Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Tärkeää Tiettyjen Microsoft Windows -versioiden tuki on päättynyt. Huomaa, että jotkin Windows-versiot saattavat olla tuettuja käyttöjärjestelmän viimeisimmän päättymispäivän jälkeen, kun Extended Security Updates (ESUs) on saatavilla. Katso elinkaaren usein kysytyt kysymykset – Laajennetut suojauspäivitykset tuoteluettelosta, joka sisältää ESU:t.

Päivämäärän muuttaminen

Muuta kuvausta

1. elokuuta 2024

  • Pienet muotoilumuutokset luettavuuden parantamiseksi

  • Viestin todentaja-määritteen vahvistuksen määrittäminen kaikissa asiakkaan Access-Request-paketeissa -määrityksessä käytettiin sanaa "viesti" paketin sijaan.

5. elokuuta 2024

  • User Datagram Protocol (UDP) -protokollan lisätty linkki

  • Verkkokäytäntöpalvelimen (NPS) lisätty linkki

6. elokuuta 2024

  • Päivitetty Yhteenveto-osa osoittamaan, että nämä muutokset sisältyvät 9. heinäkuuta 2024 tai sen jälkeen päivättyihin Windows-päivityksiin

  • Olemme päivittäneet Toimet-osan luettelomerkit osoittamaan, että on suositeltavaa ottaa asetukset käyttöön. Nämä asetukset ovat oletusarvoisesti poissa käytöstä.

  • Lisätty "Tämän päivityksen lisäämät tapahtumat" -osaan huomautus, joka osoittaa, että 9. heinäkuuta 2024 tai sen jälkeen päivätyt Windows-päivitykset lisäävät tapahtumatunnukset NPS-palvelimeen

Sisältö

Yhteenveto

Windows-päivitykset, jotka on päivätty 9. heinäkuuta 2024 tai sen jälkeen, korjaavat MD5-törmäysongelmiin liittyvän etätodennuksen soittopalvelun (RADIUS) suojaushaavoittuvuuden. Md5:n heikkojen eheystarkistusten vuoksi hyökkääjä saattaa peukaloida paketteja saadakseen luvattoman käytön. MD5-haavoittuvuus tekee User Datagram Protocol (UDP) -pohjaisen RADIUS-liikenteen Internetissä epävarmaksi paketin väärennöstä tai muokkaamista vastaan siirron aikana. 

Lisätietoja tästä haavoittuvuudesta on ohjeaiheessa CVE-2024-3596 ja whitepaper RADIUS JA MD5-TÖRMÄYSHYÖKKÄYKSET.

MUISTIINPANO Tämä haavoittuvuus edellyttää radius-verkon ja verkkokäytäntöpalvelimen (NPS) fyysistä käyttöä. Siksi ASIAKKAAT, jotka ovat suojanneet RADIUS-verkot, eivät ole haavoittuvia. Lisäksi haavoittuvuus ei päde, kun RADIUS-viestintä tapahtuu VPN-yhteyden välityksellä. 

Toimi

Ympäristön suojaamiseksi on suositeltavaa ottaa käyttöön seuraavat määritykset. Lisätietoja on Kokoonpanot-osassa .

  • Määritä Viestin todentaja - määrite Access-Request-paketeissa . Varmista, että kaikissa Access-Request-paketeissa on Viestin todentaja - määrite. Viestien todentaja -määritteen asetus on oletusarvoisesti poissa käytöstä. Suosittelemme, että otat tämän asetuksen käyttöön.

  • Tarkista Viestin todentaja - määrite Access-Request-paketeissa . Harkitse Viestin todentaja - määritteen vahvistusta Access-Request-paketeissa . Access-Request-paketteja , joilla ei ole tätä määritettä, ei käsitellä. Access-Request-viestien on oletusarvoisesti sisällettävä viestin todenttimen määriteasetus on poistettu käytöstä. Suosittelemme, että otat tämän asetuksen käyttöön.

  • Tarkista Viestin todentaja - määrite Access-Request-paketeissa , jos välityspalvelimen ja tilan määrite on olemassa. Voit myös ottaa limitProxyState-asetuksen käyttöön, jos Message-Authenticator-määritteen vahvistusta ei voi suorittaa jokaisessa Access-Request-paketissa . limitProxyState pakottaa luopumaan Access-Request-paketeista , jotka sisältävät välityspalvelimen tilan määritteen ilman Message-Authenticator-määritettä . Limitproxystate-asetus on oletusarvoisesti poissa käytöstä. Suosittelemme, että otat tämän asetuksen käyttöön.

