Svarīgi Ir sasniegtas dažu Microsoft Windows versiju atbalsta beigas. Ņemiet vērā, ka dažas Windows versijas, iespējams, tiks atbalstītas agrāk par jaunāko operētājsistēmas beigu datumu, kad ir pieejami paplašinātie drošības atjauninājumi (ESU). Skatiet rakstu Bieži uzdotie jautājumi par dzīves ciklu — paplašinātie drošības atjauninājumi, lai skatītu produktu piedāvājumu ESU sarakstu.
Datuma maiņa |
Apraksta maiņa |
2024. gada 1. augusts |
|
2024. gada 5. augusts |
|
2024. gada 6. augusts |
|
Saturu
Kopsavilkums
Ar 2024. gada 9. jūliju vai pēc 2024. gada 9. jūlija Windows atjauninājumi novērš ar MD5 konflikta problēmām saistītā attālās autentifikācijas iezvanes lietotāja pakalpojuma (Remote Authentication Dial-In User Service — RADIUS) protokolu. Vāju integritātes pārbaužu md5 dēļ uzbrucējs var saziņā ar paketēm iegūt nesankcionētu piekļuvi. MD5 ievainojamība padara lietotāja datogrammas protokola (User Datagram Protocol — UDP) radius trafiku ar interneta drošību pret pakešu drošības brīdinājums vai modificēšanu pārsūtīšanas laikā.
Papildinformāciju par šo ievainojamību skatiet rakstā CVE-2024-3596 un baltās tāfeles RADIUS UN MD5 COLLISION UZBRUKUMI.
PIEZĪME Šai ievainojamībai ir nepieciešama fiziska piekļuve RADIUS tīklam un tīkla politikas serverim (NPS). Tāpēc klienti, kuriem ir droši RADIUS tīkli, nav neaizsargāti. Turklāt ievainojamība neattiecas uz RADIU saziņu, izmantojot VPN.
Rīcība
Lai palīdzētu aizsargāt jūsu vidi, iesakām iespējot šādas konfigurācijas. Papildinformāciju skatiet sadaļā Konfigurācijas.
|
Notikumi, kurus pievienoja šis atjauninājums
Papildinformāciju skatiet sadaļā Konfigurācijas.
Piezīme Šos notikumu ID NPS serverim pievieno Windows atjauninājumi, kas ir datēti ar 2024. gada 9. jūliju vai pēc to beigām.
Piekļuves pieprasījumu pakete tika atmesta, jo tajā bija ietverts starpniekservera stāvokļa atribūts, bet tai pietrūka atribūta Message-Authenticator . Apsveriet iespēju mainīt RADIUS klientu, lai iekļautu atribūtu Message-Authenticator . Vai arī pievienojiet izņēmumu RADIUS klientam, izmantojot konfigurāciju limitProxyState .
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Kļūda |
Notikuma avots |
NPS |
Notikuma ID |
4418 |
Notikuma teksts |
Tika saņemts Access-Request NO RADIUS klienta <ip/name> , kurā iekļauts Proxy-State atribūts, bet tajā nav iekļauts Message-Authenticator atribūts. Rezultātā pieprasījums tika atmests. Atribūts Message-Authenticator ir obligāts drošības nolūkos. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. |
Šis ir audita notikums Access pieprasījumu pakotnēm bez atribūta Message-Authenticatorstarpniekservera klātbūtnes starpniekservera stāvokļa. Apsveriet iespēju mainīt RADIUS klientu, lai iekļautu atribūtu Message-Authenticator . KAD būs iespējota limitproxystate konfigurācija, RADIUS pakete tiks atmesta.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
NPS |
Notikuma ID |
4419 |
Notikuma teksts |
Tika saņemts Access-Request NO RADIUS klienta <ip/name> , kurā iekļauts Proxy-State atribūts, bet tajā nav iekļauts Message-Authenticator atribūts. Pieprasījums pašlaik ir atļauts, jo limitProxyState ir konfigurēts audita režīmā. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. |
Šis ir audita notikums RADIUS atbilžu paketēm, kas saņemtas bez ziņojuma-autentificētāja atribūta starpniekserverī. Apsveriet iespēju mainīt norādīto RADIUS serveri atribūtam Message-Authenticator . KAD būs iespējota pieprasītā konfigurēšana, RADIUS pakete tiks atmesta.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
NPS |
Notikuma ID |
4420 |
Notikuma teksts |
RADIUS starpniekserveris saņēma atbildi no servera<ip/nosaukuma> bez Message-Authenticator atribūta. Atbilde pašlaik ir atļauta, jo nepieciešama autentifikācija requireMsgAuth ir konfigurēta audita režīmā. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. |
Šis notikums tiek reģistrēts pakalpojuma startēšanas laikā, kad nav konfigurēti ieteicamie iestatījumi. Apsveriet iestatījumu iespējošanu, ja RADIUS tīkls nav pārliecināts. Drošo tīklu gadījumā šos notikumus var ignorēt.
