Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Svarīgi Ir sasniegtas dažu Microsoft Windows versiju atbalsta beigas. Ņemiet vērā, ka dažas Windows versijas, iespējams, tiks atbalstītas agrāk par jaunāko operētājsistēmas beigu datumu, kad ir pieejami paplašinātie drošības atjauninājumi (ESU). Skatiet rakstu Bieži uzdotie jautājumi par dzīves ciklu — paplašinātie drošības atjauninājumi, lai skatītu produktu piedāvājumu ESU sarakstu.

Datuma maiņa

Apraksta maiņa

2024. gada 1. augusts

  • Nelielas formatējuma izmaiņas lasāmībai

  • Atribūta "Konfigurēt ziņojuma-autentificētāja pārbaudi visās klienta Access pieprasījumu pakotnēs" konfigurācijā izmantots vārds "ziņojums", nevis "pakete"

2024. gada 5. augusts

  • Pievienota saite lietotāja datugrammas protokola (User Datagram Protocol — UDP) protokols

  • Pievienota saite tīkla politikas serverim (NPS)

2024. gada 6. augusts

  • Atjaunināta sadaļa "Kopsavilkums", lai norādītu, ka šīs izmaiņas ir iekļautas Windows atjauninājumos, kas ir dated on or after July 9, 2024

  • Atjaunināja aizzīmju punktus sadaļā "Veikt darbību", lai norādītu, ka ieteicams ieslēgt opcijas. Šīs opcijas pēc noklusējuma ir izslēgtas.

  • Pievienota piezīme sadaļai "Notikumi pievienoti šajā atjauninājumā", lai norādītu, ka notikuma ID tiek pievienoti NPS serverim, pēc Windows atjauninājumiem, kas ir datēti ar 2024. gada 9. jūliju vai pēc 2024. gada 9. jūlija

Saturu

Kopsavilkums

Ar 2024. gada 9. jūliju vai pēc 2024. gada 9. jūlija Windows atjauninājumi novērš ar MD5 konflikta problēmām saistītā attālās autentifikācijas iezvanes lietotāja pakalpojuma (Remote Authentication Dial-In User Service — RADIUS) protokolu. Vāju integritātes pārbaužu md5 dēļ uzbrucējs var saziņā ar paketēm iegūt nesankcionētu piekļuvi. MD5 ievainojamība padara lietotāja datogrammas protokola (User Datagram Protocol — UDP) radius trafiku ar interneta drošību pret pakešu drošības brīdinājums vai modificēšanu pārsūtīšanas laikā. 

Papildinformāciju par šo ievainojamību skatiet rakstā CVE-2024-3596 un baltās tāfeles RADIUS UN MD5 COLLISION UZBRUKUMI.

PIEZĪME Šai ievainojamībai ir nepieciešama fiziska piekļuve RADIUS tīklam un tīkla politikas serverim (NPS). Tāpēc klienti, kuriem ir droši RADIUS tīkli, nav neaizsargāti. Turklāt ievainojamība neattiecas uz RADIU saziņu, izmantojot VPN. 

Rīcība

Lai palīdzētu aizsargāt jūsu vidi, iesakām iespējot šādas konfigurācijas. Papildinformāciju skatiet sadaļā Konfigurācijas.

  • Iestatiet atribūtu Message-Authenticator Access pieprasījumu pakotnēs . Pārliecinieties, vai visās access-Request pakotnēs iekļauts atribūts Message-Authenticator . Pēc noklusējuma atribūts Message-Authenticator ir izslēgts. Šo opciju ir ieteicams ieslēgt.

  • Pārbaudiet atribūtu Message-Authenticatoraccess-Request pakotnēs . Apsveriet iespēju izmantot atribūtu Message-AuthenticatorAccess pieprasījumu pakotnēs. Piekļuves pieprasījumu paketes bez šī atribūta netiks apstrādātas. Pēc noklusējuma atribūta access-Request ziņojumos jābūt izslēgtai atribūta message-authenticator opcijai. Šo opciju ir ieteicams ieslēgt.

  • Pārbaudiet atribūtu Message-Authenticator Access pieprasījumu pakotnēs, ja ir atribūts Starpniekserveris-stāvoklis . Ja vēlaties, iespējojiet opciju limitProxyState, ja visās Access pieprasījumu pakotnēs nevar izpildīt atribūta Message-Authenticator validāciju.limitProxyState pieprasaAccess-Request pakešu nomešanu, kas satur starpniekservera stāvokļa atribūtu bez atribūta Message-Authenticator. Pēc noklusējuma opcija limitproxystate ir izslēgta. Šo opciju ir ieteicams ieslēgt.

