Tärkeää Tiettyjen Microsoft Windows -versioiden tuki on päättynyt. Huomaa, että jotkin Windows-versiot saattavat olla tuettuja käyttöjärjestelmän viimeisimmän päättymispäivän jälkeen, kun Extended Security Updates (ESUs) on saatavilla. Katso elinkaaren usein kysytyt kysymykset – Laajennetut suojauspäivitykset tuoteluettelosta, joka sisältää ESU:t.
Päivämäärän muuttaminen |
Muuta kuvausta |
1. elokuuta 2024 |
|
5. elokuuta 2024 |
|
6. elokuuta 2024 |
|
Sisältö
Yhteenveto
Windows-päivitykset, jotka on päivätty 9. heinäkuuta 2024 tai sen jälkeen, korjaavat MD5-törmäysongelmiin liittyvän etätodennuksen soittopalvelun (RADIUS) suojaushaavoittuvuuden. Md5:n heikkojen eheystarkistusten vuoksi hyökkääjä saattaa peukaloida paketteja saadakseen luvattoman käytön. MD5-haavoittuvuus tekee User Datagram Protocol (UDP) -pohjaisen RADIUS-liikenteen Internetissä epävarmaksi paketin väärennöstä tai muokkaamista vastaan siirron aikana.
Lisätietoja tästä haavoittuvuudesta on ohjeaiheessa CVE-2024-3596 ja whitepaper RADIUS JA MD5-TÖRMÄYSHYÖKKÄYKSET.
MUISTIINPANO Tämä haavoittuvuus edellyttää radius-verkon ja verkkokäytäntöpalvelimen (NPS) fyysistä käyttöä. Siksi ASIAKKAAT, jotka ovat suojanneet RADIUS-verkot, eivät ole haavoittuvia. Lisäksi haavoittuvuus ei päde, kun RADIUS-viestintä tapahtuu VPN-yhteyden välityksellä.
Toimi
Ympäristön suojaamiseksi on suositeltavaa ottaa käyttöön seuraavat määritykset. Lisätietoja on Kokoonpanot-osassa .
|
Tämän päivityksen lisäämät tapahtumat
Lisätietoja on Kokoonpanot-osassa .
Huomautus Nämä tapahtumatunnukset lisätään NPS-palvelimeen Windows-päivityksillä, jotka on päivätty 9. heinäkuuta 2024 tai sen jälkeen.
Access-Request-paketti hylättiin, koska se sisälsi välityspalvelimen tilan määritteen, mutta siitä puuttui Message-Authenticator-määrite. Harkitse RADIUS-asiakasohjelman muuttamista niin, että se sisältää Message-Authenticator-määritteen . Vaihtoehtoisesti voit lisätä poikkeuksen RADIUS-asiakasohjelmaan käyttämällä limitProxyState-määritystä .
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Virhe |
Tapahtumalähde |
NPS |
Tapahtumatunnus |
4418 |
Tapahtuman teksti |
Access-Request-viesti vastaanotettiin RADIUS-asiakasohjelmalta <ip/name-> , joka sisältää Proxy-State määritteen, mutta se ei sisältänyt Message-Authenticator-määritettä. Tämän seurauksena pyyntö hylättiin. Message-Authenticator-määrite on pakollinen suojaussyistä. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. |
Tämä on tarkistustapahtuma Access-Request-paketeille , joilla ei ole Message-Authenticator-määritettävälityspalvelimen tilan läsnä ollessa. Harkitse RADIUS-asiakasohjelman muuttamista niin, että se sisältää Message-Authenticator-määritteen . RADIUS-paketti poistetaan, kun limitproxystate-määritys on otettu käyttöön.
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
NPS |
Tapahtumatunnus |
4419 |
Tapahtuman teksti |
Access-Request-viesti vastaanotettiin RADIUS-asiakasohjelmalta <ip/name-> , joka sisältää Proxy-State määritteen, mutta se ei sisältänyt Message-Authenticator-määritettä. Pyyntö on tällä hetkellä sallittu, koska limitProxyState on määritetty valvontatilassa. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. |
Tämä on valvontatapahtuma RADIUS-vastauspaketeille, jotka vastaanotettiin ilman välityspalvelimen Message-Authenticator-määritettä . Harkitse määritetyn RADIUS-palvelimen muuttamista Message-Authenticator-määritteelle . RADIUS-paketti poistetaan, kun vaadittavamsgauth-määritys on otettu käyttöön.
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
NPS |
Tapahtumatunnus |
4420 |
Tapahtuman teksti |
RADIUS-välityspalvelin sai vastauksen palvelimen <ip/name-> puuttuvalla Message-Authenticator määritteellä. Vastaus on tällä hetkellä sallittu, koskamsgAuth on määritetty valvontatilassa. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. |
Tämä tapahtuma kirjataan lokiin palvelun käynnistyksen aikana, kun suositeltuja asetuksia ei ole määritetty. Harkitse asetusten käyttöönottoa, jos RADIUS-verkko ei ole suojattu. Suojatuissa verkoissa nämä tapahtumat voidaan ohittaa.
