Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

重要 Microsoft Windows の特定のバージョンがサポート終了に達しました。 Windows の一部のバージョンは、拡張セキュリティ更新プログラム (ESU) が利用可能な最新の Windows オペレーティング システム終了日を過ぎてサポートされる場合があることに注意してください。 ESU を提供する製品の一覧については、「ライフサイクルに関するよくある質問 - セキュリティ更新プログラムの拡張」を参照してください。

日付の変更

説明を変更する

2024 年 8 月 1 日

  • 読みやすくするための軽微な書式設定の変更

  • "クライアント上のすべての Access-Request パケットで Message-Authenticator 属性の検証を構成する" 構成では、"packet" ではなく "message" という単語が使用されました

2024 年 8 月 5 日

  • ユーザー データグラム プロトコル (UDP) のリンクを追加しました

  • ネットワーク ポリシー サーバー (NPS) のリンクを追加しました

2024 年 8 月 6 日

  • これらの変更が 2024 年 7 月 9 日以降の Windows の更新プログラムに含まれていることを示す"概要"セクションを更新しました

  • オプションをオンにすることをお勧めするために、"アクションの実行"セクションの箇条書きを更新しました。 これらのオプションは既定でオフになっています。

  • 2024 年 7 月 9 日以降の Windows の更新プログラムによってイベント ID が NPS サーバーに追加されていることを示すメモを"この更新プログラムによって追加されたイベント"セクションに追加しました

目次

要約

2024 年 7 月 9 日以降の Windows の更新プログラムは、MD5 競合の問題に関連するリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルのセキュリティの脆弱性を解決します。 MD5 の整合性チェックが弱いため、攻撃者は不正アクセスをするためにパケットを改ざんする可能性があります。 MD5 の脆弱性により、インターネット経由のユーザー データグラム プロトコル (UDP) ベースの RADIUS トラフィックは、パケット フォージェリや転送中の変更に対して安全ではありません。 

この脆弱性の詳細については、「CVE-2024-3596」およびホワイトペーパー「RADIUS および MD5 COLLISION ATTACKS」を参照してください。

この脆弱性には、RADIUS ネットワークとネットワーク ポリシー サーバー (NPS) への物理的なアクセスが必要です。 そのため、RADIUS ネットワークをセキュリティで保護しているお客様は脆弱ではありません。 また、RADIUS 通信が VPN 経由で行われる場合、この脆弱性は適用されません。 

対処方法

環境を保護するために、次の構成を有効にすることをお勧めします。 詳細については、「構成」セクションを参照してください。

  • Access-Request パケットで Message-Authenticator 属性を設定します。 すべての Access-Request パケットに Message-Authenticator 属性が含まれていることを確認します。 既定では、Message-Authenticator 属性を設定するオプションはオフになっています。 このオプションをオンにすることをお勧めします。

  • Access-Request パケットの Message-Authenticator 属性を確認します。 Access-Request パケットで Message-Authenticator 属性の検証を強制することを検討してください。 この属性を持たない Access-Request パケットは処理されません。 既定では、[Access-Request メッセージに Message-Authenticator 属性を含める必要があります] オプションがオフになっています。 このオプションをオンにすることをお勧めします。

  • Proxy-State 属性が存在する場合は、Access-Request パケットのMessage-Authenticator 属性を確認します。 必要に応じて、すべての Access-Request パケットの Message-Authenticator 属性の検証を強制できない場合は、limitProxyState オプションを有効にします。 limitProxyState は、Proxy-state 属性を含む Access-Request パケットの Message-Authenticator 属性の破棄を強制します。 既定では、limitproxystate オプションはオフになっています。 このオプションをオンにすることをお勧めします。

  • RADIUS 応答パケットの Message-Authenticator 属性 (Access-AcceptAccess-RejectAccess-Challenge) を確認します。 requireMsgAuth オプションを有効にして、Message-Authenticator 属性がないリモート サーバーからの RADIUS 応答パケットの破棄を強制します。 既定では、requiremsgauth オプションはオフになっています。 このオプションをオンにすることをお勧めします。

この更新プログラムによって追加されたイベント

詳細については、「構成」セクションを参照してください。

これらのイベント ID は、2024 年 7 月 9 日以降の Windows の更新プログラムによって NPS サーバーに追加されます。

Access-Request パケットは、Proxy-State 属性が含まれていたが、Message-Authenticator 属性がないために破棄されました。 Message-Authenticator 属性を含めるように RADIUS クライアントを変更することを検討してください。 または、limitProxyState 構成を使用して RADIUS クライアントの例外を追加します。

イベント ログ

System

イベントの種類

Error

イベント ソース

NPS

イベント ID

4418

イベント テキスト

RADIUS クライアント <ip/name> から Proxy-State 属性を含む Access-Request メッセージを受信しましたが、Message-Authenticator 属性が含まれていませんでした。 その結果、要求は破棄されました。 セキュリティのために、Message-Authenticator 属性は必須です。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 

これは、Proxy-State が存在する Message-Authenticator 属性を持たない Access-Request パケットの監査イベントです。 Message-Authenticator 属性を含めるように RADIUS クライアントを変更することを検討してください。 RADIUS パケットは、limitproxystate 構成が有効になると破棄されます。