  • Pārbaudiet atribūtu Ziņojums-Autentificētājs RADIUS atbilžu pakotnēs: Access-Accept, Access-Reject un Access-Challenge. Iespējojiet opciju requireMsgAuth , lai ieviestu RADIUS atbilžu pakešu nomešanu no attālajiem serveriem bez atribūta Message-Authenticator . Pēc noklusējuma opcija Requiremsgauth ir izslēgta. Šo opciju ir ieteicams ieslēgt.

Notikumi, kurus pievienoja šis atjauninājums

Papildinformāciju skatiet sadaļā Konfigurācijas.

Piezīme Šos notikumu ID NPS serverim pievieno Windows atjauninājumi, kas ir datēti ar 2024. gada 9. jūliju vai pēc to beigām.

Piekļuves pieprasījumu pakete tika atmesta, jo tajā bija ietverts starpniekservera stāvokļa atribūts, bet tai pietrūka atribūta Message-Authenticator . Apsveriet iespēju mainīt RADIUS klientu, lai iekļautu atribūtu Message-Authenticator . Vai arī pievienojiet izņēmumu RADIUS klientam, izmantojot konfigurāciju limitProxyState .

Notikumu žurnāls

Sistēma

Notikuma tips

Kļūda

Notikuma avots

NPS

Notikuma ID

4418

Notikuma teksts

Tika saņemts Access-Request NO RADIUS klienta <ip/name> , kurā iekļauts Proxy-State atribūts, bet tajā nav iekļauts Message-Authenticator atribūts. Rezultātā pieprasījums tika atmests. Atribūts Message-Authenticator ir obligāts drošības nolūkos. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. 

Šis ir audita notikums Access pieprasījumu pakotnēm bez atribūta Message-Authenticatorstarpniekservera klātbūtnes starpniekservera stāvokļa. Apsveriet iespēju mainīt RADIUS klientu, lai iekļautu atribūtu Message-Authenticator . KAD būs iespējota limitproxystate konfigurācija, RADIUS pakete tiks atmesta.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

NPS

Notikuma ID

4419

Notikuma teksts

Tika saņemts Access-Request NO RADIUS klienta <ip/name> , kurā iekļauts Proxy-State atribūts, bet tajā nav iekļauts Message-Authenticator atribūts. Pieprasījums pašlaik ir atļauts, jo limitProxyState ir konfigurēts audita režīmā. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. 

Šis ir audita notikums RADIUS atbilžu paketēm, kas saņemtas bez ziņojuma-autentificētāja atribūta starpniekserverī. Apsveriet iespēju mainīt norādīto RADIUS serveri atribūtam Message-Authenticator . KAD būs iespējota pieprasītā konfigurēšana, RADIUS pakete tiks atmesta.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

NPS

Notikuma ID

4420

Notikuma teksts

RADIUS starpniekserveris saņēma atbildi no servera<ip/nosaukuma> bez Message-Authenticator atribūta. Atbilde pašlaik ir atļauta, jo nepieciešama autentifikācija requireMsgAuth ir konfigurēta audita režīmā. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit.

Šis notikums tiek reģistrēts pakalpojuma startēšanas laikā, kad nav konfigurēti ieteicamie iestatījumi. Apsveriet iestatījumu iespējošanu, ja RADIUS tīkls nav pārliecināts. Drošo tīklu gadījumā šos notikumus var ignorēt.

Notikumu žurnāls

Sistēma

Notikuma tips

Brīdinājums

Notikuma avots

NPS

Notikuma ID

4421

Notikuma teksts

RequireMsgAuth un/vai limitProxyState konfigurācija ir <atspējot/audita> režīmā. Šie iestatījumi ir jākonfigurē režīmā Iespējot drošības nolūkos. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit.

Konfigurācijas

Šī konfigurācija sniedz NPS starpniekserverim iespēju sākt ziņojuma autentificētāja atribūta sūtīšanu visās access-Request pakotnēs. Lai iespējotu šo konfigurāciju, izmantojiet kādu no tālāk aprakstītajām metodēm.

