Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

חשוב גירסאות מסוימות של Microsoft Windows הגיעו לסוף התמיכה. שים לב שייתכן שחלק מהגרסאות של Windows ייתמכו לאחר תאריך הסיום האחרון של מערכת ההפעלה כאשר עדכוני אבטחה מורחבים (ESU) זמינים. ראה שאלות נפוצות בנושא מחזור החיים - עדכוני אבטחה מורחבים לקבלת רשימה של מוצרים המציעים עדכוני אבטחה מורחבים (ESU).

שנה תאריך

שינוי תיאור

ה-1 באוגוסט 2024

  • שינויי עיצוב משניים לקריאות

  • בתצורה "קביעת תצורה של אימות של התכונה Message-Authenticator בכל המנות של בקשת הגישה בלקוח", נעשה שימוש במילה "message" במקום "packet"

ה-5 באוגוסט 2024

  • נוסף קישור עבור פרוטוקול בדיקת הנתונים של המשתמש (UDP)

  • נוסף קישור עבור שרת מדיניות הרשת (NPS)

ה-6 באוגוסט 2024

  • הסעיף "סיכום" עודכן כדי לציין ששינויים אלה נכללים בעדכוני Windows שתאריך 9 ביולי 2024 או לאחר מכן

  • עדכנו את נקודות התבליט במקטע 'בצע פעולה' כדי לציין שאנחנו ממליצים להפעיל את האפשרויות. אפשרויות אלה מבוטלות כברירת מחדל.

  • נוספה הערה למקטע "אירועים שנוספו על-ידי עדכון זה" כדי לציין את זהות האירוע מתווספים לשרת NPS על-ידי עדכוני Windows מיום 9 ביולי 2024 או לאחר מכן

תוכן

סיכום

עדכוני Windows שתאריך 9 ביולי 2024 או לאחר מכן מטפלים בפגיעות אבטחה בפרוטוקול Remote Authentication Dial-In User Service (RADIUS) הקשור לבעיות התנגשות MD5 . עקב בדיקת תקינות חלשה ב- MD5, תוקף עלול לטפל שלא כדין במנות כדי לקבל גישה בלתי מורשית. MD5 vulnerability makes User Datagram Protocol (UDP) based RADIUS traffic over the Internet nonsecure against packet forgery or modification during transit. 

לקבלת מידע נוסף אודות פגיעות זו, ראה CVE-2024-3596 ותקיפות ההתנגשות של RADIUS ו- MD5 של הסקירה הטכנית.

הערה פגיעות זו דורשת גישה פיזית לרשת RADIUS ול - Network Policy Server (NPS). לכן, לקוחות בעלי רשתות RADIUS מאובטחות אינם פגיעים. בנוסף, הפגיעות אינה חלה כאשר תקשורת RADIUS מתרחשת דרך VPN. 

בצע פעולה

כדי לסייע בהגנה על הסביבה שלך, מומלץ להפעיל את התצורות הבאות. לקבלת מידע נוסף, עיין בסעיף 'תצורות '.

  • הגדר את התכונה Message-Authenticatorבמנות בקשת גישה. ודא שכל המנות של בקשת הגישה כוללות את התכונה Message-Authenticator . כברירת מחדל, האפשרות להגדיר את התכונה Message-Authenticator מבוטלת. אנו ממליצים להפעיל אפשרות זו.

  • אמת את התכונה Message-Authenticatorבמנות בקשת גישה. שקול לאכוף אימות של התכונה Message-Authenticatorבמנות בקשת גישה. מנות של בקשת גישה ללא תכונה זו לא יעובדו. כברירת מחדל, הודעות של בקשת גישה חייבות להכיל את אפשרות התכונה 'מאמת הודעות' מבוטלת. אנו ממליצים להפעיל אפשרות זו.

  • אמת את התכונה Message-Authenticatorבמנות בקשת גישה אם התכונה מצב Proxy קיימת. באופן אופציונלי, הפוך את האפשרות limitProxyState לזמינה אם לא ניתן לבצע אימות של התכונה Message-Authenticator בכל מנת בקשת גישה. limitProxyState אוכף שחרור מנות של בקשת גישה המכילות את התכונה מצב Proxy ללא התכונה Message-Authenticator . כברירת מחדל, האפשרות limitproxystate מבוטלת. אנו ממליצים להפעיל אפשרות זו.

