Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Tähtis Microsoft Windowsi teatud versioonide tootetoe lõpp on lõppenud. Pange tähele, et pärast operatsioonisüsteemi uusimat lõppkuupäeva võidakse mõnda Windowsi versiooni toetada, kui laiendatud turbevärskendused (ESU-d) on saadaval. ESU-sid pakkuvate toodete loendi leiate teemast Elutsükli KKK – pikendatud turbevärskendused.

Muuda kuupäeva

Muuda kirjeldust

1. august 2024

  • Väiksemad vormingumuudatused loetavuse huvides

  • Konfiguratsioonis "Configure verification of the Message-Authenticator attribute in all Access-Request packets on the client" kasutati paketi asemel sõna "message"

5. august 2024

  • Kasutaja andmegrammiprotokolli (UDP) link on lisatud

  • Võrgupoliitika serveri (NPS) link on lisatud

6. august 2024

  • Värskendatud on jaotist "Kokkuvõte", mis näitab, et need muudatused sisalduvad Windowsi värskendustes, mis on kuupäevastatud 9. juulil 2024 või hiljem

  • Värskendatud on jaotises "Toiming" olevaid täpploendipunkte, mis näitavad, et soovitame suvandid sisse lülitada. Need suvandid on vaikimisi välja lülitatud.

  • Lisati jaotisse "Selle värskenduse lisatud sündmused" märkus, mis näitab, et Windowsi värskendused lisavad NPS-i serverisse sündmuse ID-d 9. juulil 2024 või hiljem.

Sisu

Kokkuvõte

Windowsi värskendused, mis on välja antud 9. juulil 2024 või hiljem, lahendavad MD5 kokkupõrkeprobleemidega seotud kaugautentimise sissehelistamise kasutajateenuse (RADIUS) protokolli turbenõrkuse. MD5 nõrkade tervikluskontrollide tõttu võib ründaja loata juurdepääsu saamiseks pakette omavolilise juurdepääsu saamiseks muuta. MD5 haavatavus muudab kasutaja Datagram Protocoli (UDP) põhise RADIUS-liikluse Interneti kaudu ebaturvaliseks paketi võltsimise või muutmise vastu edastamise ajal. 

Selle nõrkuse kohta leiate lisateavet artiklitest CVE-2024-3596 ja kaitseraua RADIUS JA MD5 KOKKUPÕRKERÜNNAKUD.

MÄRKUS See nõrkus nõuab füüsilist juurdepääsu RADIUS-võrgule ja võrgupoliitika serverile (NPS). Seetõttu ei ole turvatud RADIUS-võrkudega kliendid haavatavad. Lisaks ei rakendata haavatavust, kui RADIUS-suhtlus toimub VPN-i kaudu. 

Tegutsemine

Oma keskkonna kaitsmiseks soovitame lubada järgmised konfiguratsioonid. Lisateavet leiate jaotisest Konfiguratsioonid .

  • Määrake Accessi päringu pakettides atribuut Message-Authenticator. Veenduge, et kõik Access-Request paketid sisaldaksid atribuuti Message-Authenticator . Vaikimisi on atribuudi Message-Authenticator seadmine välja lülitatud. Soovitame selle suvandi sisse lülitada.

  • Kontrollige Access-Request pakettides atribuuti Message-Authenticator. Kaaluge atribuudi Message-Authenticator valideerimist Access-Request pakettides. Selle atribuudita Access-Request pakette ei töödelda. Vaikimisi peavad juurdepääsutaotluse sõnumid sisaldama atribuudi message-authenticator suvandit on välja lülitatud. Soovitame selle suvandi sisse lülitada.

  • Kontrollige Accessi päringu pakettides atribuuti Message-Authenticator, kui atribuut Proxy-State on olemas. Soovi korral lubage suvand limitProxyState , kui atribuudi Message-Authenticator valideerimist ei saa teha igal Access-Request paketil. limitProxyState jõustab Access-Request pakettide kukutamise, mis sisaldavad atribuuti Proxy-state ilma atribuudita Message-Authenticator . Vaikimisi on suvand limitproxystate välja lülitatud. Soovitame selle suvandi sisse lülitada.