1. metode. NPS Microsoft pārvaldības konsoles (NPS Microsoft Management Console — MMC) izmantošana

Lai izmantotu NPS MMC, rīkojieties šādi:

  1. Serverī atveriet NPS lietotāja interfeisu (UI).

  2. Atveriet attālās radius servera grupas.

  3. Atlasiet Radius Server.

  4. Dodieties uz Authentication/Accounting (Autentifikācija/grāmatvedība).

  5. Noklikšķiniet, lai atzīmētu izvēles rūtiņu Pieprasījumā ir Message-Authenticator atribūts.

2. metode. Netsh komandas izmantošana

Lai izmantotu netsh, izpildiet šādu komandu:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Papildinformāciju skatiet rakstā Attālās RADIUS servera grupas komandas.

Šai konfigurācijai nepieciešams atribūts Message-Authenticator visās piekļuves pieprasījumu pakotnēs un nomet paketi, ja tās nav.

1. metode. NPS Microsoft pārvaldības konsoles (NPS Microsoft Management Console — MMC) izmantošana

Lai izmantotu NPS MMC, rīkojieties šādi:

  1. Serverī atveriet NPS lietotāja interfeisu (UI).

  2. Atveriet radius klientus.

  3. Atlasiet Radius Client.

  4. Dodieties uz Papildu iestatījumi.

  5. Noklikšķiniet, lai atzīmētu izvēles rūtiņu Piekļuves pieprasījumu ziņojumiem ir jābūt atzīmētam atribūtam Message-authenticator .

Papildinformāciju skatiet rakstā RADIU klientu konfigurēšana.

2. metode. Netsh komandas izmantošana

Lai izmantotu netsh, izpildiet šādu komandu:

netsh nps set client name = <client name> requireauthattrib = yes

Papildinformāciju skatiet rakstā Attālās RADIUS servera grupas komandas.

Šī konfigurācija ļauj NPS serverim nomest potenciālās neaizsargātās piekļuves pieprasījumu paketes, kas satur starpniekservera stāvokļa atribūtu, bet neietver atribūtu Message-Authenticator. Šī konfigurācija atbalsta trīs režīmus:

  • Audits

  • Iespējot

  • Atspējot

Audita režīmā tiek reģistrēts brīdinājuma notikums (notikuma ID: 4419), bet pieprasījums joprojām tiek apstrādāts. Izmantojiet šo režīmu, lai identificētu neatbilstošās entītijas, kas sūta pieprasījumus.

Izmantojiet netsh komandu , lai konfigurētu, iespējotu un pēc nepieciešamības pievienotu izņēmumu.

  1. Lai konfigurētu klientus audita režīmā, izpildiet šādu komandu:

    netsh nps set limitproxystate all = "audit"

  2. Lai konfigurētu klientus iespējošanas režīmā, izpildiet šādu komandu:

    netsh nps set limitproxystate all = "enable" 

  3. Lai pievienotu izņēmumu, kas izslēdz klientu no limitProxystate validācijas , izpildiet šādu komandu:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Šī konfigurācija ļauj NPS starpniekserverim nomest iespējami neaizsargātus atbilžu ziņojumus bez atribūta Message-Authenticator . Šī konfigurācija atbalsta trīs režīmus:

  • Audits

  • Iespējot

  • Atspējot

Audita režīmā tiek reģistrēts brīdinājuma notikums (notikuma ID: 4420), taču pieprasījums joprojām tiek apstrādāts. Izmantojiet šo režīmu, lai identificētu neatbilstošās entītijas, kas nosūta atbildes.

Izmantojiet netsh komandu, lai konfigurētu, iespējotu un pēc nepieciešamības pievienotu izņēmumu.

  1. Lai konfigurētu serverus audita režīmā, izpildiet šādu komandu:

    netsh nps set ir nepieciešamaall = "audit"

  2. Lai iespējotu konfigurācijas visiem serveriem, izpildiet šādu komandu:

    netsh nps set requiremsgauth all = "enable"

  3. Lai pievienotu izņēmumu, kas izslēdz serveri no pieprasīt autorizācijas validāciju, izpildiet šādu komandu:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Bieži uzdotie jautājumi

Saistīto notikumu NPS moduļa notikumu pārbaude. Apsveriet iespēju pievienot izņēmumus vai konfigurācijas korekcijas ietekmētajiem klientiem/serveriem.

Nē, šajā rakstā apspriestās konfigurācijas ir ieteicamas nedrošiem tīkliem. 

Uzziņas

Apraksts par standarta terminoloģiju, kas tiek izmantota, lai aprakstītu Microsoft programmatūras atjauninājumus

Šajā rakstā pieminēto trešās puses produktu ražotāji ir no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nesniedzam nekādas garantijas, tiešas vai netiešas, par šo produktu veiktspēju vai uzticamību.

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.