Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Važno Određene verzije sustava Microsoft Windows dosegnute su kraj podrške. Imajte na umu da neke verzije sustava Windows mogu biti podržane nakon najnovijeg datuma završetka OS-a kada su dostupna proširena sigurnosna ažuriranja (ESU-i). Pogledajte najčešća pitanja o životnom ciklusu – proširena sigurnosna ažuriranja za popis proizvoda koji nude ESU-ove.

Promjena datuma

Promjena opisa

1. kolovoza 2024.

  • Pomoćne promjene oblikovanja radi čitkosti

  • U konfiguraciji "Konfiguracija provjere autentičnosti atributa Message-Authenticator u svim paketima zahtjeva za Access na klijentu" umjesto "paketa" korištena je riječ "poruka".

5. kolovoza 2024.

  • Dodana je veza za protokol User Datagram Protocol (UDP)

  • Dodana je veza za poslužitelj mrežnog pravilnika (NPS)

6. kolovoza 2024.

  • Ažuriran je odjeljak "Sažetak" koji označava da su te promjene obuhvaćene ažuriranjima sustava Windows od 9. srpnja 2024. ili nakon njih

  • Ažurirali ste točke grafičkih oznaka u odjeljku "Radnja" da biste naznačili da preporučujemo uključivanje mogućnosti. Te su mogućnosti po zadanom isključene.

  • Dodana je bilješka u odjeljak "Događaji dodani ovim ažuriranjem" da bi se naznačili da se ID-ovi događaja dodaju NPS poslužitelju putem ažuriranja sustava Windows od 9. srpnja 2024. ili nakon njih

Sadržaj

Sažetak

Ažuriranja sustava Windows od 9. srpnja 2024. ili nakon nje rješavaju sigurnosnu ranjivost u protokolu Remote Authentication Dial-In User Service (RADIUS) povezanom s problemima s sudarom MD5 . Zbog slabih provjera integriteta u MD5-u napadač može neovlašteno neovlašteno pristupati paketima. Slaba točka MD5 čini promet RADIUS na temelju protokola User Datagram (UDP) preko interneta koji nije nesigurno u odnosu na krivotvorenje paketa ili izmjenu tijekom prijenosa. 

Dodatne informacije o toj ranjivosti potražite u člancima CVE-2024-3596 i napadi whitepaper RADIUS I MD5 COLLISION.

BILJEŠKA Za tu je ranjivost potreban fizički pristup mreži RADIUS i poslužitelju pravilnika mreže (NPS).) Zbog toga korisnici koji su osigurali mreže RADIUS nisu izloženi. Osim toga, ranjivost se ne primjenjuje kada se komunikacija RADIUS odvija putem VPN-a. 

Akcija

Da biste zaštitili svoje okruženje, preporučujemo da omogućite sljedeće konfiguracije. Dodatne informacije potražite u odjeljku Konfiguracije .

  • Postavite atribut Message-Authenticator u paketima za Access-Request . Provjerite obuhvaćaju li svi paketi za pristup-zahtjev atribut Message-Authenticator . Mogućnost postavljanja atributa Message-Authenticator po zadanom je isključena. Preporučujemo da uključite tu mogućnost.

  • Provjerite atribut Message-Authenticator u paketima za Access-Request . Razmislite o implementaciji provjere valjanosti atributa Message-Authenticator na paketima zahtjeva programa Access . Paketi zahtjeva za Access bez tog atributa neće se obraditi. Prema zadanim postavkama poruke programa Access-Request moraju sadržavati mogućnost atributa provjere autentičnosti poruke je isključena. Preporučujemo da uključite tu mogućnost.

  • Provjerite atribut Message-Authenticator u paketima Access-Request ako postoji atribut Proxy-State . Ako želite, omogućite mogućnost limitProxyState ako nije moguće izvršiti provjeru valjanosti atributa Message-Authenticator na svakom paketu zahtjeva za Access . limitProxyState nameće ispuštanje paketa Access-Request koji sadrže atribut Proxy-state bez atributa Message-Authenticator . Mogućnost limitproxystate po zadanom je isključena. Preporučujemo da uključite tu mogućnost.

