חשוב גירסאות מסוימות של Microsoft Windows הגיעו לסוף התמיכה. שים לב שייתכן שחלק מהגרסאות של Windows ייתמכו לאחר תאריך הסיום האחרון של מערכת ההפעלה כאשר עדכוני אבטחה מורחבים (ESU) זמינים. ראה שאלות נפוצות בנושא מחזור החיים - עדכוני אבטחה מורחבים לקבלת רשימה של מוצרים המציעים עדכוני אבטחה מורחבים (ESU).
שנה תאריך |
שינוי תיאור |
ה-1 באוגוסט 2024 |
|
ה-5 באוגוסט 2024 |
|
ה-6 באוגוסט 2024 |
|
תוכן
סיכום
עדכוני Windows שתאריך 9 ביולי 2024 או לאחר מכן מטפלים בפגיעות אבטחה בפרוטוקול Remote Authentication Dial-In User Service (RADIUS) הקשור לבעיות התנגשות MD5 . עקב בדיקת תקינות חלשה ב- MD5, תוקף עלול לטפל שלא כדין במנות כדי לקבל גישה בלתי מורשית. MD5 vulnerability makes User Datagram Protocol (UDP) based RADIUS traffic over the Internet nonsecure against packet forgery or modification during transit.
לקבלת מידע נוסף אודות פגיעות זו, ראה CVE-2024-3596 ותקיפות ההתנגשות של RADIUS ו- MD5 של הסקירה הטכנית.
הערה פגיעות זו דורשת גישה פיזית לרשת RADIUS ול - Network Policy Server (NPS). לכן, לקוחות בעלי רשתות RADIUS מאובטחות אינם פגיעים. בנוסף, הפגיעות אינה חלה כאשר תקשורת RADIUS מתרחשת דרך VPN.
בצע פעולה
כדי לסייע בהגנה על הסביבה שלך, מומלץ להפעיל את התצורות הבאות. לקבלת מידע נוסף, עיין בסעיף 'תצורות '.
|
אירועים שנוספו על-ידי עדכון זה
לקבלת מידע נוסף, עיין בסעיף 'תצורות '.
הערה זהות אירועים אלה מתווספות לשרת ה- NPS על-ידי עדכוני Windows שתאריך 9 ביולי 2024 או לאחר מכן.
המנה של בקשת הגישה בוטלה מאחר שהיא הכילתה את התכונה מצב Proxy אך לא כללה את התכונה Message-Authenticator. שקול לשנות את לקוח RADIUS כך שיכלול את התכונה Message-Authenticator . לחלופין, לחלופין, הוסף חריגה עבור לקוח RADIUS באמצעות התצורה limitProxyState .
יומן אירועים |
מערכת |
סוג אירוע |
שגיאה |
מקור האירוע |
מס NPS |
מזהה האירוע |
4418 |
טקסט אירוע |
הודעת Access-Request שהתקבלה מלקוח RADIUS <ip/name> המכילה תכונת Proxy-State, אך היא לא כוללת Message-Authenticator אישית. כתוצאה מכך, הבקשה בוטלה. התכונה Message-Authenticator הכרחית למטרות אבטחה. ראה https://support.microsoft.com/help/5040268 למידע נוסף. |
זהו אירוע ביקורת עבור מנות בקשת גישה ללא התכונה Message-Authenticator בנוכחות מצב Proxy. שקול לשנות את לקוח RADIUS כך שיכלול את התכונה Message-Authenticator . המנה RADIUS תשוחרר ברגע שתצורות limitproxystate יהיו זמינות.
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
מס NPS |
מזהה האירוע |
4419 |
טקסט אירוע |
הודעת Access-Request שהתקבלה מלקוח RADIUS <ip/name> המכילה תכונת Proxy-State, אך היא לא כוללת Message-Authenticator אישית. הבקשה מותרת כעת מאחר שהגדרת limitProxyState נקבעה במצב ביקורת. ראה https://support.microsoft.com/help/5040268 למידע נוסף. |
זהו אירוע ביקורת עבור מנות תגובה של RADIUS שהתקבלו ללא התכונה Message-Authenticator ב- Proxy. שקול לשנות את שרת RADIUS שצוין עבור התכונה Message-Authenticator . המנה RADIUS תשוחרר ברגע שתצורות requiremsgauth יהיו זמינות.
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
מס NPS |
מזהה האירוע |
4420 |
טקסט אירוע |
ה- Proxy של RADIUS קיבל תגובה מהשרת<ip/name> עם תכונת Message-Authenticator חסרה. התגובה מותרת כעת מאחר שתצורת requireMsgAuth מוגדרת במצב ביקורת. ראה https://support.microsoft.com/help/5040268 למידע נוסף. |
אירוע זה נרשם במהלך הפעלת השירות כאשר ההגדרות המומלצות אינן מוגדרות. שקול להפוך את ההגדרות ל פעילות אם רשת RADIUS אינה מאובטחת. עבור רשתות מאובטחות, ניתן להתעלם מאירועים אלה.
