Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Svarbu Baigėsi tam tikrų "Microsoft Windows" versijų palaikymas. Atkreipkite dėmesį, kad kai kurios "Windows" versijos gali būti palaikomos praėjus naujausiai OS pabaigos datai, kai galimi išplėstiniai saugos naujinimai (ESU). Žr. PALAIKYMO TRUKMĖS DUK – išplėstiniai saugos naujinimai, kur pateiktas produktų, kuriuose siūlomi ESU, sąrašas.

Keisti datą

Keisti aprašą

2024 m. rugpjūčio 1 d.

  • Nedideli formatavimo pakeitimai, skirti skaitomumui

  • Konfigūruojant "Konfigūruoti atributo Message-Authenticator tikrinimą visuose kliento prieigos užklausų paketuose" vietoj paketo buvo naudojamas žodis "pranešimas"

2024 m. rugpjūčio 5 d.

  • Įtrauktas vartotojo duomenų paketų kelio schemos protokolo (UDP) saitas

  • Įtrauktas tinklo strategijos serverio (NPS) saitas

2024 m. rugpjūčio 6 d.

  • Atnaujinta dalis "Suvestinė", nurodanti, kad šie pakeitimai yra įtraukti į "Windows" naujinimus, išleistus 2024 m. liepos 9 d. arba vėliau

  • Atnaujinome ženklelių taškus sekcijoje "Imtis veiksmų", kad būtų nurodyta, jog rekomenduojame įjungti parinktis. Šios parinktys pagal numatytuosius nustatymus yra išjungtos.

  • Į skyrių "Šio naujinimo įtraukti įvykiai" įtraukta pastaba, nurodanti, kad įvykio ID įtraukiami į NPS serverį pagal "Windows" naujinimus, išleistus 2024 m. liepos 9 d. arba vėliau

Turinį

Suvestinė

2024 m. liepos 9 d. arba vėliau atnaujinti "Windows" naujinimai išsprendžia nuotolinio autentifikavimo skambinimo vartotojų tarnybos (RADIUS) protokolo, susijusio su MD5 susidūrimo problemomis, saugos pažeidžiamumą. Dėl silpno vientisumo tikrinimo MD5, pažeidėjas gali piktavališkai pakeisti paketus, kad gautų neteisėtą prieigą. MD5 pažeidžiamumas daro vartotojo duomenų paketų protokolo (UDP) pagrįstą RADIUS srautą internetu nesaugiai, palyginti su paketų klastojimu arba modifikavimu transportuojant. 

Daugiau informacijos apie šį pažeidžiamumą, žr . CVE-2024-3596 ir whitepaper RADIUS IR MD5 SUSIDŪRIMO ATAKOS.

NATA Šiam pažeidžiamumui reikia fizinės prieigos prie RADIUS tinklo ir tinklo strategijos serverio (NPS). Todėl klientai, kurie yra apsaugoti RADIUS tinklai, nėra pažeidžiami. Be to, pažeidžiamumas netaikomas, kai RADIUS ryšys vyksta per VPN. 

Imtis veiksmų

Siekiant apsaugoti jūsų aplinką, rekomenduojame įgalinti šias konfigūracijas. Daugiau informacijos žr. skyriuje Konfigūracijos .

  • Nustatykite atributą Message-Authenticator"Access-Request " paketuose. Įsitikinkite, kad visuose "Access- Request " paketuose yra atributas Message-Authenticator . Pagal numatytuosius parametrus atributo "Message-Authenticator " nustatymo parinktis yra išjungta. Rekomenduojame įjungti šią parinktį.

  • Patikrinkite "Access-Request" paketų atributą Message-Authenticator. Apsvarstykite galimybę vykdyti "Access-Request" paketų atributo "Message-Authenticator" tikrinimą. Prieigos užklausų paketai be šio atributo nebus apdorojami. Pagal numatytuosius nustatymus "Access- Request" pranešimuose turi būti išjungta atributo message-authenticator parinktis. Rekomenduojame įjungti šią parinktį.

  • Patikrinkite Atributą Message-Authenticator"Access-Request " paketuose, jei yra atributas Tarpinio serverio būsena . Jei įgalinsite atributo Message-Authenticator tikrinimą kiekviename "Access" užklausos pakete, įgalinkite parinktį limitProxyState. limitProxyState įgalina nuleisti prieigos užklausų paketus, kuriuose yra tarpinio serverio būsenos atributas be atributo Message-Authenticator . Pagal numatytuosius parametrus limitproxystate parinktis yra išjungta. Rekomenduojame įjungti šią parinktį.