  • Vahvista RADIUS-vastauspakettien Message-Authenticator-määrite : Access-Accept, Access-Reject ja Access-Challenge. Ota käyttöön EdellytäMsgAuth-asetusta , jos haluat poistaa RADIUS-vastauspaketit etäpalvelimista ilman Message-Authenticator-määritettä . Edellytämsgauth-asetus on oletusarvoisesti poissa käytöstä. Suosittelemme, että otat tämän asetuksen käyttöön.

Tämän päivityksen lisäämät tapahtumat

Lisätietoja on Kokoonpanot-osassa .

Huomautus Nämä tapahtumatunnukset lisätään NPS-palvelimeen Windows-päivityksillä, jotka on päivätty 9. heinäkuuta 2024 tai sen jälkeen.

Access-Request-paketti hylättiin, koska se sisälsi välityspalvelimen tilan määritteen, mutta siitä puuttui Message-Authenticator-määrite. Harkitse RADIUS-asiakasohjelman muuttamista niin, että se sisältää Message-Authenticator-määritteen . Vaihtoehtoisesti voit lisätä poikkeuksen RADIUS-asiakasohjelmaan käyttämällä limitProxyState-määritystä .

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Virhe

Tapahtumalähde

NPS

Tapahtumatunnus

4418

Tapahtuman teksti

Access-Request-viesti vastaanotettiin RADIUS-asiakasohjelmalta <ip/name-> , joka sisältää Proxy-State määritteen, mutta se ei sisältänyt Message-Authenticator-määritettä. Tämän seurauksena pyyntö hylättiin. Message-Authenticator-määrite on pakollinen suojaussyistä. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. 

Tämä on tarkistustapahtuma Access-Request-paketeille , joilla ei ole Message-Authenticator-määritettävälityspalvelimen tilan läsnä ollessa. Harkitse RADIUS-asiakasohjelman muuttamista niin, että se sisältää Message-Authenticator-määritteen . RADIUS-paketti poistetaan, kun limitproxystate-määritys on otettu käyttöön.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

NPS

Tapahtumatunnus

4419

Tapahtuman teksti

Access-Request-viesti vastaanotettiin RADIUS-asiakasohjelmalta <ip/name-> , joka sisältää Proxy-State määritteen, mutta se ei sisältänyt Message-Authenticator-määritettä. Pyyntö on tällä hetkellä sallittu, koska limitProxyState on määritetty valvontatilassa. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268. 

Tämä on valvontatapahtuma RADIUS-vastauspaketeille, jotka vastaanotettiin ilman välityspalvelimen Message-Authenticator-määritettä . Harkitse määritetyn RADIUS-palvelimen muuttamista Message-Authenticator-määritteelle . RADIUS-paketti poistetaan, kun vaadittavamsgauth-määritys on otettu käyttöön.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

NPS

Tapahtumatunnus

4420

Tapahtuman teksti

RADIUS-välityspalvelin sai vastauksen palvelimen <ip/name-> puuttuvalla Message-Authenticator määritteellä. Vastaus on tällä hetkellä sallittu, koskamsgAuth on määritetty valvontatilassa. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268.

Tämä tapahtuma kirjataan lokiin palvelun käynnistyksen aikana, kun suositeltuja asetuksia ei ole määritetty. Harkitse asetusten käyttöönottoa, jos RADIUS-verkko ei ole suojattu. Suojatuissa verkoissa nämä tapahtumat voidaan ohittaa.

Tapahtumaloki

Järjestelmä

Tapahtumatyyppi

Varoitus

Tapahtumalähde

NPS

Tapahtumatunnus

4421

Tapahtuman teksti

RequireMsgAuth and/or limitProxyState configuration is in <Disable/Audit> mode. Nämä asetukset on määritettävä ota käyttöön -tilassa suojaussyistä. Lisätietoja on artikkelissa https://support.microsoft.com/help/5040268.

Kokoonpanoissa

Tämän määrityksen avulla NPS-välityspalvelin voi alkaa lähettää Message-Authenticator-määritettä kaikissa Access-Request-paketeissa . Voit ottaa tämän määrityksen käyttöön jollakin seuraavista tavoista.

