Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Fontos A Microsoft Windows bizonyos verzióinak támogatása véget ért. Vegye figyelembe, hogy a Windows egyes verziói a legújabb operációsrendszer-befejezési dátum után is támogatottak lehetnek, ha a kiterjesztett biztonsági frissítések (ESU-k) elérhetők. Az ESU-kat kínáló termékek listájáért tekintse meg az életciklussal kapcsolatos gyakori kérdések – kiterjesztett biztonsági frissítések című témakört.

Dátum módosítása

Leírás módosítása

2024. augusztus 1.

  • Kisebb formázási módosítások az olvashatóság érdekében

  • A " Message-Authenticator attribútum ellenőrzésének konfigurálása az ügyfél összes Access-Request csomagjában" konfigurációban a "packet" helyett az "message" szót használták

2024. augusztus 5.

  • Hivatkozás hozzáadva a User Datagram Protocolhoz (UDP)

  • Hálózati házirend-kiszolgáló (NPS) hivatkozása hozzáadva

2024. augusztus 6.

  • Az "Összefoglalás" szakasz frissült, jelezve, hogy ezek a módosítások szerepelnek a 2024. július 9-én vagy azt követően dátumozott Windows-frissítésekben

  • Frissítettük a "Művelet végrehajtása" szakasz listajeles pontjait, hogy jelezze, javasoljuk, hogy kapcsolja be a beállításokat. Ezek a beállítások alapértelmezés szerint ki vannak kapcsolva.

  • Megjegyzés hozzáadva a "Frissítés által hozzáadott események" szakaszhoz, amely jelzi, hogy az eseményazonosítókat a 2024. július 9-én vagy azt követően dátumozott Windows-frissítések hozzáadják az NPS-kiszolgálóhoz

Tartalomjegyzék

Összefoglalás

A 2024. július 9-én vagy azt követően dátumozott Windows-frissítések az MD5 ütközési problémáival kapcsolatos távoli hitelesítési betárcsázós szolgáltatás (RADIUS) protokoll biztonsági rését kezelik. Az MD5 gyenge integritás-ellenőrzései miatt a támadó illetéktelen hozzáférés érdekében illetéktelenül módosíthatja a csomagokat. Az MD5 biztonsági rés miatt a User Datagram Protocol (UDP) alapú RADIUS-forgalom az interneten keresztül nem biztonságos a csomaghamisítás vagy -módosítás ellen az átvitel során. 

A biztonsági résről további információt a CVE-2024-3596 és a RADIUS AND MD5 COLLISION ATTACKS című tanulmányban talál.

JEGYZET Ez a biztonsági rés fizikai hozzáférést igényel a RADIUS-hálózathoz és a hálózati házirend-kiszolgálóhoz (NPS). Ezért azok az ügyfelek, akik biztonságos RADIUS-hálózatokkal rendelkeznek, nem sebezhetők. Emellett a biztonsági rés nem érvényes, ha a RADIUS-kommunikáció VPN-en keresztül történik. 

Művelet végrehajtása

A környezet védelme érdekében javasoljuk, hogy engedélyezze az alábbi konfigurációkat. További információkért lásd a Konfigurációk szakaszt .

  • Állítsa be a Message-Authenticator attribútumot az Access-Request csomagokban. Győződjön meg arról, hogy az access-request csomagok tartalmazzák a Message-Authenticator attribútumot. Alapértelmezés szerint a Message-Authenticator attribútum beállítása ki van kapcsolva. Javasoljuk, hogy kapcsolja be ezt a beállítást.

  • Ellenőrizze a Message-Authenticator attribútumot az Access-Request csomagokban. Fontolja meg a Message-Authenticator attribútum érvényesítésének kikényszerítését az Access-Request csomagokon. Az access-request csomagok ezen attribútum nélkül nem lesznek feldolgozva. Alapértelmezés szerint az Access-Request üzeneteknek tartalmazniuk kell az message-authenticator attribútumot ki van kapcsolva. Javasoljuk, hogy kapcsolja be ezt a beállítást.