  • אמת את התכונה Message-Authenticator במנות תגובה של RADIUS: Access-Accept, Access-Reject ו-Access-Challenge. הפוך את האפשרות requireMsgAuth לזמינה כדי לאכוף שחרור מנות תגובה של RADIUS משרתים מרוחקים ללא התכונה Message-Authenticator . כברירת מחדל, האפשרות requiremsgauth מבוטלת. אנו ממליצים להפעיל אפשרות זו.

אירועים שנוספו על-ידי עדכון זה

לקבלת מידע נוסף, עיין בסעיף 'תצורות '.

הערה זהות אירועים אלה מתווספות לשרת ה- NPS על-ידי עדכוני Windows שתאריך 9 ביולי 2024 או לאחר מכן.

המנה של בקשת הגישה בוטלה מאחר שהיא הכילתה את התכונה מצב Proxy אך לא כללה את התכונה Message-Authenticator. שקול לשנות את לקוח RADIUS כך שיכלול את התכונה Message-Authenticator . לחלופין, לחלופין, הוסף חריגה עבור לקוח RADIUS באמצעות התצורה limitProxyState .

יומן אירועים

מערכת

סוג אירוע

שגיאה

מקור האירוע

מס NPS

מזהה האירוע

4418

טקסט אירוע

הודעת Access-Request שהתקבלה מלקוח RADIUS <ip/name> המכילה תכונת Proxy-State, אך היא לא כוללת Message-Authenticator אישית. כתוצאה מכך, הבקשה בוטלה. התכונה Message-Authenticator הכרחית למטרות אבטחה. ראה https://support.microsoft.com/help/5040268 למידע נוסף. 

זהו אירוע ביקורת עבור מנות בקשת גישה ללא התכונה Message-Authenticator בנוכחות מצב Proxy. שקול לשנות את לקוח RADIUS כך שיכלול את התכונה Message-Authenticator . המנה RADIUS תשוחרר ברגע שתצורות limitproxystate יהיו זמינות.

יומן אירועים

מערכת

סוג אירוע

שלט אזהרה

מקור האירוע

מס NPS

מזהה האירוע

4419

טקסט אירוע

הודעת Access-Request שהתקבלה מלקוח RADIUS <ip/name> המכילה תכונת Proxy-State, אך היא לא כוללת Message-Authenticator אישית. הבקשה מותרת כעת מאחר שהגדרת limitProxyState נקבעה במצב ביקורת. ראה https://support.microsoft.com/help/5040268 למידע נוסף. 

זהו אירוע ביקורת עבור מנות תגובה של RADIUS שהתקבלו ללא התכונה Message-Authenticator ב- Proxy. שקול לשנות את שרת RADIUS שצוין עבור התכונה Message-Authenticator . המנה RADIUS תשוחרר ברגע שתצורות requiremsgauth יהיו זמינות.

יומן אירועים

מערכת

סוג אירוע

שלט אזהרה

מקור האירוע

מס NPS

מזהה האירוע

4420

טקסט אירוע

ה- Proxy של RADIUS קיבל תגובה מהשרת<ip/name> עם תכונת Message-Authenticator חסרה. התגובה מותרת כעת מאחר שתצורת requireMsgAuth מוגדרת במצב ביקורת. ראה https://support.microsoft.com/help/5040268 למידע נוסף.

אירוע זה נרשם במהלך הפעלת השירות כאשר ההגדרות המומלצות אינן מוגדרות. שקול להפוך את ההגדרות ל פעילות אם רשת RADIUS אינה מאובטחת. עבור רשתות מאובטחות, ניתן להתעלם מאירועים אלה.

יומן אירועים

מערכת

סוג אירוע

שלט אזהרה

מקור האירוע

מס NPS

מזהה האירוע

4421

טקסט אירוע

התצורה RequireMsgAuth ו/או limitProxyState נמצאת במצב<השבתה/> אוטומטי. יש לקבוע את התצורה של הגדרות אלה במצב 'הפוך לזמין' למטרות אבטחה. ראה https://support.microsoft.com/help/5040268 למידע נוסף.

תצורות

תצורה זו מאפשרת ל- Proxy של NPS להתחיל לשלוח את התכונה Message-Authenticator בכל המנות של בקשת הגישה. כדי להפוך תצורה זו לזמינה, השתמש באחת מהשיטות הבאות.

שיטה 1: השתמש ב- NPS Microsoft Management Console (MMC)

כדי להשתמש ב- NPS MMC, בצע את הפעולות הבאות:

  1. פתח את ממשק המשתמש (UI) של NPS בשרת.

  2. פתח את קבוצות שרתי הרדיוס המרוחקות.

  3. בחר Radius Server.

