Tähtis Microsoft Windowsi teatud versioonide tootetoe lõpp on lõppenud. Pange tähele, et pärast operatsioonisüsteemi uusimat lõppkuupäeva võidakse mõnda Windowsi versiooni toetada, kui laiendatud turbevärskendused (ESU-d) on saadaval. ESU-sid pakkuvate toodete loendi leiate teemast Elutsükli KKK – pikendatud turbevärskendused.
Muuda kuupäeva |
Muuda kirjeldust |
1. august 2024 |
|
5. august 2024 |
|
6. august 2024 |
|
Sisu
Kokkuvõte
Windowsi värskendused, mis on välja antud 9. juulil 2024 või hiljem, lahendavad MD5 kokkupõrkeprobleemidega seotud kaugautentimise sissehelistamise kasutajateenuse (RADIUS) protokolli turbenõrkuse. MD5 nõrkade tervikluskontrollide tõttu võib ründaja loata juurdepääsu saamiseks pakette omavolilise juurdepääsu saamiseks muuta. MD5 haavatavus muudab kasutaja Datagram Protocoli (UDP) põhise RADIUS-liikluse Interneti kaudu ebaturvaliseks paketi võltsimise või muutmise vastu edastamise ajal.
Selle nõrkuse kohta leiate lisateavet artiklitest CVE-2024-3596 ja kaitseraua RADIUS JA MD5 KOKKUPÕRKERÜNNAKUD.
MÄRKUS See nõrkus nõuab füüsilist juurdepääsu RADIUS-võrgule ja võrgupoliitika serverile (NPS). Seetõttu ei ole turvatud RADIUS-võrkudega kliendid haavatavad. Lisaks ei rakendata haavatavust, kui RADIUS-suhtlus toimub VPN-i kaudu.
Tegutsemine
Oma keskkonna kaitsmiseks soovitame lubada järgmised konfiguratsioonid. Lisateavet leiate jaotisest Konfiguratsioonid .
|
Selle värskenduse lisatud sündmused
Lisateavet leiate jaotisest Konfiguratsioonid .
Märkus Need sündmuse ID-d lisatakse NPS-i serverisse Windowsi värskendustega, mis on kuupäevastatud 9. juulil 2024 või hiljem.
Juurdepääsutaotluse pakett katkes, kuna see sisaldas atribuuti Proxy-State, kuid sellel polnud atribuuti Message-Authenticator. Kaaluge kliendi RADIUS muutmist nii, et see sisaldaks atribuuti Message-Authenticator . Teise võimalusena saate lisada RADIUS-kliendi erandi, kasutades konfiguratsiooni limitProxyState .
Sündmuselogi |
Süsteem |
Sündmuse tüüp |
Tõrge |
Sündmuse allikas |
NPS |
Sündmuse ID |
4418 |
Sündmuse tekst |
Access-Request sõnum saadi RADIUS-kliendilt <ip/nimi> , mis sisaldab atribuuti Proxy-State, kuid see ei sisaldanud atribuuti Message-Authenticator. Selle tulemusena taotlus kaotati. Atribuut Message-Authenticator on turvalisuse tagamiseks kohustuslik. Lisateavet leiate https://support.microsoft.com/help/5040268. |
See on Accessi taotluse pakettide auditisündmus, mille puhverserveri olekus pole atribuuti Message-Authenticator. Kaaluge kliendi RADIUS muutmist nii, et see sisaldaks atribuuti Message-Authenticator . RadiUS-pakett kukutatakse, kui limitproxystate'i konfiguratsioon on lubatud.
Sündmuselogi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
NPS |
Sündmuse ID |
4419 |
Sündmuse tekst |
Access-Request sõnum saadi RADIUS-kliendilt <ip/nimi> , mis sisaldab atribuuti Proxy-State, kuid see ei sisaldanud atribuuti Message-Authenticator. Taotlus on praegu lubatud, kuna limitProxyState on konfigureeritud auditirežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268. |
See on RADIUS-vastusepakettide auditisündmus, mis võeti vastu puhverserveris ilma atribuudi message-Authenticatorta . Kaaluge atribuudi Message-Authenticator jaoks määratud RADIUS-serveri muutmist. RadiUS-pakett kukutatakse, kui requiremsgauth-konfiguratsioon on lubatud.
Sündmuselogi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
NPS |
Sündmuse ID |
4420 |
Sündmuse tekst |
RADIUS-puhverserver sai vastuse serverist <ip/nimi> puuduva Message-Authenticator atribuudiga. Vastus on praegu lubatud, kuna requireMsgAuth on konfigureeritud auditirežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268. |
See sündmus logitakse teenuse käivitamisel, kui soovitatud sätted pole konfigureeritud. Kui RADIUS-võrk pole turvaline, kaaluge sätete lubamist. Turvaliste võrkude puhul võib neid sündmusi ignoreerida.