  • Patikrinkite atributą Message-Authenticator RADIUS atsakymų paketuose: Access-Accept, Access-Reject ir Access-Challenge. Įgalinkite " requireMsgAuth " parinktį įgalinti RADIUS atsakymų paketus iš nuotolinių serverių be atributo Message-Authenticator . Pagal numatytuosius parametrus requiremsgauth parinktis yra išjungta. Rekomenduojame įjungti šią parinktį.

Šio naujinimo įtraukti įvykiai

Daugiau informacijos žr. skyriuje Konfigūracijos .

Pastaba Šių įvykių ID į NPS serverį įtraukia "Windows" naujinimai, kurių data yra 2024 m. liepos 9 d. arba vėliau.

Prieigos užklausos paketas buvo atmestas, nes jame buvo atributas Tarpinio serverio būsena, bet trūko atributo Message-Authenticator. Apsvarstykite galimybę pakeisti RADIUS klientą, kad būtų įtrauktas atributas Message-Authenticator . Arba galite įtraukti išimtį RADIUS klientui naudodami limitProxyState konfigūraciją.

Įvykių žurnalas

Sistema

Įvykio tipas

Klaida

Įvykio šaltinis

NPS

Įvykio ID

4418

Įvykio tekstas

Access-Request pranešimas gautas iš RADIUS kliento <ip/name> su Proxy-State atributu, tačiau jame nebuvo atributo Message-Authenticator. Todėl užklausa buvo atmesta. Atributas Message-Authenticator yra privalomas saugos tikslais. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. 

Tai yra "Access- Request " paketų audito įvykis be atributo Message-Authenticator , kai yra tarpinio serverio būsena. Apsvarstykite galimybę pakeisti RADIUS klientą, kad būtų įtrauktas atributas Message-Authenticator . RADIUS paketas bus atmestas, kai bus įjungta limitproxystate konfigūracija.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

NPS

Įvykio ID

4419

Įvykio tekstas

Access-Request pranešimas gautas iš RADIUS kliento <ip/name> su Proxy-State atributu, tačiau jame nebuvo atributo Message-Authenticator. Užklausa šiuo metu leidžiama, nes limitProxyState sukonfigūruota audito režimu. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268. 

Tai auditas, skirtas RADIUS atsakymo paketams, gautiems be atributo Message-Authenticator tarpiniame serveryje. Apsvarstykite galimybę pakeisti nurodytą RADIUS serverį atributui Message-Authenticator . RADIUS paketas bus atmestas įgalinus requiremsgauth konfigūraciją.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

NPS

Įvykio ID

4420

Įvykio tekstas

RADIUS tarpinis serveris gavo atsakymą iš serverio <ip/name> su trūkstamu atributu Message-Authenticator. Atsakymas šiuo metu leidžiamas, nes requireMsgAuth sukonfigūruotas testavimo režimu. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268.

Šis įvykis užregistruojamas tarnybos paleidimo metu, kai nekonfigūruojami rekomenduojami parametrai. Apsvarstykite galimybę įjungti parametrus, jei RADIUS tinklas yra nesaugus. Saugiuose tinkluose šių įvykių galima nepaisyti.

Įvykių žurnalas

Sistema

Įvykio tipas

Įspėjimas

Įvykio šaltinis

NPS

Įvykio ID

4421

Įvykio tekstas

RequireMsgAuth ir (arba) limitProxyState konfigūracija veikia <išjungti / audito> režimu. Šie parametrai saugos tikslais turi būti sukonfigūruoti įjungus režimą. Norėdami sužinoti daugiau, žr. https://support.microsoft.com/help/5040268.

Konfigūracijos

Ši konfigūracija leidžia NPS tarpiniam serveriui pradėti siųsti atributą Message-Authenticator visuose "Access-Request " paketuose. Norėdami įgalinti šią konfigūraciją, naudokite vieną iš toliau nurodytų būdų.

1 būdas: Naudokite NPS "Microsoft" valdymo konsolę (MMC)

Norėdami naudoti NPS MMC, atlikite šiuos veiksmus:

  1. Atidarykite NPS vartotojo sąsają (UI) serveryje.

  2. Atidarykite nuotolines Radius serverių grupes.

  3. Pasirinkite Radius Server.

  4. Eikite į Autentifikavimas / apskaita.

  5. Spustelėkite, kad pasirinktumėte Užklausoje turi būti Message-Authenticator atributo žymės langelis.

2 būdas: naudokite komandą netsh

Norėdami naudoti netsh, vykdykite šią komandą:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Daugiau informacijos žr. Nuotolinio RADIUS serverio grupės komandos.