יומן אירועים |
מערכת |
סוג אירוע |
שלט אזהרה |
מקור האירוע |
מס NPS |
מזהה האירוע |
4421 |
טקסט אירוע |
התצורה RequireMsgAuth ו/או limitProxyState נמצאת במצב<השבתה/> אוטומטי. יש לקבוע את התצורה של הגדרות אלה במצב 'הפוך לזמין' למטרות אבטחה. ראה https://support.microsoft.com/help/5040268 למידע נוסף. |
תצורות
תצורה זו מאפשרת ל- Proxy של NPS להתחיל לשלוח את התכונה Message-Authenticator בכל המנות של בקשת הגישה. כדי להפוך תצורה זו לזמינה, השתמש באחת מהשיטות הבאות.
שיטה 1: השתמש ב- NPS Microsoft Management Console (MMC)
כדי להשתמש ב- NPS MMC, בצע את הפעולות הבאות:
-
פתח את ממשק המשתמש (UI) של NPS בשרת.
-
פתח את קבוצות שרתי הרדיוס המרוחקות.
-
בחר Radius Server.
-
עבור אל אימות/חשבונאות.
-
לחץ כדי לבחור את תיבת הסימון הבקשה חייבת להכיל Message-Authenticator התכונה החדשה.
שיטה 2: השתמש בפקודה netsh
כדי להשתמש ב- netsh, הפעל את הפקודה הבאה:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
לקבלת מידע נוסף, ראה פקודות קבוצה של שרת RADIUS מרוחק.
תצורה זו דורשת את התכונה Message-Authenticator בכל המנות של בקשת הגישה ומשחררת את המנה אם היא חסרה.
שיטה 1: השתמש ב- NPS Microsoft Management Console (MMC)
כדי להשתמש ב- NPS MMC, בצע את הפעולות הבאות:
-
פתח את ממשק המשתמש (UI) של NPS בשרת.
-
פתח את 'לקוחות רדיוס'.
-
בחר לקוח רדיוס.
-
עבור אל הגדרות מתקדמות.
-
לחץ כדי לבחור את תיבת הסימון הודעות של בקשת גישה חייבות להכיל את תיבת הסימון של התכונה מאמת ההודעות.
לקבלת מידע נוסף, ראה קביעת תצורה של לקוחות RADIUS.
שיטה 2: השתמש בפקודה netsh
כדי להשתמש ב- netsh, הפעל את הפקודה הבאה:
netsh nps set client name = <client name> requireauthattrib = yes
לקבלת מידע נוסף, ראה פקודות קבוצה של שרת RADIUS מרוחק.
תצורה זו מאפשרת לשרת ה- NPS לחשוף מנות פוטנציאליות של בקשת גישה המכילות תכונת מצב Proxy, אך אינה כוללת תכונת Message-Authenticator. תצורה זו תומכת בשלושה מצבים:
-
ביקורת
-
הפוך לזמין
-
'בטל'
במצב ביקורת , אירוע אזהרה (מזהה אירוע: 4419) נרשם, אך הבקשה עדיין מעובדת. השתמש במצב זה כדי לזהות את הישויות שאינן תואמות השולחות את הבקשות.
השתמש בפקודה netsh כדי להגדיר, להפוך לזמין ולהוסיף חריגה לפי הצורך.
-
כדי לקבוע תצורה של לקוחות במצב ביקורת, הפעל את הפקודה הבאה:
netsh nps set limitproxystate all = "audit"
-
כדי לקבוע תצורה של לקוחות במצב 'הפוך לזמין', הפעל את הפקודה הבאה:
netsh nps set limitproxystate all = "enable"
-
כדי להוסיף חריגה כדי לא לכלול לקוח באימות limitProxystate , הפעל את הפקודה הבאה:
netsh nps set limitproxystate name = <client name> exception = "Yes"
תצורה זו מאפשרת ל- Proxy של NPS לחשוף הודעות תגובה ללא התכונה Message-Authenticator . תצורה זו תומכת בשלושה מצבים:
-
ביקורת
-
הפוך לזמין
-
'בטל'
במצב ביקורת, אירוע אזהרה (מזהה אירוע: 4420) נרשם, אך הבקשה עדיין מעובדת. השתמש במצב זה כדי לזהות את הישויות שאינן תואמות השולחות את התגובות.
השתמש בפקודה netsh כדי להגדיר, להפוך לזמין ולהוסיף חריגה לפי הצורך.
-
כדי לקבוע תצורה של שרתים במצב ביקורת, הפעל את הפקודה הבאה:
netsh nps set לדרוש שימושall = "audit"
-
כדי להפוך תצורות לזמינות עבור כל השרתים, הפעל את הפקודה הבאה:
netsh nps set requiremsgauth all = "enable"
-
כדי להוסיף חריגה כדי לא לכלול שרת בדרוש אימותauthmsg, הפעל את הפקודה הבאה:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
שאלות נפוצות
בדוק אירועי מודול NPS עבור אירועים קשורים. שקול להוסיף חריגים או התאמות תצורה עבור לקוחות/שרתים מושפעים.
לא, התצורות המפורטות במאמר זה מומלצות עבור רשתות לא מאובטחות.
ספרי עזר
תיאור המינוח הרגיל המשמש לתיאור עדכוני התוכנה של Microsoft
מוצרי הצד השלישי שבהם דן מאמר זה מיוצרים על-ידי חברות שאינן קשורות ל- Microsoft. איננו עורכים כל אחריות, משתמעת או אחרת, לגבי הביצועים או המהימנות של מוצרים אלה.
אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.