  • Ellenőrizze a Message-Authenticator attribútumot az Access-Request csomagokban, ha a Proxy-State attribútum jelen van. Ha szeretné, engedélyezze a limitProxyState beállítást, ha a Message-Authenticator attribútum érvényesítése nem hajtható végre minden Access-Request csomagon. A limitProxyState kényszeríti a Proxy-state attribútumot tartalmazó Access-Request csomagok eltávolítását a Message-Authenticator attribútum nélkül. Alapértelmezés szerint a limitproxystate beállítás ki van kapcsolva. Javasoljuk, hogy kapcsolja be ezt a beállítást.

  • Ellenőrizze a Message-Authenticator attribútumot a RADIUS-válaszcsomagokban: Access-Accept, Access-Reject és Access-Challenge. Engedélyezze a requireMsgAuth beállítást, hogy kényszerítse a RADIUS-válaszcsomagok eltávolítását a távoli kiszolgálókról a Message-Authenticator attribútum nélkül. Alapértelmezés szerint a requiremsgauth beállítás ki van kapcsolva. Javasoljuk, hogy kapcsolja be ezt a beállítást.

A frissítés által hozzáadott események

További információkért lásd a Konfigurációk szakaszt .

Megjegyzés Ezeket az eseményazonosítókat a 2024. július 9-én vagy azt követően dátumozott Windows-frissítések hozzáadják az NPS-kiszolgálóhoz.

Az Access-Request csomag el lett dobva, mert tartalmazza a Proxy-State attribútumot, de nem rendelkezik a Message-Authenticator attribútummal. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. Vagy adjon hozzá egy kivételt a RADIUS-ügyfélhez a limitProxyState konfiguráció használatával.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Esemény forrása

NPS

Eseményazonosító

4418

Esemény szövege

Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. Ennek eredményeképpen a kérés el lett dobva. A Message-Authenticator attribútum biztonsági okokból kötelező. További információ: https://support.microsoft.com/help/5040268. 

Ez egy naplózási esemény az Access-Request csomagokhoz az Message-Authenticator attribútum nélkül proxyállapot jelenlétében. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. A RADIUS-csomag eldobása a limitproxystate konfiguráció engedélyezése után történik.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4419

Esemény szövege

Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. A kérés jelenleg engedélyezve van, mivel a limitProxyState naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268. 

Ez egy naplózási esemény a proxynál a Message-Authenticator attribútum nélkül fogadott RADIUS-válaszcsomagok esetében. Fontolja meg a Message-Authenticator attribútum megadott RADIUS-kiszolgálójának módosítását. A RADIUS-csomag eldobása a requiremsgauth konfiguráció engedélyezése után történik.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4420

Esemény szövege

A RADIUS-proxy egy hiányzó Message-Authenticator attribútummal rendelkező IP-/név-><kapott választ. A válasz jelenleg engedélyezett, mivel a requireMsgAuth naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268.

Ezt az eseményt a szolgáltatás indításakor naplózza a rendszer, ha az ajánlott beállítások nincsenek konfigurálva. Fontolja meg a beállítások engedélyezését, ha a RADIUS-hálózat nem biztonságos. A biztonságos hálózatok esetében ezek az események figyelmen kívül hagyhatók.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4421

Esemény szövege

A RequireMsgAuth és/vagy a limitProxyState konfiguráció <Disable/Audit> módban van. Ezeket a beállításokat biztonsági okokból Engedélyezés módban kell konfigurálni. További információ: https://support.microsoft.com/help/5040268.

Konfigurációk

Ezzel a konfigurációval az NPS-proxy megkezdheti a Message-Authenticator attribútum küldését az összes Access-Request csomagban. A konfiguráció engedélyezéséhez használja az alábbi módszerek egyikét.