  • Kontrollige RADIUS-vastusepakettides atribuuti Message-Authenticator : Access-Accept, Access-Reject ja Access-Challenge. Lubage suvand requireMsgAuth , et jõustada RADIUS-vastusepakettide kukutamine kaugserveritest ilma atribuudita Message-Authenticator . Vaikimisi on suvand requiremsgauth välja lülitatud. Soovitame selle suvandi sisse lülitada.

Selle värskenduse lisatud sündmused

Lisateavet leiate jaotisest Konfiguratsioonid .

Märkus Need sündmuse ID-d lisatakse NPS-i serverisse Windowsi värskendustega, mis on kuupäevastatud 9. juulil 2024 või hiljem.

Juurdepääsutaotluse pakett katkes, kuna see sisaldas atribuuti Proxy-State, kuid sellel polnud atribuuti Message-Authenticator. Kaaluge kliendi RADIUS muutmist nii, et see sisaldaks atribuuti Message-Authenticator . Teise võimalusena saate lisada RADIUS-kliendi erandi, kasutades konfiguratsiooni limitProxyState .

Sündmuselogi

Süsteem

Sündmuse tüüp

Tõrge

Sündmuse allikas

NPS

Sündmuse ID

4418

Sündmuse tekst

Access-Request sõnum saadi RADIUS-kliendilt <ip/nimi> , mis sisaldab atribuuti Proxy-State, kuid see ei sisaldanud atribuuti Message-Authenticator. Selle tulemusena taotlus kaotati. Atribuut Message-Authenticator on turvalisuse tagamiseks kohustuslik. Lisateavet leiate https://support.microsoft.com/help/5040268. 

See on Accessi taotluse pakettide auditisündmus, mille puhverserveri olekus pole atribuuti Message-Authenticator. Kaaluge kliendi RADIUS muutmist nii, et see sisaldaks atribuuti Message-Authenticator . RadiUS-pakett kukutatakse, kui limitproxystate'i konfiguratsioon on lubatud.

Sündmuselogi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

NPS

Sündmuse ID

4419

Sündmuse tekst

Access-Request sõnum saadi RADIUS-kliendilt <ip/nimi> , mis sisaldab atribuuti Proxy-State, kuid see ei sisaldanud atribuuti Message-Authenticator. Taotlus on praegu lubatud, kuna limitProxyState on konfigureeritud auditirežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268. 

See on RADIUS-vastusepakettide auditisündmus, mis võeti vastu puhverserveris ilma atribuudi message-Authenticatorta . Kaaluge atribuudi Message-Authenticator jaoks määratud RADIUS-serveri muutmist. RadiUS-pakett kukutatakse, kui requiremsgauth-konfiguratsioon on lubatud.

Sündmuselogi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

NPS

Sündmuse ID

4420

Sündmuse tekst

RADIUS-puhverserver sai vastuse serverist <ip/nimi> puuduva Message-Authenticator atribuudiga. Vastus on praegu lubatud, kuna requireMsgAuth on konfigureeritud auditirežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268.

See sündmus logitakse teenuse käivitamisel, kui soovitatud sätted pole konfigureeritud. Kui RADIUS-võrk pole turvaline, kaaluge sätete lubamist. Turvaliste võrkude puhul võib neid sündmusi ignoreerida.

Sündmuselogi

Süsteem

Sündmuse tüüp

Hoiatus!

Sündmuse allikas

NPS

Sündmuse ID

4421

Sündmuse tekst

RequireMsgAuth ja/või limitProxyState'i konfiguratsioon on <>-režiimis. Need sätted tuleks turbekaalutlustel konfigureerida lubamisrežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268.

Koosseisud

See konfiguratsioon võimaldab NPS-i puhverserveril alustada atribuudi Message-Authenticator saatmist kõigis Access-Request pakettides. Selle konfiguratsiooni lubamiseks kasutage ühte järgmistest meetoditest.

1. meetod: NPS-i Microsofti halduskonsooli (MMC) kasutamine

NPS MMC kasutamiseks tehke järgmist.

