtener más información sobre esta vulnerabilidad, consulte CVE-2024-3596 y las notas del producto SOBRE LOS ATAQUES DE COLISIÓN RADIUS Y MD5.

NOTA Esta vulnerabilidad requiere acceso físico a la red RADIUS y al Servidor de directivas de redes (NPS). Por lo tanto, los clientes que tienen redes RADIUS protegidas no son vulnerables. Además, la vulnerabilidad no se aplica cuando se produce la comunicación RADIUS a través de VPN. 

Tomar medidas

Para ayudar a proteger el entorno, se recomienda habilitar las siguientes configuraciones. Para obtener más información, consulte la secciónConfiguraciones .

  • Establezca el atributo Message-Authenticator en paquetes de Solicitud de acceso. Asegúrese de que todos los paquetes Solicitud de acceso que incluyan el atributo Message-Authenticator. De manera predeterminada, la opción para establecer el atributo Message-Authenticator está desactivada. Se recomienda activar esta opción.

  • Compruebe el atributo Message-Authenticator en paquetes de Solicitud de acceso. Considere la posibilidad de aplicar la validación del atributo Message-Authenticator en paquetes Solicitud de acceso. Los paquetes Solicitud de acceso sin este atributo no se procesarán. De manera predeterminada, los Mensajes de solicitud de acceso deben contener la opción de atributo message-authenticator desactivada. Se recomienda activar esta opción.

  • Compruebe el atributo Message-Authenticator en los paquetes Solicitud de acceso si el atributo Proxy-State está presente. Opcional: habilite la configuración limitProxyState si no se puede aplicar la validación del atributo Message-Authenticator en los paquetes de Access-Request. limitProxyState aplica la eliminación de paquetes de solicitud de acceso que contengan el atributo Proxy-state sin el atributo Message-Authenticator. De manera predeterminada, la opción limitproxystate está desactivada. Se recomienda activar esta opción.

  • Compruebe el atributo Message-Authenticator en los paquetes de respuesta RADIUS: Access-Accept, Access-Reject y Access-Challenge. Habilite la configuración requireMsgAuth para exigir la eliminación de los paquetes de respuesta RADIUS de los servidores remotos que no tengan el atributo Message-Authenticator. De forma predeterminada, la opción requiremsgauth está desactivada. Se recomienda activar esta opción.

Eventos agregados por esta actualización

Para obtener más información, consulte la secciónConfiguraciones.

Nota Las actualizaciones de Windows con fecha del 9 de julio de 2024 agregan estos id. de evento al servidor NPS.

El paquete Access-Request ha sido descartado debido a que contenía el atributo Proxy-State pero carecía del atributo Message-Authenticator. Considere la posibilidad de cambiar el cliente RADIUS para incluir el atributo Message-Authenticator. También puede agregar una excepción para el cliente RADIUS mediante la configuración limitProxyState.

Registro de eventos

Sistema

Tipo de evento

Error

Origen del evento

NPS

Id. del evento

4418

Texto del evento

Se ha recibido un mensaje de solicitud de acceso del cliente RADIUS <ip/name> que contiene un atributo Proxy-State, pero no incluía un atributo Message-Authenticator. Como resultado, se ha quitado la solicitud. El atributo Message-Authenticator es obligatorio por motivos de seguridad. Consulte https://support.microsoft.com/help/5040268 para obtener más información. 

Se trata de un evento de auditoría para paquetes de solicitud de acceso sin el atributo Message-Authenticator en presencia de Proxy-State. Considere la posibilidad de cambiar el cliente RADIUS para incluir el atributo Message-Authenticator. El paquete RADIUS se quitará una vez habilitada la configuración de limitproxystate.

Registro de eventos

Sistema

Tipo de evento

Advertencia

Origen del evento

NPS

Id. del evento

4419

Texto del evento

Se ha recibido un mensaje de solicitud de acceso del cliente RADIUS <ip/name> que contiene un atributo Proxy-State, pero no incluía un atributo Message-Authenticator. La solicitud está permitida actualmente porque limitProxyState está configurado en modo auditoría. Consulte https://support.microsoft.com/help/5040268 para obtener más información. 

Se trata de un evento de auditoría para los paquetes de respuesta RADIUS recibidos sin el atributo Message-Authenticator en el proxy. Considere la posibilidad de cambiar el servidor RADIUS especificado para el atributo Message-Authenticator. El paquete RADIUS se quitará una vez que la configuración requiremsgauth esté habilitada.

Registro de eventos

Sistema

Tipo de evento

Advertencia

Origen del evento

NPS

Id. del evento

4420

Texto del evento

El proxy RADIUS recibió una respuesta del servidor <ip/name> con un atributo Message-Authenticator que falta. La respuesta está permitida actualmente porque requireMsgAuth está configurado en modo auditoría. Consulte https://support.microsoft.com/help/5040268 para obtener más información.