  • Provjerite atribut Message-Authenticator u paketima odgovora RADIUS: Access-Accept, Access-Rejecti Access-Challenge. Omogućite mogućnost requireMsgAuth da biste nametnuli ispuštanje paketa odgovora RADIUS s udaljenih poslužitelja bez atributa Message-Authenticator . Mogućnost requiremsgauth po zadanom je isključena. Preporučujemo da uključite tu mogućnost.

Događaji koje je dodao ovo ažuriranje

Dodatne informacije potražite u odjeljku Konfiguracije .

Napomena Ažuriranja sustava Windows od 9. srpnja 2024. ili nakon njih dodaju se NPS poslužitelju.

Paket pristupnog zahtjeva ispušten je jer je sadržavao atribut Proxy-State , ali mu nije bio atribut Message-Authenticator . Razmislite o promjeni klijenta RADIUS tako da obuhvaća atribut Message-Authenticator . Možete i dodati iznimku za klijenta RADIUS pomoću konfiguracije limitProxyState .

Zapisnik događaja

Sustav

Vrsta događaja

Pogreška

Izvor događaja

NPS

ID događaja

4418

Tekst događaja

Primljena Access-Request poruka iz klijenta RADIUS <ip/name> koja sadrži atribut Proxy-State, ali nije uključila atribut Message-Authenticator. Zbog toga je zahtjev odbačen. Atribut Message-Authenticator obavezan je u sigurnosne svrhe. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. 

Ovo je događaj nadzora za pakete zahtjeva programa Access bez atributa Message-Authenticator u prisutnosti proxy-stanja. Razmislite o promjeni klijenta RADIUS tako da obuhvaća atribut Message-Authenticator . Paket RADIUS ispustit će se kada se omogući konfiguracija limitproxystate .

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4419

Tekst događaja

Primljena Access-Request poruka iz klijenta RADIUS <ip/name> koja sadrži atribut Proxy-State, ali nije uključila atribut Message-Authenticator. Zahtjev je trenutno dopušten jer je limitProxyState konfiguriran u načinu nadzora. Dodatne https://support.microsoft.com/help/5040268 potražite u članku. 

Ovo je događaj nadzora za pakete odgovora RADIUS-a primljene bez atributa Message-Authenticator na proxyju. Razmislite o promjeni navedenog poslužitelja RADIUS za atribut Message-Authenticator . Paket RADIUS ispustit će se kada se omogući konfiguracija requiremsgauth .

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4420

Tekst događaja

PROXY RADIUS primio je odgovor od poslužitelja <ip/name> s atributom Message-Authenticator nedostaje. Odgovor je trenutno dopušten jer je requireMsgAuth konfiguriran u načinu nadzora. Dodatne https://support.microsoft.com/help/5040268 potražite u članku.

Ovaj se događaj bilježi tijekom pokretanja servisa kada preporučene postavke nisu konfigurirane. Preporučujemo da omogućite postavke ako mreža RADIUS nije sigurna. Za sigurne mreže ti se događaji mogu zanemariti.

Zapisnik događaja

Sustav

Vrsta događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4421

Tekst događaja

Konfiguracija RequireMsgAuth i/ili limitProxyState <načinu rada Onemogući/> nadzor. Te bi postavke trebale biti konfigurirane u načinu omogućivanja u sigurnosne svrhe. Dodatne https://support.microsoft.com/help/5040268 potražite u članku.

Konfiguracije

Ta konfiguracija omogućuje NPS proxyju slanje atributa Message-Authenticator u svim paketima zahtjeva za Access . Da biste omogućili ovu konfiguraciju, koristite jedan od sljedećih načina.

1. način: korištenje NPS Microsoftove konzole za upravljanje (MMC)

Da biste koristili NPS MMC, slijedite ove korake:

  1. Otvorite korisničko sučelje (UI) NPS-a na poslužitelju.

  2. Otvorite udaljene grupe poslužitelja radijusa.

  3. Odaberite Poslužitelj radijusa.

  4. Idite na Provjera autentičnosti/Računovodstvo.

  5. Klikom potvrdite okvir Zahtjev mora sadržavati Message-Authenticator atribut .

Drugi način: korištenje naredbe netsh

Da biste koristili netsh, pokrenite sljedeću naredbu:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Dodatne informacije potražite u članku Naredbe grupe udaljenog poslužitelja RADIUS.