イベント ログ

System

イベントの種類

警告

イベント ソース

NPS

イベント ID

4419

イベント テキスト

RADIUS クライアント <ip/name> から Proxy-State 属性を含む Access-Request メッセージを受信しましたが、Message-Authenticator 属性が含まれていませんでした。 limitProxyState が監査モードで構成されているため、要求は現在許可されています。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 

これは、プロキシで Message-Authenticator 属性を指定せずに受信した RADIUS 応答パケットの監査イベントです。 Message-Authenticator 属性に指定された RADIUS サーバーを変更することを検討してください。 RADIUS パケットは、requiremsgauth 構成が有効になると破棄されます。

イベント ログ

System

イベントの種類

警告

イベント ソース

NPS

イベント ID

4420

イベント テキスト

RADIUS プロキシはサーバー <ip/name> から Message-Authenticator 属性を持たない応答を受信しました。 requireMsgAuth が監査モードで構成されているため、応答は現在許可されています。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。

このイベントは、推奨設定が構成されずに、サービスが開始された時にログに記録されます。 RADIUS ネットワークがセキュリティで保護されていない場合は、設定を有効にすることを検討してください。 セキュリティで保護されたネットワークの場合、これらのイベントは無視できます。

イベント ログ

System

イベントの種類

警告

イベント ソース

NPS

イベント ID

4421

イベント テキスト

RequireMsgAuth および/または limitProxyState 構成が <Disable/Audit> モードです。 セキュリティのために、これらの設定は有効モードで構成する必要があります。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。

構成

この構成により、NPS プロキシは、すべての Access-Request パケットで Message-Authenticator 属性の送信を開始できます。 この構成を有効にするには、次のいずれかの方法を使用します。

方法 1: NPS Microsoft 管理コンソール (MMC) を使用する

NPS MMC を使用するには、次の手順を実行します:

  1. サーバーで NPS ユーザー インターフェイス (UI) を開きます。

  2. リモート [Radius サーバー グループ] を開きます。

  3. [Radius サーバー] を選択します。

  4. [認証/アカウンティング] に移動します。

  5. [要求に Message-Authenticator 属性が含まれている必要があります] チェック ボックスをオンにします。

方法 2: netsh コマンドを使用する

netsh を使用するには、次のコマンドを実行します:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

詳細については、「リモート RADIUS サーバー グループ コマンド」を参照してください。

この構成では、すべての Access-Request パケットに Message-Authenticator 属性を必要とし、存在しない場合はパケットを破棄します。

方法 1: NPS Microsoft 管理コンソール (MMC) を使用する

NPS MMC を使用するには、次の手順を実行します:

  1. サーバーで NPS ユーザー インターフェイス (UI) を開きます。

  2. [Radius クライアント] を開きます。

  3. [Radius クライアント] を選択します。

  4. [詳細設定] に移動します。

  5. [Access-Request メッセージに message-authenticator 属性を含める必要があります] チェックボックスをオンにします。

詳細については、「RADIUS クライアントの構成」を参照してください。

方法 2: netsh コマンドを使用する

netsh を使用するには、次のコマンドを実行します:

netsh nps set client name = <client name> requireauthattrib = yes

詳細については、「リモート RADIUS サーバー グループ コマンド」を参照してください。

この構成により、NPS サーバーは、Proxy-State 属性を含むが、Message-Authenticator 属性を含まない潜在的に脆弱な Access-Request パケットを破棄できます。 この構成では、次の 3 つのモードがサポートされます:

  • 監査

  • Enable

  • 無効にする

Audit モードでは、警告イベント (イベント ID: 4419) がログに記録されますが、要求は引き続き処理されます。 このモードを使用して、要求を送信する非準拠エンティティを識別します。

netsh コマンドを使用して、必要に応じて例外を構成、有効化、追加します。

  1. クライアントを Audit モードで構成するには、次のコマンドを実行します:

    netsh nps set limitproxystate all = "audit"

  2. Enable モードでクライアントを構成するには、次のコマンドを実行します。

    netsh nps set limitproxystate all = "enable" 

  3. クライアントを limitProxystate 検証から除外する例外を追加するには、次のコマンドを実行します:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

この構成により、NPS プロキシは、 Message-Authenticator 属性を持たない、潜在的に脆弱な応答メッセージを破棄できます。 この構成では、次の 3 つのモードがサポートされます:

  • 監査

  • Enable

  • 無効にする

Audit モードでは、警告イベント (イベント ID: 4420) がログに記録されますが、要求は引き続き処理されます。 このモードを使用して、応答を送信する非準拠エンティティを識別します。

netsh コマンドを使用して、必要に応じて例外を構成、有効化、追加します。

  1. Audit モードでサーバーを構成するには、次のコマンドを実行します:

    netsh nps set requiremsgauth all = "audit"

  2. すべてのサーバーの構成を有効にするには、次のコマンドを実行します:

    netsh nps set requiremsgauth all = "enable"

  3. サーバーを requireauthmsg 検証から除外する例外を追加するには、次のコマンドを実行します:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

よく寄せられる質問

NPS モジュール イベントで関連イベントを確認します。 影響を受けているクライアント/サーバーの例外または構成の調整を追加することを検討してください。

いいえ。この記事で説明する構成は、セキュリティで保護されていないネットワークに対して推奨されるものです。 

参考文献

Microsoft のソフトウェア更新プログラムの説明で使用される標準用語の解説

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。