Fontos A Microsoft Windows bizonyos verzióinak támogatása véget ért. Vegye figyelembe, hogy a Windows egyes verziói a legújabb operációsrendszer-befejezési dátum után is támogatottak lehetnek, ha a kiterjesztett biztonsági frissítések (ESU-k) elérhetők. Az ESU-kat kínáló termékek listájáért tekintse meg az életciklussal kapcsolatos gyakori kérdések – kiterjesztett biztonsági frissítések című témakört.
Dátum módosítása |
Leírás módosítása |
2024. augusztus 1. |
|
2024. augusztus 5. |
|
2024. augusztus 6. |
|
Tartalomjegyzék
Összefoglalás
A 2024. július 9-én vagy azt követően dátumozott Windows-frissítések az MD5 ütközési problémáival kapcsolatos távoli hitelesítési betárcsázós szolgáltatás (RADIUS) protokoll biztonsági rését kezelik. Az MD5 gyenge integritás-ellenőrzései miatt a támadó illetéktelen hozzáférés érdekében illetéktelenül módosíthatja a csomagokat. Az MD5 biztonsági rés miatt a User Datagram Protocol (UDP) alapú RADIUS-forgalom az interneten keresztül nem biztonságos a csomaghamisítás vagy -módosítás ellen az átvitel során.
A biztonsági résről további információt a CVE-2024-3596 és a RADIUS AND MD5 COLLISION ATTACKS című tanulmányban talál.
JEGYZET Ez a biztonsági rés fizikai hozzáférést igényel a RADIUS-hálózathoz és a hálózati házirend-kiszolgálóhoz (NPS). Ezért azok az ügyfelek, akik biztonságos RADIUS-hálózatokkal rendelkeznek, nem sebezhetők. Emellett a biztonsági rés nem érvényes, ha a RADIUS-kommunikáció VPN-en keresztül történik.
Művelet végrehajtása
A környezet védelme érdekében javasoljuk, hogy engedélyezze az alábbi konfigurációkat. További információkért lásd a Konfigurációk szakaszt .
|
A frissítés által hozzáadott események
További információkért lásd a Konfigurációk szakaszt .
Megjegyzés Ezeket az eseményazonosítókat a 2024. július 9-én vagy azt követően dátumozott Windows-frissítések hozzáadják az NPS-kiszolgálóhoz.
Az Access-Request csomag el lett dobva, mert tartalmazza a Proxy-State attribútumot, de nem rendelkezik a Message-Authenticator attribútummal. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. Vagy adjon hozzá egy kivételt a RADIUS-ügyfélhez a limitProxyState konfiguráció használatával.
Eseménynapló |
Rendszer |
Esemény típusa |
Hiba |
Esemény forrása |
NPS |
Eseményazonosító |
4418 |
Esemény szövege |
Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. Ennek eredményeképpen a kérés el lett dobva. A Message-Authenticator attribútum biztonsági okokból kötelező. További információ: https://support.microsoft.com/help/5040268. |
Ez egy naplózási esemény az Access-Request csomagokhoz az Message-Authenticator attribútum nélkül proxyállapot jelenlétében. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. A RADIUS-csomag eldobása a limitproxystate konfiguráció engedélyezése után történik.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Esemény forrása |
NPS |
Eseményazonosító |
4419 |
Esemény szövege |
Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. A kérés jelenleg engedélyezve van, mivel a limitProxyState naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268. |
Ez egy naplózási esemény a proxynál a Message-Authenticator attribútum nélkül fogadott RADIUS-válaszcsomagok esetében. Fontolja meg a Message-Authenticator attribútum megadott RADIUS-kiszolgálójának módosítását. A RADIUS-csomag eldobása a requiremsgauth konfiguráció engedélyezése után történik.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Esemény forrása |
NPS |
Eseményazonosító |
4420 |
Esemény szövege |
A RADIUS-proxy egy hiányzó Message-Authenticator attribútummal rendelkező IP-/név-><kapott választ. A válasz jelenleg engedélyezett, mivel a requireMsgAuth naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268. |
Ezt az eseményt a szolgáltatás indításakor naplózza a rendszer, ha az ajánlott beállítások nincsenek konfigurálva. Fontolja meg a beállítások engedélyezését, ha a RADIUS-hálózat nem biztonságos. A biztonságos hálózatok esetében ezek az események figyelmen kívül hagyhatók.