Za ovu konfiguraciju potreban je atribut Message-Authenticator u svim paketima zahtjeva za Access i odbacuje paket ako odsutan.

1. način: korištenje NPS Microsoftove konzole za upravljanje (MMC)

Da biste koristili NPS MMC, slijedite ove korake:

  1. Otvorite korisničko sučelje (UI) NPS-a na poslužitelju.

  2. Otvaranje klijenata radijusa.

  3. Odaberite Klijent radijusa.

  4. Idite na Napredne postavke.

  5. Klikom potvrdite okvir Poruke zahtjeva programa Access moraju sadržavati atribut provjere autentičnosti poruke.

Dodatne informacije potražite u članku Konfiguriranje klijenata za RADIUS.

Drugi način: korištenje naredbe netsh

Da biste koristili netsh, pokrenite sljedeću naredbu:

netsh nps set client name = <client name> requireauthattrib = yes

Dodatne informacije potražite u članku Naredbe grupe udaljenog poslužitelja RADIUS.

Ova konfiguracija omogućuje NPS poslužitelju ispuštanje potencijalnih ranjivih paketa zahtjeva za Access koji sadrže atribut Proxy-State , ali ne uključuje atribut Message-Authenticator . Ova konfiguracija podržava tri načina:

  • Nadzor

  • Omogući

  • Onemogući

U načinu nadzora bilježi se događaj upozorenja (ID događaja: 4419), ali se zahtjev i dalje obrađuje. Pomoću tog načina identificirajte entitete koji nisu usklađeni s slanjem zahtjeva.

Pomoću naredbe netsh konfigurirajte, omogućite i po potrebi dodajte iznimku.

  1. Da biste konfigurirali klijente u načinu nadzora, pokrenite sljedeću naredbu:

    netsh nps set limitproxystate all = "audit"

  2. Da biste konfigurirali klijente u načinu omogućivanja, pokrenite sljedeću naredbu:

    netsh nps set limitproxystate all = "enable" 

  3. Da biste dodali iznimku za isključivanje klijenta iz provjere valjanosti limitProxystate, pokrenite sljedeću naredbu:

    netsh nps set limitproxystate name = <naziv klijenta> iznimka = "Da" 

Ova konfiguracija omogućuje NPS proxyju ispuštanje potencijalno ranjivih poruka odgovora bez atributa Message-Authenticator . Ova konfiguracija podržava tri načina:

  • Nadzor

  • Omogući

  • Onemogući

U načinu nadzora bilježi se događaj upozorenja (ID događaja: 4420), ali se zahtjev i dalje obrađuje. Pomoću tog načina identificirajte entitete koji ne podržavaju slanje odgovora.

Pomoću naredbe netsh konfigurirajte, omogućite i po potrebi dodajte iznimku.

  1. Da biste konfigurirali poslužitelje u načinu nadzora, pokrenite sljedeću naredbu:

    netsh nps set zahtijevamsgauthall = "audit"

  2. Da biste omogućili konfiguracije za sve poslužitelje, pokrenite sljedeću naredbu:

    netsh nps set requiremsgauth sve = "enable"

  3. Da biste dodali iznimku za izuzimanje poslužitelja iz provjere valjanosti requireauthmsg, pokrenite sljedeću naredbu:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Najčešća pitanja

Provjerite događaje NPS modula za povezane događaje. Razmislite o dodavanju iznimki ili prilagodbi konfiguracije za zahvaćene klijente/poslužitelje.

Ne, konfiguracije opisane u ovom članku preporučuju se za nezaštitene mreže. 

Reference

Opis standardne terminologije koja se koristi za opisIvanje Microsoftovih softverskih ažuriranja

Proizvodi trećih strana o kojima se radi u članku proizvode tvrtke koje su neovisne o Microsoftu. Ne jamčimo, implicirana ili na neki drugi način, o performansama ili pouzdanosti tih proizvoda.

Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Ne jamčimo točnost tih podataka za kontakt treće strane.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.