Svarbu Baigėsi tam tikrų "Microsoft Windows" versijų palaikymas. Atkreipkite dėmesį, kad kai kurios "Windows" versijos gali būti palaikomos praėjus naujausiai OS pabaigos datai, kai galimi išplėstiniai saugos naujinimai (ESU). Žr. PALAIKYMO TRUKMĖS DUK – išplėstiniai saugos naujinimai, kur pateiktas produktų, kuriuose siūlomi ESU, sąrašas.
Keisti datą |
Keisti aprašą |
2024 m. rugpjūčio 1 d. |
|
2024 m. rugpjūčio 5 d. |
|
2024 m. rugpjūčio 6 d. |
|
Turinį
Suvestinė
2024 m. liepos 9 d. arba vėliau atnaujinti "Windows" naujinimai išsprendžia nuotolinio autentifikavimo skambinimo vartotojų tarnybos (RADIUS) protokolo, susijusio su MD5 susidūrimo problemomis, saugos pažeidžiamumą. Dėl silpno vientisumo tikrinimo MD5, pažeidėjas gali piktavališkai pakeisti paketus, kad gautų neteisėtą prieigą. MD5 pažeidžiamumas daro vartotojo duomenų paketų protokolo (UDP) pagrįstą RADIUS srautą internetu nesaugiai, palyginti su paketų klastojimu arba modifikavimu transportuojant.
Daugiau informacijos apie šį pažeidžiamumą, žr . CVE-2024-3596 ir whitepaper RADIUS IR MD5 SUSIDŪRIMO ATAKOS.
NATA Šiam pažeidžiamumui reikia fizinės prieigos prie RADIUS tinklo ir tinklo strategijos serverio (NPS). Todėl klientai, kurie yra apsaugoti RADIUS tinklai, nėra pažeidžiami. Be to, pažeidžiamumas netaikomas, kai RADIUS ryšys vyksta per VPN.
Imtis veiksmų
Siekiant apsaugoti jūsų aplinką, rekomenduojame įgalinti šias konfigūracijas. Daugiau informacijos žr. skyriuje Konfigūracijos .
|
Šio naujinimo įtraukti įvykiai
Daugiau informacijos žr. skyriuje Konfigūracijos .
Pastaba Šių įvykių ID į NPS serverį įtraukia "Windows" naujinimai, kurių data yra 2024 m. liepos 9 d. arba vėliau.
Prieigos užklausos paketas buvo atmestas, nes jame buvo atributas Tarpinio serverio būsena, bet trūko atributo Message-Authenticator. Apsvarstykite galimybę pakeisti RADIUS klientą, kad būtų įtrauktas atributas Message-Authenticator . Arba galite įtraukti išimtį RADIUS klientui naudodami limitProxyState konfigūraciją.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Klaida |
Įvykio šaltinis |
NPS |
Įvykio ID |
4418 |
Įvykio tekstas |
Access-Request pranešimas gautas iš RADIUS kliento <ip/name> su Proxy-State atributu, tačiau jame nebuvo atributo Message-Authenticator. Todėl užklausa buvo atmesta. Atributas Message-Authenticator yra privalomas saugos tikslais. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. |
Tai yra "Access- Request " paketų audito įvykis be atributo Message-Authenticator , kai yra tarpinio serverio būsena. Apsvarstykite galimybę pakeisti RADIUS klientą, kad būtų įtrauktas atributas Message-Authenticator . RADIUS paketas bus atmestas, kai bus įjungta limitproxystate konfigūracija.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Įspėjimas |
Įvykio šaltinis |
NPS |
Įvykio ID |
4419 |
Įvykio tekstas |
Access-Request pranešimas gautas iš RADIUS kliento <ip/name> su Proxy-State atributu, tačiau jame nebuvo atributo Message-Authenticator. Užklausa šiuo metu leidžiama, nes limitProxyState sukonfigūruota audito režimu. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. |
Tai auditas, skirtas RADIUS atsakymo paketams, gautiems be atributo Message-Authenticator tarpiniame serveryje. Apsvarstykite galimybę pakeisti nurodytą RADIUS serverį atributui Message-Authenticator . RADIUS paketas bus atmestas įgalinus requiremsgauth konfigūraciją.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Įspėjimas |
Įvykio šaltinis |
NPS |
Įvykio ID |
4420 |
Įvykio tekstas |
RADIUS tarpinis serveris gavo atsakymą iš serverio <ip/name> su trūkstamu atributu Message-Authenticator. Atsakymas šiuo metu leidžiamas, nes requireMsgAuth sukonfigūruotas testavimo režimu. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. |
Šis įvykis užregistruojamas tarnybos paleidimo metu, kai nekonfigūruojami rekomenduojami parametrai. Apsvarstykite galimybę įjungti parametrus, jei RADIUS tinklas yra nesaugus. Saugiuose tinkluose šių įvykių galima nepaisyti.
