Važno Određene verzije sustava Microsoft Windows dosegnute su kraj podrške. Imajte na umu da neke verzije sustava Windows mogu biti podržane nakon najnovijeg datuma završetka OS-a kada su dostupna proširena sigurnosna ažuriranja (ESU-i). Pogledajte najčešća pitanja o životnom ciklusu – proširena sigurnosna ažuriranja za popis proizvoda koji nude ESU-ove.
Promjena datuma |
Promjena opisa |
1. kolovoza 2024. |
|
5. kolovoza 2024. |
|
6. kolovoza 2024. |
|
Sadržaj
Sažetak
Ažuriranja sustava Windows od 9. srpnja 2024. ili nakon nje rješavaju sigurnosnu ranjivost u protokolu Remote Authentication Dial-In User Service (RADIUS) povezanom s problemima s sudarom MD5 . Zbog slabih provjera integriteta u MD5-u napadač može neovlašteno neovlašteno pristupati paketima. Slaba točka MD5 čini promet RADIUS na temelju protokola User Datagram (UDP) preko interneta koji nije nesigurno u odnosu na krivotvorenje paketa ili izmjenu tijekom prijenosa.
Dodatne informacije o toj ranjivosti potražite u člancima CVE-2024-3596 i napadi whitepaper RADIUS I MD5 COLLISION.
BILJEŠKA Za tu je ranjivost potreban fizički pristup mreži RADIUS i poslužitelju pravilnika mreže (NPS).) Zbog toga korisnici koji su osigurali mreže RADIUS nisu izloženi. Osim toga, ranjivost se ne primjenjuje kada se komunikacija RADIUS odvija putem VPN-a.
Akcija
Da biste zaštitili svoje okruženje, preporučujemo da omogućite sljedeće konfiguracije. Dodatne informacije potražite u odjeljku Konfiguracije .
|
Događaji koje je dodao ovo ažuriranje
Dodatne informacije potražite u odjeljku Konfiguracije .
Napomena Ažuriranja sustava Windows od 9. srpnja 2024. ili nakon njih dodaju se NPS poslužitelju.
Paket pristupnog zahtjeva ispušten je jer je sadržavao atribut Proxy-State , ali mu nije bio atribut Message-Authenticator . Razmislite o promjeni klijenta RADIUS tako da obuhvaća atribut Message-Authenticator . Možete i dodati iznimku za klijenta RADIUS pomoću konfiguracije limitProxyState .
Zapisnik događaja |
Sustav |
Vrsta događaja |
Pogreška |
Izvor događaja |
NPS |
ID događaja |
4418 |
Tekst događaja |
Primljena Access-Request poruka iz klijenta RADIUS <ip/name> koja sadrži atribut Proxy-State, ali nije uključila atribut Message-Authenticator. Zbog toga je zahtjev odbačen. Atribut Message-Authenticator obavezan je u sigurnosne svrhe. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. |
Ovo je događaj nadzora za pakete zahtjeva programa Access bez atributa Message-Authenticator u prisutnosti proxy-stanja. Razmislite o promjeni klijenta RADIUS tako da obuhvaća atribut Message-Authenticator . Paket RADIUS ispustit će se kada se omogući konfiguracija limitproxystate .
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4419 |
Tekst događaja |
Primljena Access-Request poruka iz klijenta RADIUS <ip/name> koja sadrži atribut Proxy-State, ali nije uključila atribut Message-Authenticator. Zahtjev je trenutno dopušten jer je limitProxyState konfiguriran u načinu nadzora. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. |
Ovo je događaj nadzora za pakete odgovora RADIUS-a primljene bez atributa Message-Authenticator na proxyju. Razmislite o promjeni navedenog poslužitelja RADIUS za atribut Message-Authenticator . Paket RADIUS ispustit će se kada se omogući konfiguracija requiremsgauth .
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4420 |
Tekst događaja |
PROXY RADIUS primio je odgovor od poslužitelja <ip/name> s atributom Message-Authenticator nedostaje. Odgovor je trenutno dopušten jer je requireMsgAuth konfiguriran u načinu nadzora. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. |
Ovaj se događaj bilježi tijekom pokretanja servisa kada preporučene postavke nisu konfigurirane. Preporučujemo da omogućite postavke ako mreža RADIUS nije sigurna. Za sigurne mreže ti se događaji mogu zanemariti.
Zapisnik događaja |
Sustav |
Vrsta događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4421 |
Tekst događaja |
Konfiguracija RequireMsgAuth i/ili limitProxyState <načinu rada Onemogući/> nadzor. Te bi postavke trebale biti konfigurirane u načinu omogućivanja u sigurnosne svrhe. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. |
Konfiguracije
Ta konfiguracija omogućuje NPS proxyju slanje atributa Message-Authenticator u svim paketima zahtjeva za Access . Da biste omogućili ovu konfiguraciju, koristite jedan od sljedećih načina.