Sündmuselogi |
Süsteem |
Sündmuse tüüp |
Hoiatus! |
Sündmuse allikas |
NPS |
Sündmuse ID |
4421 |
Sündmuse tekst |
RequireMsgAuth ja/või limitProxyState'i konfiguratsioon on <>-režiimis. Need sätted tuleks turbekaalutlustel konfigureerida lubamisrežiimis. Lisateavet leiate https://support.microsoft.com/help/5040268. |
Koosseisud
See konfiguratsioon võimaldab NPS-i puhverserveril alustada atribuudi Message-Authenticator saatmist kõigis Access-Request pakettides. Selle konfiguratsiooni lubamiseks kasutage ühte järgmistest meetoditest.
1. meetod: NPS-i Microsofti halduskonsooli (MMC) kasutamine
NPS MMC kasutamiseks tehke järgmist.
-
Avage serveris NPS-i kasutajaliides (UI).
-
Avage kaugraadiuse serverirühmad.
-
Valige Radius Server .
-
Avage autentimine/raamatupidamine.
-
Klõpsake märkeruudu Taotlus peab sisaldama atribuuti Message-Authenticator .
2. meetod: käsu netsh kasutamine
Võrgusilma kasutamiseks käivitage järgmine käsk:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Lisateavet leiate teemast Kaug-RADIUS Serveri rühmakäsud.
See konfiguratsioon nõuab kõigis Access-Request pakettides atribuuti Message-Authenticator ja eemaldab paketi, kui seda pole.
1. meetod: NPS-i Microsofti halduskonsooli (MMC) kasutamine
NPS MMC kasutamiseks tehke järgmist.
-
Avage serveris NPS-i kasutajaliides (UI).
-
Avage Radius-kliendid.
-
Valige Radius Client.
-
Avage Jaotis Täpsemad sätted.
-
Klõpsake, et märkida ruut Juurdepääsutaotluse sõnumid peavad sisaldama atribuudi message-authenticator märkeruutud.
Lisateavet leiate teemast RADIUS-klientrakenduste konfigureerimine.
2. meetod: käsu netsh kasutamine
Võrgusilma kasutamiseks käivitage järgmine käsk:
netsh nps set client name = <client name> requireauthattrib = yes
Lisateavet leiate teemast Kaug-RADIUS Serveri rühmakäsud.
See konfiguratsioon võimaldab NPS-i serveril kukutada potentsiaalsed haavatavad Access-Request paketid, mis sisaldavad atribuuti Proxy-State , kuid ei sisalda atribuuti Message-Authenticator . See konfiguratsioon toetab kolme režiimi.
-
Audit
-
Luba
-
Keela
Auditirežiimis logitakse hoiatussündmus (sündmuse ID: 4419), kuid taotlust töödeldakse edasi. Kasutage seda režiimi, et tuvastada taotlused saatvad ühildumatud olemid.
Käsu netsh abil saate vastavalt vajadusele konfigureerida, lubada ja lisada erandi.
-
Klientide konfigureerimiseks auditirežiimis käivitage järgmine käsk:
netsh nps set limitproxystate all = "audit"
-
Klientide konfigureerimiseks lubamisrežiimis käivitage järgmine käsk:
netsh nps set limitproxystate all = "enable"
-
Kliendi limitProxystate valideerimise välistamise erandi lisamiseks käivitage järgmine käsk:
netsh nps set limitproxystate name = <kliendi nimi> erand = "Jah"
See konfiguratsioon võimaldab NPS-i puhverserveril kukutada potentsiaalselt haavatavaid vastusesõnumeid ilma atribuuti Message-Authenticator kasutamata. See konfiguratsioon toetab kolme režiimi.
-
Audit
-
Luba
-
Keela
Auditirežiimis logitakse hoiatussündmus (sündmuse ID: 4420), kuid taotlust töödeldakse edasi. Selle režiimi abil saate tuvastada vastuseid saatvad ühildumatud olemid.
Käsu netsh abil saate vastavalt vajadusele konfigureerida, lubada ja lisada erandi.
-
Auditirežiimis serverite konfigureerimiseks käivitage järgmine käsk:
netsh nps set nõuamsgauth-all = "audit"
-
Kõigi serverite konfiguratsioonide lubamiseks käivitage järgmine käsk:
netsh nps set requiremsgauth all = "enable"
-
Erandi lisamiseks serveri välistamiseks requireauthmsg valideerimisest käivitage järgmine käsk:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Korduma kippuvad küsimused
Kontrollige NPS-mooduli sündmusi seotud sündmuste kohta. Kaaluge mõjutatud klientide/serverite jaoks erandite või konfiguratsiooni kohandamise lisamist.
Ei, selles artiklis käsitletud konfiguratsioone soovitatakse turvamata võrkude jaoks.
Viited
Microsofti tarkvaravärskenduste kirjeldamiseks kasutatava standardse terminoloogia kirjeldus
Artiklis käsitletava kolmanda osapoole toote lõi Microsoftist sõltumatu ettevõte. Me ei anna nende toodete jõudluse ega töökindluse osas mitte mingigi kaudset ega muud garantiid.
Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.