Tapahtumaloki |
Järjestelmä |
Tapahtumatyyppi |
Varoitus |
Tapahtumalähde |
NPS |
Tapahtumatunnus |
4421 |
Tapahtuman teksti |
RequireMsgAuth and/or limitProxyState configuration is in <Disable/Audit> mode. Nämä asetukset on määritettävä ota käyttöön -tilassa suojaussyistä. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. |
Kokoonpanoissa
Tämän määrityksen avulla NPS-välityspalvelin voi alkaa lähettää Message-Authenticator-määritettä kaikissa Access-Request-paketeissa . Voit ottaa tämän määrityksen käyttöön jollakin seuraavista tavoista.
Menetelmä 1: NPS Microsoft Management Consolen (MMC) käyttäminen
Voit käyttää NPS MMC:tä seuraavasti:
-
Avaa NPS-käyttöliittymä palvelimessa.
-
Avaa etäpalvelimen ryhmät.
-
Valitse Radius Server.
-
Siirry kohtaan Todennus/kirjanpito.
-
Valitse napsauttamalla Pyynnön on sisällettävä Message-Authenticator-määrite -valintaruutu.
Menetelmä 2: Käytä netsh-komentoa
Jos haluat käyttää netsh-komentoa, suorita seuraava komento:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Lisätietoja on artikkelissa Remote RADIUS Server Group Commands ( Remote RADIUS Server Group Commands).
Tämä määritys edellyttää Message-Authenticator-määritettä kaikissa Access-Request-paketeissa ja pudottaa paketin, jos sitä ei ole.
Menetelmä 1: NPS Microsoft Management Consolen (MMC) käyttäminen
Voit käyttää NPS MMC:tä seuraavasti:
-
Avaa NPS-käyttöliittymä palvelimessa.
-
Avaa Sädeasiakkaat.
-
Valitse Sädeasiakas.
-
Siirry kohtaan Lisäasetukset.
-
Valitse napsauttamalla, että Access-Request-viesteissä on oltava viestin todentajamääritteen valintaruutu.
Lisätietoja on artikkelissa RADIUS-asiakasohjelmien määrittäminen.
Menetelmä 2: Käytä netsh-komentoa
Jos haluat käyttää netsh-komentoa, suorita seuraava komento:
netsh nps set client name = <client name> requireauthattrib = yes
Lisätietoja on artikkelissa Remote RADIUS Server Group Commands ( Remote RADIUS Server Group Commands).
Tämän määrityksen avulla NPS-palvelin voi pudottaa mahdolliset haavoittuvassa asemassa olevat Access-Request-paketit , jotka sisältävät välityspalvelimen ja osavaltion määritteen, mutta jotka eivät sisällä Message-Authenticator-määritettä . Tämä määritys tukee kolmea tilaa:
-
Valvonta
-
Ota käyttöön
-
Poista käytöstä
Valvontatilassa kirjataan varoitustapahtuma (tapahtumatunnus 4419), mutta pyyntöä käsitellään edelleen. Tämän tilan avulla voit tunnistaa pyynnöt lähettävät entiteetit, jotka eivät ole yhteensopivia.
Netsh-komennon avulla voit määrittää, ottaa käyttöön ja lisätä poikkeuksen tarpeen mukaan.
-
Voit määrittää asiakasohjelmat valvontatilassa suorittamalla seuraavan komennon:
netsh nps set limitproxystate all = "audit"
-
Voit määrittää asiakasohjelmat ota käyttöön -tilassa suorittamalla seuraavan komennon:
netsh nps set limitproxystate all = "enable"
-
Jos haluat lisätä poikkeuksen asiakkaan jättämiseksi limitProxystate-kelpoisuuden tarkistamisen ulkopuolelle, suorita seuraava komento:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Tämän määrityksen avulla NPS-välityspalvelin voi pudottaa mahdollisesti haavoittuvia vastausviestejä ilman Message-Authenticator-määritettä . Tämä määritys tukee kolmea tilaa:
-
Valvonta
-
Ota käyttöön
-
Poista käytöstä
Valvontatilassa varoitustapahtuma (tapahtumatunnus 4420) kirjataan lokiin, mutta pyyntöä käsitellään edelleen. Käytä tätä tilaa vastausten lähettävien vaatimustenvastausten tunnistamiseen.
Netsh-komennon avulla voit määrittää, ottaa käyttöön ja lisätä poikkeuksen tarpeen mukaan.
-
Määritä palvelimet valvontatilassa suorittamalla seuraava komento:
netsh nps set edellyttäämsgauth-all = "audit"
-
Voit ottaa määritykset käyttöön kaikissa palvelimissa suorittamalla seuraavan komennon:
netsh nps set requiremsgauth all = "enable"
-
Jos haluat lisätä poikkeuksen palvelimen jättämiseksi pois requireauthmsg-kelpoisuuden tarkistamisesta, suorita seuraava komento:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Usein kysytyt kysymykset
Tarkista aiheeseen liittyvien tapahtumien NPS-moduulin tapahtumat. Harkitse poikkeusten tai määritysmuutosten lisäämistä asiakkaille tai palvelimille, joihin ongelma vaikuttaa.
Ei, tässä artikkelissa käsiteltyjä määrityksiä suositellaan suojaamattomista verkoista.
Lisätietoja
Microsoft-ohjelmistopäivitysten kuvaamiseen käytettävän vakioterminologian kuvaus
Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.
Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.