Notikumu žurnāls |
Sistēma |
Notikuma tips |
Brīdinājums |
Notikuma avots |
NPS |
Notikuma ID |
4421 |
Notikuma teksts |
RequireMsgAuth un/vai limitProxyState konfigurācija ir <atspējot/audita> režīmā. Šie iestatījumi ir jākonfigurē režīmā Iespējot drošības nolūkos. Papildinformāciju https://support.microsoft.com/help/5040268 skatiet šeit. |
Konfigurācijas
Šī konfigurācija sniedz NPS starpniekserverim iespēju sākt ziņojuma autentificētāja atribūta sūtīšanu visās access-Request pakotnēs. Lai iespējotu šo konfigurāciju, izmantojiet kādu no tālāk aprakstītajām metodēm.
1. metode. NPS Microsoft pārvaldības konsoles (NPS Microsoft Management Console — MMC) izmantošana
Lai izmantotu NPS MMC, rīkojieties šādi:
-
Serverī atveriet NPS lietotāja interfeisu (UI).
-
Atveriet attālās radius servera grupas.
-
Atlasiet Radius Server.
-
Dodieties uz Authentication/Accounting (Autentifikācija/grāmatvedība).
-
Noklikšķiniet, lai atzīmētu izvēles rūtiņu Pieprasījumā ir Message-Authenticator atribūts.
2. metode. Netsh komandas izmantošana
Lai izmantotu netsh, izpildiet šādu komandu:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Papildinformāciju skatiet rakstā Attālās RADIUS servera grupas komandas.
Šai konfigurācijai nepieciešams atribūts Message-Authenticator visās piekļuves pieprasījumu pakotnēs un nomet paketi, ja tās nav.
1. metode. NPS Microsoft pārvaldības konsoles (NPS Microsoft Management Console — MMC) izmantošana
Lai izmantotu NPS MMC, rīkojieties šādi:
-
Serverī atveriet NPS lietotāja interfeisu (UI).
-
Atveriet radius klientus.
-
Atlasiet Radius Client.
-
Dodieties uz Papildu iestatījumi.
-
Noklikšķiniet, lai atzīmētu izvēles rūtiņu Piekļuves pieprasījumu ziņojumiem ir jābūt atzīmētam atribūtam Message-authenticator .
Papildinformāciju skatiet rakstā RADIU klientu konfigurēšana.
2. metode. Netsh komandas izmantošana
Lai izmantotu netsh, izpildiet šādu komandu:
netsh nps set client name = <client name> requireauthattrib = yes
Papildinformāciju skatiet rakstā Attālās RADIUS servera grupas komandas.
Šī konfigurācija ļauj NPS serverim nomest potenciālās neaizsargātās piekļuves pieprasījumu paketes, kas satur starpniekservera stāvokļa atribūtu, bet neietver atribūtu Message-Authenticator. Šī konfigurācija atbalsta trīs režīmus:
-
Audits
-
Iespējot
-
Atspējot
Audita režīmā tiek reģistrēts brīdinājuma notikums (notikuma ID: 4419), bet pieprasījums joprojām tiek apstrādāts. Izmantojiet šo režīmu, lai identificētu neatbilstošās entītijas, kas sūta pieprasījumus.
Izmantojiet netsh komandu , lai konfigurētu, iespējotu un pēc nepieciešamības pievienotu izņēmumu.
-
Lai konfigurētu klientus audita režīmā, izpildiet šādu komandu:
netsh nps set limitproxystate all = "audit"
-
Lai konfigurētu klientus iespējošanas režīmā, izpildiet šādu komandu:
netsh nps set limitproxystate all = "enable"
-
Lai pievienotu izņēmumu, kas izslēdz klientu no limitProxystate validācijas , izpildiet šādu komandu:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Šī konfigurācija ļauj NPS starpniekserverim nomest iespējami neaizsargātus atbilžu ziņojumus bez atribūta Message-Authenticator . Šī konfigurācija atbalsta trīs režīmus:
-
Audits
-
Iespējot
-
Atspējot
Audita režīmā tiek reģistrēts brīdinājuma notikums (notikuma ID: 4420), taču pieprasījums joprojām tiek apstrādāts. Izmantojiet šo režīmu, lai identificētu neatbilstošās entītijas, kas nosūta atbildes.
Izmantojiet netsh komandu, lai konfigurētu, iespējotu un pēc nepieciešamības pievienotu izņēmumu.
-
Lai konfigurētu serverus audita režīmā, izpildiet šādu komandu:
netsh nps set ir nepieciešamaall = "audit"
-
Lai iespējotu konfigurācijas visiem serveriem, izpildiet šādu komandu:
netsh nps set requiremsgauth all = "enable"
-
Lai pievienotu izņēmumu, kas izslēdz serveri no pieprasīt autorizācijas validāciju, izpildiet šādu komandu:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Bieži uzdotie jautājumi
Saistīto notikumu NPS moduļa notikumu pārbaude. Apsveriet iespēju pievienot izņēmumus vai konfigurācijas korekcijas ietekmētajiem klientiem/serveriem.
Nē, šajā rakstā apspriestās konfigurācijas ir ieteicamas nedrošiem tīkliem.
Uzziņas
Šajā rakstā pieminēto trešās puses produktu ražotāji ir no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nesniedzam nekādas garantijas, tiešas vai netiešas, par šo produktu veiktspēju vai uzticamību.
Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.