  4. עבור אל אימות/חשבונאות.

  5. לחץ כדי לבחור את תיבת הסימון הבקשה חייבת להכיל Message-Authenticator התכונה החדשה.

שיטה 2: השתמש בפקודה netsh

כדי להשתמש ב- netsh, הפעל את הפקודה הבאה:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

לקבלת מידע נוסף, ראה פקודות קבוצה של שרת RADIUS מרוחק.

תצורה זו דורשת את התכונה Message-Authenticator בכל המנות של בקשת הגישה ומשחררת את המנה אם היא חסרה.

שיטה 1: השתמש ב- NPS Microsoft Management Console (MMC)

כדי להשתמש ב- NPS MMC, בצע את הפעולות הבאות:

  1. פתח את ממשק המשתמש (UI) של NPS בשרת.

  2. פתח את 'לקוחות רדיוס'.

  3. בחר לקוח רדיוס.

  4. עבור אל הגדרות מתקדמות.

  5. לחץ כדי לבחור את תיבת הסימון הודעות של בקשת גישה חייבות להכיל את תיבת הסימון של התכונה מאמת ההודעות.

לקבלת מידע נוסף, ראה קביעת תצורה של לקוחות RADIUS.

שיטה 2: השתמש בפקודה netsh

כדי להשתמש ב- netsh, הפעל את הפקודה הבאה:

netsh nps set client name = <client name> requireauthattrib = yes

לקבלת מידע נוסף, ראה פקודות קבוצה של שרת RADIUS מרוחק.

תצורה זו מאפשרת לשרת ה- NPS לחשוף מנות פוטנציאליות של בקשת גישה המכילות תכונת מצב Proxy, אך אינה כוללת תכונת Message-Authenticator. תצורה זו תומכת בשלושה מצבים:

  • ‏‏ביקורת

  • הפוך לזמין

  • 'בטל'

במצב ביקורת , אירוע אזהרה (מזהה אירוע: 4419) נרשם, אך הבקשה עדיין מעובדת. השתמש במצב זה כדי לזהות את הישויות שאינן תואמות השולחות את הבקשות.

השתמש בפקודה netsh כדי להגדיר, להפוך לזמין ולהוסיף חריגה לפי הצורך.

  1. כדי לקבוע תצורה של לקוחות במצב ביקורת, הפעל את הפקודה הבאה:

    netsh nps set limitproxystate all = "audit"

  2. כדי לקבוע תצורה של לקוחות במצב 'הפוך לזמין', הפעל את הפקודה הבאה:

    netsh nps set limitproxystate all = "enable" 

  3. כדי להוסיף חריגה כדי לא לכלול לקוח באימות limitProxystate , הפעל את הפקודה הבאה:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

תצורה זו מאפשרת ל- Proxy של NPS לחשוף הודעות תגובה ללא התכונה Message-Authenticator . תצורה זו תומכת בשלושה מצבים:

  • ‏‏ביקורת

  • הפוך לזמין

  • 'בטל'

במצב ביקורת, אירוע אזהרה (מזהה אירוע: 4420) נרשם, אך הבקשה עדיין מעובדת. השתמש במצב זה כדי לזהות את הישויות שאינן תואמות השולחות את התגובות.

השתמש בפקודה netsh כדי להגדיר, להפוך לזמין ולהוסיף חריגה לפי הצורך.

  1. כדי לקבוע תצורה של שרתים במצב ביקורת, הפעל את הפקודה הבאה:

    netsh nps set לדרוש שימושall = "audit"

  2. כדי להפוך תצורות לזמינות עבור כל השרתים, הפעל את הפקודה הבאה:

    netsh nps set requiremsgauth all = "enable"

  3. כדי להוסיף חריגה כדי לא לכלול שרת בדרוש אימותauthmsg, הפעל את הפקודה הבאה:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

שאלות נפוצות

בדוק אירועי מודול NPS עבור אירועים קשורים. שקול להוסיף חריגים או התאמות תצורה עבור לקוחות/שרתים מושפעים.

לא, התצורות המפורטות במאמר זה מומלצות עבור רשתות לא מאובטחות. 

ספרי עזר

תיאור המינוח הרגיל המשמש לתיאור עדכוני התוכנה של Microsoft

מוצרי הצד השלישי שבהם דן מאמר זה מיוצרים על-ידי חברות שאינן קשורות ל- Microsoft. איננו עורכים כל אחריות, משתמעת או אחרת, לגבי הביצועים או המהימנות של מוצרים אלה.

אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.