  1. Avage serveris NPS-i kasutajaliides (UI).

  2. Avage kaugraadiuse serverirühmad.

  3. Valige Radius Server .

  4. Avage autentimine/raamatupidamine.

  5. Klõpsake märkeruudu Taotlus peab sisaldama atribuuti Message-Authenticator .

2. meetod: käsu netsh kasutamine

Võrgusilma kasutamiseks käivitage järgmine käsk:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Lisateavet leiate teemast Kaug-RADIUS Serveri rühmakäsud.

See konfiguratsioon nõuab kõigis Access-Request pakettides atribuuti Message-Authenticator ja eemaldab paketi, kui seda pole.

1. meetod: NPS-i Microsofti halduskonsooli (MMC) kasutamine

NPS MMC kasutamiseks tehke järgmist.

  1. Avage serveris NPS-i kasutajaliides (UI).

  2. Avage Radius-kliendid.

  3. Valige Radius Client.

  4. Avage Jaotis Täpsemad sätted.

  5. Klõpsake, et märkida ruut Juurdepääsutaotluse sõnumid peavad sisaldama atribuudi message-authenticator märkeruutud.

Lisateavet leiate teemast RADIUS-klientrakenduste konfigureerimine.

2. meetod: käsu netsh kasutamine

Võrgusilma kasutamiseks käivitage järgmine käsk:

netsh nps set client name = <client name> requireauthattrib = yes

Lisateavet leiate teemast Kaug-RADIUS Serveri rühmakäsud.

See konfiguratsioon võimaldab NPS-i serveril kukutada potentsiaalsed haavatavad Access-Request paketid, mis sisaldavad atribuuti Proxy-State , kuid ei sisalda atribuuti Message-Authenticator . See konfiguratsioon toetab kolme režiimi.

  • Audit

  • Luba

  • Keela

Auditirežiimis logitakse hoiatussündmus (sündmuse ID: 4419), kuid taotlust töödeldakse edasi. Kasutage seda režiimi, et tuvastada taotlused saatvad ühildumatud olemid.

Käsu netsh abil saate vastavalt vajadusele konfigureerida, lubada ja lisada erandi.

  1. Klientide konfigureerimiseks auditirežiimis käivitage järgmine käsk:

    netsh nps set limitproxystate all = "audit"

  2. Klientide konfigureerimiseks lubamisrežiimis käivitage järgmine käsk:

    netsh nps set limitproxystate all = "enable" 

  3. Kliendi limitProxystate valideerimise välistamise erandi lisamiseks käivitage järgmine käsk:

    netsh nps set limitproxystate name = <kliendi nimi> erand = "Jah" 

See konfiguratsioon võimaldab NPS-i puhverserveril kukutada potentsiaalselt haavatavaid vastusesõnumeid ilma atribuuti Message-Authenticator kasutamata. See konfiguratsioon toetab kolme režiimi.

  • Audit

  • Luba

  • Keela

Auditirežiimis logitakse hoiatussündmus (sündmuse ID: 4420), kuid taotlust töödeldakse edasi. Selle režiimi abil saate tuvastada vastuseid saatvad ühildumatud olemid.

Käsu netsh abil saate vastavalt vajadusele konfigureerida, lubada ja lisada erandi.

  1. Auditirežiimis serverite konfigureerimiseks käivitage järgmine käsk:

    netsh nps set nõuamsgauth-all = "audit"

  2. Kõigi serverite konfiguratsioonide lubamiseks käivitage järgmine käsk:

    netsh nps set requiremsgauth all = "enable"

  3. Erandi lisamiseks serveri välistamiseks requireauthmsg valideerimisest käivitage järgmine käsk:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Korduma kippuvad küsimused

Kontrollige NPS-mooduli sündmusi seotud sündmuste kohta. Kaaluge mõjutatud klientide/serverite jaoks erandite või konfiguratsiooni kohandamise lisamist.

Ei, selles artiklis käsitletud konfiguratsioone soovitatakse turvamata võrkude jaoks. 

Viited

Microsofti tarkvaravärskenduste kirjeldamiseks kasutatava standardse terminoloogia kirjeldus

Artiklis käsitletava kolmanda osapoole toote lõi Microsoftist sõltumatu ettevõte. Me ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid.

Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.