Menetelmä 1: NPS Microsoft Management Consolen (MMC) käyttäminen

Voit käyttää NPS MMC:tä seuraavasti:

  1. Avaa NPS-käyttöliittymä palvelimessa.

  2. Avaa etäpalvelimen ryhmät.

  3. Valitse Radius Server.

  4. Siirry kohtaan Todennus/kirjanpito.

  5. Valitse napsauttamalla Pyynnön on sisällettävä Message-Authenticator-määrite -valintaruutu.

Menetelmä 2: Käytä netsh-komentoa

Jos haluat käyttää netsh-komentoa, suorita seuraava komento:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Lisätietoja on artikkelissa Remote RADIUS Server Group Commands ( Remote RADIUS Server Group Commands).

Tämä määritys edellyttää Message-Authenticator-määritettä kaikissa Access-Request-paketeissa ja pudottaa paketin, jos sitä ei ole.

Menetelmä 1: NPS Microsoft Management Consolen (MMC) käyttäminen

Voit käyttää NPS MMC:tä seuraavasti:

  1. Avaa NPS-käyttöliittymä palvelimessa.

  2. Avaa Sädeasiakkaat.

  3. Valitse Sädeasiakas.

  4. Siirry kohtaan Lisäasetukset.

  5. Valitse napsauttamalla, että Access-Request-viesteissä on oltava viestin todentajamääritteen valintaruutu.

Lisätietoja on artikkelissa RADIUS-asiakasohjelmien määrittäminen.

Menetelmä 2: Käytä netsh-komentoa

Jos haluat käyttää netsh-komentoa, suorita seuraava komento:

netsh nps set client name = <client name> requireauthattrib = yes

Lisätietoja on artikkelissa Remote RADIUS Server Group Commands ( Remote RADIUS Server Group Commands).

Tämän määrityksen avulla NPS-palvelin voi pudottaa mahdolliset haavoittuvassa asemassa olevat Access-Request-paketit , jotka sisältävät välityspalvelimen ja osavaltion määritteen, mutta jotka eivät sisällä Message-Authenticator-määritettä . Tämä määritys tukee kolmea tilaa:

  • Valvonta

  • Ota käyttöön

  • Poista käytöstä

Valvontatilassa kirjataan varoitustapahtuma (tapahtumatunnus 4419), mutta pyyntöä käsitellään edelleen. Tämän tilan avulla voit tunnistaa pyynnöt lähettävät entiteetit, jotka eivät ole yhteensopivia.

Netsh-komennon avulla voit määrittää, ottaa käyttöön ja lisätä poikkeuksen tarpeen mukaan.

  1. Voit määrittää asiakasohjelmat valvontatilassa suorittamalla seuraavan komennon:

    netsh nps set limitproxystate all = "audit"

  2. Voit määrittää asiakasohjelmat ota käyttöön -tilassa suorittamalla seuraavan komennon:

    netsh nps set limitproxystate all = "enable" 

  3. Jos haluat lisätä poikkeuksen asiakkaan jättämiseksi limitProxystate-kelpoisuuden tarkistamisen ulkopuolelle, suorita seuraava komento:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Tämän määrityksen avulla NPS-välityspalvelin voi pudottaa mahdollisesti haavoittuvia vastausviestejä ilman Message-Authenticator-määritettä . Tämä määritys tukee kolmea tilaa:

  • Valvonta

  • Ota käyttöön

  • Poista käytöstä

Valvontatilassa varoitustapahtuma (tapahtumatunnus 4420) kirjataan lokiin, mutta pyyntöä käsitellään edelleen. Käytä tätä tilaa vastausten lähettävien vaatimustenvastausten tunnistamiseen.

Netsh-komennon avulla voit määrittää, ottaa käyttöön ja lisätä poikkeuksen tarpeen mukaan.

  1. Määritä palvelimet valvontatilassa suorittamalla seuraava komento:

    netsh nps set edellyttäämsgauth-all = "audit"

  2. Voit ottaa määritykset käyttöön kaikissa palvelimissa suorittamalla seuraavan komennon:

    netsh nps set requiremsgauth all = "enable"

  3. Jos haluat lisätä poikkeuksen palvelimen jättämiseksi pois requireauthmsg-kelpoisuuden tarkistamisesta, suorita seuraava komento:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Usein kysytyt kysymykset

Tarkista aiheeseen liittyvien tapahtumien NPS-moduulin tapahtumat. Harkitse poikkeusten tai määritysmuutosten lisäämistä asiakkaille tai palvelimille, joihin ongelma vaikuttaa.

Ei, tässä artikkelissa käsiteltyjä määrityksiä suositellaan suojaamattomista verkoista. 

Lisätietoja

Microsoft-ohjelmistopäivitysten kuvaamiseen käytettävän vakioterminologian kuvaus

Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.

Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.