중요 특정 버전의 Microsoft Windows 지원이 종료되었습니다. 일부 버전의 Windows는 ESU(확장 보안 업데이트)를 사용할 수 있는 최신 OS 종료 날짜 이후 지원될 수 있습니다. ESU를 제공하는 제품 목록은 수명 주기 FAQ - 확장 보안 업데이트를 참조하세요.
날짜 변경 |
설명 변경 |
2024년 8월 1일 |
|
2024년 8월 5일 |
|
2024년 8월 6일 |
|
콘텐츠
요약
2024년 7월 9일 또는 그 이후에 업데이트된 Windows 업데이트는 MD5 충돌 문제와 관련된 RADIUS(Remote Authentication Dial-In User Service) 프로토콜의 보안 취약성을 해결합니다. MD5의 약한 무결성 검사로 인해 공격자가 무단 액세스를 얻기 위해 패킷을 변조할 수 있습니다. MD5 취약성으로 인해 인터넷을 통한 UDP(User Datagram Protocol) 기반 RADIUS 트래픽이 전송 중에 패킷 위조 또는 수정에 대해 안전하지 않습니다.
이 취약성에 대한 자세한 내용은 CVE-2024-3596 및 RADIUS 및 MD5 충돌 공격 백서를 참조하세요.
참고 이 취약성은 RADIUS 네트워크 및 NPS(네트워크 정책 서버)에 물리적으로 액세스해야 합니다. 따라서 안전한 RADIUS 네트워크를 가진 고객은 취약하지 않습니다. 또한 이 취약성은 VPN을 통해 RADIUS 통신이 발생할 때 적용되지 않습니다.
조치 취하기
환경을 보호하려면 다음 구성을 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 구성 섹션을 참조하세요.
|
이 업데이트에 의해 추가된 이벤트
자세한 내용은 구성 섹션을 참조하세요.
참고 2024년 7월 9일 또는 그 이후의 Windows 업데이트에서 NPS 서버에 이러한 이벤트 ID를 추가합니다.
Proxy-State 특성을 포함하지만 Message-Authenticator 특성이 없기 때문에 Access-Request 패킷이 삭제되었습니다. Message-Authenticator 특성을 포함하도록 RADIUS 클라이언트를 변경하는 것이 좋습니다. 또는 limitProxyState 구성을 사용하여 RADIUS 클라이언트에 대한 예외를 추가합니다.
이벤트 로그 |
시스템 |
이벤트 유형 |
Error |
이벤트 원본 |
NPS |
이벤트 ID |
4418 |
이벤트 텍스트 |
Proxy-State 특성을 포함하는 RADIUS 클라이언트 <ip/name> 에서 Access-Request 메시지를 받았지만 Message-Authenticator 특성은 포함되지 않았습니다. 결과적으로 요청이 삭제되었습니다. Message-Authenticator 특성은 보안을 위해 필수입니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. |
Proxy-State가 있을때 Message-Authenticator 특성이 없는 Access-Request 패킷에 대한 감사 이벤트입니다. Message-Authenticator 특성을 포함하도록 RADIUS 클라이언트를 변경하는 것이 좋습니다. limitproxystate 구성을 사용하도록 설정하면 RADIUS 패킷이 삭제됩니다.
이벤트 로그 |
시스템 |
이벤트 유형 |
경고 |
이벤트 원본 |
NPS |
이벤트 ID |
4419 |
이벤트 텍스트 |
Proxy-State 특성을 포함하는 RADIUS 클라이언트 <ip/name> 에서 Access-Request 메시지를 받았지만 Message-Authenticator 특성은 포함되지 않았습니다. limitProxyState가 감사 모드로 구성되어 있기 때문에 요청이 현재 허용됩니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. |
프록시에서 Message-Authenticator 특성 없이 받은 RADIUS 응답 패킷에 대한 감사 이벤트입니다. Message-Authenticator 특성에 대해 지정된 RADIUS 서버를 변경하는 것이 좋습니다. requiremsgauth 구성을 사용하도록 설정하면 RADIUS 패킷이 삭제됩니다.
이벤트 로그 |
시스템 |
이벤트 유형 |
경고 |
이벤트 원본 |
NPS |
이벤트 ID |
4420 |
이벤트 텍스트 |
RADIUS 프록시가 Message-Authenticator 특성이 누락된 서버 <ip/name> 으로부터 응답을 받았습니다. requireMsgAuth가 감사 모드로 구성되어 있기 때문에 응답이 현재 허용됩니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. |
이 이벤트는 권장 설정이 구성되지 않은 경우 서비스를 시작하는 동안 기록됩니다. RADIUS 네트워크가 안전하지 않은 경우 설정을 사용하도록 설정하는 것이 좋습니다. 보안 네트워크의 경우 이러한 이벤트를 무시할 수 있습니다.