Este evento se registra durante el inicio del servicio cuando no se configuran las opciones recomendadas. Considere la posibilidad de habilitar la configuración si la red RADIUS no es segura. En el caso de las redes seguras, estos eventos se pueden omitir.

Registro de eventos

Sistema

Tipo de evento

Advertencia

Origen del evento

NPS

Id. del evento

4421

Texto del evento

La configuración requireMsgAuth o limitProxyState está en modo <Disable/Audit>. Estas opciones deben configurarse en el modo Habilitar por motivos de seguridad. Consulte https://support.microsoft.com/help/5040268 para obtener más información.

Configuraciones

Esta configuración permite que el proxy NPS empiece a enviar el atributo Message-Authenticator en todos los paquetes de Solicitud de acceso. Para habilitar esta configuración, use uno de los métodos siguientes.

Método 1: usar el Microsoft Management Console NPS (MMC)

Para usar MMC de NPS, siga estos pasos:

  1. Abra la interfaz de usuario (UI) de NPS en el servidor.

  2. Abra los grupos del servidor Radius remoto.

  3. Seleccione Servidor Radius.

  4. Vaya a Autenticación/Contabilidad.

  5. Haga clic para seleccionar la casilla La solicitud debe contener el atributo Message-Authenticator.

Método 2: Usar el comando netsh

Para usar netsh, ejecute el siguiente comando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Para obtener más información, consulte Comandos de grupo de servidores RADIUS remotos.

Esta configuración requiere el atributo Message-Authenticator en todos los paquetes Solicitud de accesoquita el paquete si no existe.

Método 1: usar el Microsoft Management Console NPS (MMC)

Para usar MMC de NPS, siga estos pasos:

  1. Abra la interfaz de usuario (UI) de NPS en el servidor.

  2. Abrir Clientes RADIUS.

  3. Seleccione Cliente RADIUS.

  4. Vaya a Configuración avanzada.

  5. Haga clic para seleccionar la casilla los mensajes de solicitud de acceso deben contener el atributo de autenticador de mensajes.

Para obtener más información, consulte Configurar clientes RADIUS.

Método 2: Usar el comando netsh

Para usar netsh, ejecute el siguiente comando:

netsh nps set client name = <client name> requireauthattrib = yes

Para obtener más información, consulte Comandos de grupo de servidores RADIUS remotos.

Esta configuración permite al servidor NPS quitar posibles paquetes Access-Request vulnerables que contienen un atributo de estado de proxy, pero no incluyen un atributo Message-Authenticator. Esta configuración admite tres modos:

  • Auditoría

  • Habilitar

  • Deshabilitar

En modo Auditoría, se registra un evento de advertencia (Id. de evento: 4419), pero la solicitud todavía se procesa. Use este modo para identificar las entidades no compatibles que envían las solicitudes.

Use el comandonetsh para configurar, habilitar y agregar una excepción según sea necesario.

  1. Para configurar clientes en modoauditoría, ejecute el siguiente comando:

    netsh nps set limitproxystate all = "audit"

  2. Para configurar clientes en modoHabilitar, ejecute el siguiente comando:

    netsh nps set limitproxystate all = "enable" 

  3. Para agregar una excepción para excluir a un cliente de la validación de limitProxystate, ejecute el siguiente comando:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Esta configuración permite que el proxy NPS quite mensajes de respuesta potencialmente vulnerables sin el atributoMessage-Authenticator. Esta configuración admite tres modos:

  • Auditoría

  • Habilitar

  • Deshabilitar

En modo Auditoría, se registra un evento de advertencia (Id. de evento: 4420), pero la solicitud todavía se procesa. Use este modo para identificar las entidades no compatibles que envían las respuestas.

Use el comando netsh para configurar, habilitar y agregar una excepción según sea necesario.

  1. Para configurar servidores en modo Auditoría, ejecute el siguiente comando:

    netsh nps set requiremsgauth all = "audit"

  2. Para habilitar las configuraciones de todos los servidores, ejecute el siguiente comando:

    netsh nps set requiremsgauth all = "enable"

  3. Para agregar una excepción para excluir un servidor de la validación requireauthmsg, ejecute el siguiente comando:

    netsh nps set requiremsgauth remoteservergroup = <nombre de grupo de servidores remoto> dirección = dirección <servidor> excepción = "sí"

Preguntas más frecuentes

Compruebe si hay eventos relacionados en los eventos del módulo NPS. Considere la posibilidad de agregar excepciones o ajustes de configuración para los clientes o servidores afectados.

No, las configuraciones descritas en este artículo se recomiendan para redes no seguras. 

Referencias

Descripción de la terminología estándar que se usa para describir las actualizaciones de software de Microsoft

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. No ofrecemos ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.