Eseménynapló |
Rendszer |
Esemény típusa |
Figyelmeztetés |
Esemény forrása |
NPS |
Eseményazonosító |
4421 |
Esemény szövege |
A RequireMsgAuth és/vagy a limitProxyState konfiguráció <Disable/Audit> módban van. Ezeket a beállításokat biztonsági okokból Engedélyezés módban kell konfigurálni. További információ: https://support.microsoft.com/help/5040268. |
Konfigurációk
Ezzel a konfigurációval az NPS-proxy megkezdheti a Message-Authenticator attribútum küldését az összes Access-Request csomagban. A konfiguráció engedélyezéséhez használja az alábbi módszerek egyikét.
1. módszer: Az NPS Microsoft Management Console (MMC) használata
Az NPS MMC használatához kövesse az alábbi lépéseket:
-
Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.
-
Nyissa meg a távoli Radius-kiszolgálócsoportokat.
-
Válassza a Radius-kiszolgáló lehetőséget.
-
Lépjen a Hitelesítés/Könyvelés területre.
-
Jelölje be a A kérelemnek tartalmaznia kell a Message-Authenticator attribútum jelölőnégyzetet.
2. módszer: A netsh parancs használata
A netsh használatához futtassa a következő parancsot:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
További információ: Távoli RADIUS-kiszolgálócsoport parancsai.
Ehhez a konfigurációhoz a Message-Authenticator attribútum szükséges az összes Access-Request csomagban, és ha hiányzik, elveti a csomagot.
1. módszer: Az NPS Microsoft Management Console (MMC) használata
Az NPS MMC használatához kövesse az alábbi lépéseket:
-
Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.
-
Nyissa meg a Radius-ügyfeleket.
-
Válassza a Radius-ügyfél lehetőséget.
-
Lépjen a Speciális beállítások területre.
-
Ide kattintva jelölje be az Access-Request üzeneteknek tartalmazniuk kell az message-authenticator attribútumot jelölőnégyzetet.
További információ: RADIUS-ügyfelek konfigurálása.
2. módszer: A netsh parancs használata
A netsh használatához futtassa a következő parancsot:
netsh nps set client name = <client name> requireauthattrib = yes
További információ: Távoli RADIUS-kiszolgálócsoport parancsai.
Ez a konfiguráció lehetővé teszi, hogy az NPS-kiszolgáló elvetse a potenciálisan sebezhető hozzáférési kérelmeket tartalmazó csomagokat, amelyek proxy-state attribútumot tartalmaznak, de nem tartalmaznak Message-Authenticator attribútumot. Ez a konfiguráció három módot támogat:
-
Naplózás
-
Engedélyezés
-
Letiltás
Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4419), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a kéréseket küldő nem megfelelő entitásokat.
A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.
-
Az ügyfelek naplózási módban való konfigurálásához futtassa a következő parancsot:
netsh nps set limitproxystate all = "audit"
-
Az ügyfelek Engedélyezési módban való konfigurálásához futtassa a következő parancsot:
netsh nps set limitproxystate all = "enable"
-
Ha kivételt szeretne hozzáadni, hogy kizárjon egy ügyfelet a limitProxystate ellenőrzésből, futtassa a következő parancsot:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Ez a konfiguráció lehetővé teszi, hogy az NPS-proxy a Message-Authenticator attribútum nélkül elvetje a potenciálisan sebezhető válaszüzeneteket. Ez a konfiguráció három módot támogat:
-
Naplózás
-
Engedélyezés
-
Letiltás
Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4420), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a válaszokat küldő nem megfelelő entitásokat.
A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.
-
A kiszolgálók naplózási módban való konfigurálásához futtassa a következő parancsot:
netsh nps set requiremsgauthall = "audit"
-
Az összes kiszolgáló konfigurációjának engedélyezéséhez futtassa a következő parancsot:
netsh nps set requiremsgauth all = "enable"
-
Ha kivételt szeretne hozzáadni egy kiszolgálónak a requireauthmsg érvényesítéséből való kizárásához, futtassa a következő parancsot:
netsh nps set requiremsgauth remoteservergroup = <távoli kiszolgálócsoport neve> cím = <kiszolgáló címe> kivétel = "igen"
Gyakori kérdések
Ellenőrizze, hogy az NPS-modul eseményei kapcsolódó eseményeket keresnek-e. Vegye fontolóra kivételek vagy konfigurációs beállítások hozzáadását az érintett ügyfelekhez/kiszolgálókhoz.
Nem, a cikkben ismertetett konfigurációk nem biztonságos hálózatokhoz ajánlottak.
Referenciák
A Microsoft szoftverfrissítéseinek leírására használt szabványos terminológia leírása
A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.
Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.