이벤트 로그 |
시스템 |
이벤트 유형 |
경고 |
이벤트 원본 |
NPS |
이벤트 ID |
4421 |
이벤트 텍스트 |
RequireMsgAuth 및/또는 limitProxyState 구성은 <사용 안 함/감사> 모드입니다. 이러한 설정은 보안을 위해 사용 모드로 구성해야 합니다. 자세한 내용은 https://support.microsoft.com/help/5040268을 참조하세요. |
구성
이 구성을 사용하면 NPS 프록시가 모든 Access-Request 패킷에서 Message-Authenticator 특성 전송을 시작할 수 있습니다. 이 구성을 사용하려면 다음 방법 중 하나를 사용합니다.
방법 1: NPS Microsoft Management Console(MMC) 사용
NPS MMC를 사용하려면 다음 단계를 수행합니다.
-
서버에서 NPS UI(사용자 인터페이스)를 엽니다.
-
원격 Radius 서버 그룹을 엽니다.
-
Radius Server를 선택합니다.
-
인증/회계로 이동합니다.
-
요청에는 Message-Authenticator 특성이 포함되어야 합니다 확인란을 선택하기 위해 클릭.
방법 2: netsh 명령 사용
netsh를 사용하려면 다음 명령을 실행합니다.
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
자세한 내용은 원격 RADIUS 서버 그룹 명령을 참조하세요.
이 구성에서는 모든 액세스 요청 패킷에 메시지 인증자 특성이 필요하며, 이 특성이 없으면 패킷을 삭제합니다.
방법 1: NPS Microsoft Management Console(MMC) 사용
NPS MMC를 사용하려면 다음 단계를 수행합니다.
-
서버에서 NPS UI(사용자 인터페이스)를 엽니다.
-
Radius 클라이언트를 엽니다.
-
Radius 클라이언트를 선택합니다.
-
고급 설정으로 이동합니다.
-
Access-Request 메시지에는 Message-Authenticator 특성이 포함되어야 합니다 확인란을 선택하기 위해 클릭.
자세한 내용은 RADIUS 클라이언트 구성을 참조하세요.
방법 2: netsh 명령 사용
netsh를 사용하려면 다음 명령을 실행합니다.
netsh nps set client name = <client name> requireauthattrib = yes
자세한 내용은 원격 RADIUS 서버 그룹 명령을 참조하세요.
이 구성을 사용하면 NPS 서버가 Proxy-State 특성을 포함하지만 Message-Authenticator 특성을 포함하지 않는 잠재적인 Access-Request 패킷을 삭제할 수 있습니다. 이 구성은 다음 세 가지 모드를 지원합니다.
-
감사
-
Enable
-
비활성화
감사 모드에서는 경고 이벤트(이벤트 ID: 4419)가 기록되지만 요청은 여전히 처리됩니다. 이 모드를 사용하여 요청을 보내는 비준수 엔터티를 식별합니다.
netsh 명령을 사용하여 필요에 따라 예외를 구성, 사용 및 추가합니다.
-
감사 모드에서 클라이언트를 구성하려면 다음 명령을 실행합니다.
netsh nps 설정 limitproxystate 모두 = "감사"
-
사용 모드에서 클라이언트를 구성하려면 다음 명령을 실행합니다.
netsh nps 설정 limitproxystate 모두 = "사용"
-
limitProxystate 유효성 검사에서 클라이언트를 제외하는 예외를 추가하려면 다음 명령을 실행합니다.
netsh nps 설정 limitproxystate 이름 = <클라이언트 이름> 예외 = "예"
이 구성을 사용하면 NPS 프록시가 Message-Authenticator 특성 없이 잠재적으로 취약한 응답 메시지를 삭제할 수 있습니다. 이 구성은 다음 세 가지 모드를 지원합니다.
-
감사
-
Enable
-
비활성화
감사 모드에서, 경고 이벤트(이벤트 ID: 4420)가 기록되지만 요청은 여전히 처리됩니다. 이 모드를 사용하여 응답을 보내는 비준수 엔터티를 식별합니다.
netsh 명령을 사용하여 필요에 따라 예외를 구성, 사용 및 추가합니다.
-
감사모드에서 서버를 구성하려면 모드에서 다음 명령을 실행합니다.
netsh nps set requiremsgauth all = "audit"
-
모든 서버에 대해 구성을 사용하도록 설정하려면 다음 명령을 실행합니다.
netsh nps set requiremsgauth all = "enable"
-
requireauthmsg에서 서버를 제외하는 예외를 추가하려면 유효성 검사에서 다음 명령을 실행합니다.
netsh nps set requiremsgauth remoteservergroup = <원격 서버 그룹 이름> 주소 = <서버 주소> 예외 = "예"
질문과 대답
관련 이벤트에 대한 NPS 모듈 이벤트를 확인합니다. 영향을 받는 클라이언트/서버에 대한 예외 또는 구성 조정을 추가하는 것이 좋습니다.
아니요, 이 문서에서 설명하는 구성은 보안되지 않은 네트워크에 권장됩니다.
참조 문서
Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이 제품의 성능이나 신뢰성에 대해 묵시적 또는 명시적으로 어떠한 보증도 하지 않습니다.
Microsoft는 타사 연락처 정보를 제공하여 기술 지원을 받도록 도와줍니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 정보의 정확성을 보장하지 않습니다.