1. način: korištenje NPS Microsoftove konzole za upravljanje (MMC)
Da biste koristili NPS MMC, slijedite ove korake:
-
Otvorite korisničko sučelje (UI) NPS-a na poslužitelju.
-
Otvorite udaljene grupe poslužitelja radijusa.
-
Odaberite Poslužitelj radijusa.
-
Idite na Provjera autentičnosti/Računovodstvo.
-
Klikom potvrdite okvir Zahtjev mora sadržavati Message-Authenticator atribut .
Drugi način: korištenje naredbe netsh
Da biste koristili netsh, pokrenite sljedeću naredbu:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Dodatne informacije potražite u članku Naredbe grupe udaljenog poslužitelja RADIUS.
Za ovu konfiguraciju potreban je atribut Message-Authenticator u svim paketima zahtjeva za Access i odbacuje paket ako odsutan.
1. način: korištenje NPS Microsoftove konzole za upravljanje (MMC)
Da biste koristili NPS MMC, slijedite ove korake:
-
Otvorite korisničko sučelje (UI) NPS-a na poslužitelju.
-
Otvaranje klijenata radijusa.
-
Odaberite Klijent radijusa.
-
Idite na Napredne postavke.
-
Klikom potvrdite okvir Poruke zahtjeva programa Access moraju sadržavati atribut provjere autentičnosti poruke.
Dodatne informacije potražite u članku Konfiguriranje klijenata za RADIUS.
Drugi način: korištenje naredbe netsh
Da biste koristili netsh, pokrenite sljedeću naredbu:
netsh nps set client name = <client name> requireauthattrib = yes
Dodatne informacije potražite u članku Naredbe grupe udaljenog poslužitelja RADIUS.
Ova konfiguracija omogućuje NPS poslužitelju ispuštanje potencijalnih ranjivih paketa zahtjeva za Access koji sadrže atribut Proxy-State , ali ne uključuje atribut Message-Authenticator . Ova konfiguracija podržava tri načina:
-
Nadzor
-
Omogući
-
Onemogući
U načinu nadzora bilježi se događaj upozorenja (ID događaja: 4419), ali se zahtjev i dalje obrađuje. Pomoću tog načina identificirajte entitete koji nisu usklađeni s slanjem zahtjeva.
Pomoću naredbe netsh konfigurirajte, omogućite i po potrebi dodajte iznimku.
-
Da biste konfigurirali klijente u načinu nadzora, pokrenite sljedeću naredbu:
netsh nps set limitproxystate all = "audit"
-
Da biste konfigurirali klijente u načinu omogućivanja, pokrenite sljedeću naredbu:
netsh nps set limitproxystate all = "enable"
-
Da biste dodali iznimku za isključivanje klijenta iz provjere valjanosti limitProxystate, pokrenite sljedeću naredbu:
netsh nps set limitproxystate name = <naziv klijenta> iznimka = "Da"
Ova konfiguracija omogućuje NPS proxyju ispuštanje potencijalno ranjivih poruka odgovora bez atributa Message-Authenticator . Ova konfiguracija podržava tri načina:
-
Nadzor
-
Omogući
-
Onemogući
U načinu nadzora bilježi se događaj upozorenja (ID događaja: 4420), ali se zahtjev i dalje obrađuje. Pomoću tog načina identificirajte entitete koji ne podržavaju slanje odgovora.
Pomoću naredbe netsh konfigurirajte, omogućite i po potrebi dodajte iznimku.
-
Da biste konfigurirali poslužitelje u načinu nadzora, pokrenite sljedeću naredbu:
netsh nps set zahtijevamsgauthall = "audit"
-
Da biste omogućili konfiguracije za sve poslužitelje, pokrenite sljedeću naredbu:
netsh nps set requiremsgauth sve = "enable"
-
Da biste dodali iznimku za izuzimanje poslužitelja iz provjere valjanosti requireauthmsg, pokrenite sljedeću naredbu:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Najčešća pitanja
Provjerite događaje NPS modula za povezane događaje. Razmislite o dodavanju iznimki ili prilagodbi konfiguracije za zahvaćene klijente/poslužitelje.
Ne, konfiguracije opisane u ovom članku preporučuju se za nezaštitene mreže.
Reference
Opis standardne terminologije koja se koristi za opisIvanje Microsoftovih softverskih ažuriranja
Proizvodi trećih strana o kojima se radi u članku proizvode tvrtke koje su neovisne o Microsoftu. Ne jamčimo, implicirana ili na neki drugi način, o performansama ili pouzdanosti tih proizvoda.
Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Ne jamčimo točnost tih podataka za kontakt treće strane.