1. módszer: Az NPS Microsoft Management Console (MMC) használata

Az NPS MMC használatához kövesse az alábbi lépéseket:

  1. Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.

  2. Nyissa meg a távoli Radius-kiszolgálócsoportokat.

  3. Válassza a Radius-kiszolgáló lehetőséget.

  4. Lépjen a Hitelesítés/Könyvelés területre.

  5. Jelölje be a A kérelemnek tartalmaznia kell a Message-Authenticator attribútum jelölőnégyzetet.

2. módszer: A netsh parancs használata

A netsh használatához futtassa a következő parancsot:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

További információ: Távoli RADIUS-kiszolgálócsoport parancsai.

Ehhez a konfigurációhoz a Message-Authenticator attribútum szükséges az összes Access-Request csomagban, és ha hiányzik, elveti a csomagot.

1. módszer: Az NPS Microsoft Management Console (MMC) használata

Az NPS MMC használatához kövesse az alábbi lépéseket:

  1. Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.

  2. Nyissa meg a Radius-ügyfeleket.

  3. Válassza a Radius-ügyfél lehetőséget.

  4. Lépjen a Speciális beállítások területre.

  5. Ide kattintva jelölje be az Access-Request üzeneteknek tartalmazniuk kell az message-authenticator attribútumot jelölőnégyzetet.

További információ: RADIUS-ügyfelek konfigurálása.

2. módszer: A netsh parancs használata

A netsh használatához futtassa a következő parancsot:

netsh nps set client name = <client name> requireauthattrib = yes

További információ: Távoli RADIUS-kiszolgálócsoport parancsai.

Ez a konfiguráció lehetővé teszi, hogy az NPS-kiszolgáló elvetse a potenciálisan sebezhető hozzáférési kérelmeket tartalmazó csomagokat, amelyek proxy-state attribútumot tartalmaznak, de nem tartalmaznak Message-Authenticator attribútumot. Ez a konfiguráció három módot támogat:

  • Naplózás

  • Engedélyezés

  • Letiltás

Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4419), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a kéréseket küldő nem megfelelő entitásokat.

A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.

  1. Az ügyfelek naplózási módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set limitproxystate all = "audit"

  2. Az ügyfelek Engedélyezési módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set limitproxystate all = "enable" 

  3. Ha kivételt szeretne hozzáadni, hogy kizárjon egy ügyfelet a limitProxystate ellenőrzésből, futtassa a következő parancsot:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Ez a konfiguráció lehetővé teszi, hogy az NPS-proxy a Message-Authenticator attribútum nélkül elvetje a potenciálisan sebezhető válaszüzeneteket. Ez a konfiguráció három módot támogat:

  • Naplózás

  • Engedélyezés

  • Letiltás

Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4420), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a válaszokat küldő nem megfelelő entitásokat.

A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.

  1. A kiszolgálók naplózási módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set requiremsgauthall = "audit"

  2. Az összes kiszolgáló konfigurációjának engedélyezéséhez futtassa a következő parancsot:

    netsh nps set requiremsgauth all = "enable"

  3. Ha kivételt szeretne hozzáadni egy kiszolgálónak a requireauthmsg érvényesítéséből való kizárásához, futtassa a következő parancsot:

    netsh nps set requiremsgauth remoteservergroup = <távoli kiszolgálócsoport neve> cím = <kiszolgáló címe> kivétel = "igen"

Gyakori kérdések

Ellenőrizze, hogy az NPS-modul eseményei kapcsolódó eseményeket keresnek-e. Vegye fontolóra kivételek vagy konfigurációs beállítások hozzáadását az érintett ügyfelekhez/kiszolgálókhoz.

Nem, a cikkben ismertetett konfigurációk nem biztonságos hálózatokhoz ajánlottak. 

Referenciák

A Microsoft szoftverfrissítéseinek leírására használt szabványos terminológia leírása

A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.