Šiai konfigūracijai reikalingas atributas Message-Authenticator visuose Access-Request paketuose ir, jei nėra, atmeta paketą.

1 būdas: Naudokite NPS "Microsoft" valdymo konsolę (MMC)

Norėdami naudoti NPS MMC, atlikite šiuos veiksmus:

  1. Atidarykite NPS vartotojo sąsają (UI) serveryje.

  2. Atidarykite Radius Clients.

  3. Pasirinkite Spindulio klientas.

  4. Eikite į Perėjimo parametrai.

  5. Spustelėkite, kad pasirinktumėte Prieigos-užklausos pranešimus turi būti pranešimo atpažintuvo atributas žymės langelį.

Daugiau informacijos žr. RADIUS klientų konfigūravimas.

2 būdas: naudokite komandą netsh

Norėdami naudoti netsh, vykdykite šią komandą:

netsh nps set client name = <client name> requireauthattrib = yes

Daugiau informacijos žr. Nuotolinio RADIUS serverio grupės komandos.

Ši konfigūracija leidžia NPS serveriui pašalinti galimus pažeidžiamus Prieigos užklausų paketus, kuriuose yra atributas Tarpinio serverio būsena , bet neįtraukia Message-Authenticator atributo. Ši konfigūracija palaiko tris režimus:

  • Auditas

  • Įjungti

  • Išjungti

Testavimo režimu užregistruojamas įspėjimo įvykis (įvykio ID: 4419), tačiau užklausa vis tiek apdorojama. Naudokite šį režimą, kad nustatytumėte užklausas siunčiančius nesuderinamus subjektus.

Naudodami komandą netsh konfigūruokite, įgalinkite ir įtraukite išimtį, jei reikia.

  1. Norėdami konfigūruoti klientus audito režimu, vykdykite šią komandą:

    netsh nps set limitproxystate all = "audit"

  2. Norėdami sukonfigūruoti klientus įgalinimo režimu, vykdykite šią komandą:

    netsh nps nustatyti limitproxystate all = "enable" 

  3. Norėdami įtraukti išimtį neįtraukti kliento limitProxystate tikrinimą, vykdykite šią komandą:

    netsh nps set limitproxystate name = <kliento vardas> išimtis = "Taip" 

Ši konfigūracija leidžia NPS tarpiniam serveriui pašalinti galimai pažeidžiamus atsakymo pranešimus be atributo Message-Authenticator . Ši konfigūracija palaiko tris režimus:

  • Auditas

  • Įjungti

  • Išjungti

Testavimo režimu užregistruojamas įspėjimo įvykis (įvykio ID: 4420), tačiau užklausa vis tiek apdorojama. Naudokite šį režimą, kad nustatytumėte atsakymus siunčiančius nesuderinamus subjektus.

Naudodami komandą netsh konfigūruokite, įgalinkite ir įtraukite išimtį, jei reikia.

  1. Norėdami sukonfigūruoti serverius audito režimu, vykdykite šią komandą:

    netsh nps set requiremsgauthall = "audit"

  2. Norėdami įgalinti visų serverių konfigūracijas, vykdykite šią komandą:

    netsh nps set requiremsgauth all = "enable"

  3. Norėdami įtraukti išimtį, kad serveris nebūtų patvirtintas requireauthmsg, vykdykite šią komandą:

    netsh nps set requiremsgauth remoteservergroup = <nuotolinio serverio grupės pavadinimas> adresas = <serverio adresas> išimtis = "yes"

Dažnai užduodami klausimai

Patikrinkite susijusių įvykių NPS modulio įvykius. Apsvarstykite galimybę įtraukti išimtis arba konfigūracijos koregavimus paveiktiems klientams / serveriams.

Ne, šiame straipsnyje aptariamos konfigūracijos rekomenduojamos nesaugiems tinklams. 

Nuorodos

Standartinių terminų, naudojamų "Microsoft" programinės įrangos naujinimams apibūdinti, aprašas

Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina „Microsoft‟ nepriklausančios įmonės. Dėl šių produktų našumo ar patikimumo neteikiame jokių numanomų ar kitokių garantijų.

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.