Įvykių žurnalas |
Sistema |
Įvykio tipas |
Įspėjimas |
Įvykio šaltinis |
NPS |
Įvykio ID |
4421 |
Įvykio tekstas |
RequireMsgAuth ir (arba) limitProxyState konfigūracija veikia <išjungti / audito> režimu. Šie parametrai saugos tikslais turi būti sukonfigūruoti įjungus režimą. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. |
Konfigūracijos
Ši konfigūracija leidžia NPS tarpiniam serveriui pradėti siųsti atributą Message-Authenticator visuose "Access-Request " paketuose. Norėdami įgalinti šią konfigūraciją, naudokite vieną iš toliau nurodytų būdų.
1 būdas: Naudokite NPS "Microsoft" valdymo konsolę (MMC)
Norėdami naudoti NPS MMC, atlikite šiuos veiksmus:
-
Atidarykite NPS vartotojo sąsają (UI) serveryje.
-
Atidarykite nuotolines Radius serverių grupes.
-
Pasirinkite Radius Server.
-
Eikite į Autentifikavimas / apskaita.
-
Spustelėkite, kad pasirinktumėte Užklausoje turi būti Message-Authenticator atributo žymės langelis.
2 būdas: naudokite komandą netsh
Norėdami naudoti netsh, vykdykite šią komandą:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Daugiau informacijos žr. Nuotolinio RADIUS serverio grupės komandos.
Šiai konfigūracijai reikalingas atributas Message-Authenticator visuose Access-Request paketuose ir, jei nėra, atmeta paketą.
1 būdas: Naudokite NPS "Microsoft" valdymo konsolę (MMC)
Norėdami naudoti NPS MMC, atlikite šiuos veiksmus:
-
Atidarykite NPS vartotojo sąsają (UI) serveryje.
-
Atidarykite Radius Clients.
-
Pasirinkite Spindulio klientas.
-
Eikite į Perėjimo parametrai.
-
Spustelėkite, kad pasirinktumėte Prieigos-užklausos pranešimus turi būti pranešimo atpažintuvo atributas žymės langelį.
Daugiau informacijos žr. RADIUS klientų konfigūravimas.
2 būdas: naudokite komandą netsh
Norėdami naudoti netsh, vykdykite šią komandą:
netsh nps set client name = <client name> requireauthattrib = yes
Daugiau informacijos žr. Nuotolinio RADIUS serverio grupės komandos.
Ši konfigūracija leidžia NPS serveriui pašalinti galimus pažeidžiamus Prieigos užklausų paketus, kuriuose yra atributas Tarpinio serverio būsena , bet neįtraukia Message-Authenticator atributo. Ši konfigūracija palaiko tris režimus:
-
Auditas
-
Įjungti
-
Išjungti
Testavimo režimu užregistruojamas įspėjimo įvykis (įvykio ID: 4419), tačiau užklausa vis tiek apdorojama. Naudokite šį režimą, kad nustatytumėte užklausas siunčiančius nesuderinamus subjektus.
Naudodami komandą netsh konfigūruokite, įgalinkite ir įtraukite išimtį, jei reikia.
-
Norėdami konfigūruoti klientus audito režimu, vykdykite šią komandą:
netsh nps set limitproxystate all = "audit"
-
Norėdami sukonfigūruoti klientus įgalinimo režimu, vykdykite šią komandą:
netsh nps nustatyti limitproxystate all = "enable"
-
Norėdami įtraukti išimtį neįtraukti kliento limitProxystate tikrinimą, vykdykite šią komandą:
netsh nps set limitproxystate name = <kliento vardas> išimtis = "Taip"
Ši konfigūracija leidžia NPS tarpiniam serveriui pašalinti galimai pažeidžiamus atsakymo pranešimus be atributo Message-Authenticator . Ši konfigūracija palaiko tris režimus:
-
Auditas
-
Įjungti
-
Išjungti
Testavimo režimu užregistruojamas įspėjimo įvykis (įvykio ID: 4420), tačiau užklausa vis tiek apdorojama. Naudokite šį režimą, kad nustatytumėte atsakymus siunčiančius nesuderinamus subjektus.
Naudodami komandą netsh konfigūruokite, įgalinkite ir įtraukite išimtį, jei reikia.
-
Norėdami sukonfigūruoti serverius audito režimu, vykdykite šią komandą:
netsh nps set requiremsgauthall = "audit"
-
Norėdami įgalinti visų serverių konfigūracijas, vykdykite šią komandą:
netsh nps set requiremsgauth all = "enable"
-
Norėdami įtraukti išimtį, kad serveris nebūtų patvirtintas requireauthmsg, vykdykite šią komandą:
netsh nps set requiremsgauth remoteservergroup = <nuotolinio serverio grupės pavadinimas> adresas = <serverio adresas> išimtis = "yes"
Dažnai užduodami klausimai
Patikrinkite susijusių įvykių NPS modulio įvykius. Apsvarstykite galimybę įtraukti išimtis arba konfigūracijos koregavimus paveiktiems klientams / serveriams.
Ne, šiame straipsnyje aptariamos konfigūracijos rekomenduojamos nesaugiems tinklams.
Nuorodos
Standartinių terminų, naudojamų "Microsoft" programinės įrangos naujinimams apibūdinti, aprašas
Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina „Microsoft‟ nepriklausančios įmonės. Dėl šių produktų našumo ar patikimumo neteikiame jokių numanomų ar kitokių garantijų.
Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.