Viktig! Enkelte versjoner av Microsoft Windows har nådd slutten av støtten. Vær oppmerksom på at noen versjoner av Windows kan støttes etter den nyeste sluttdatoen for operativsystemet når utvidede sikkerhetsoppdateringer (ESU-er) er tilgjengelige. Se vanlige spørsmål om livssyklus – utvidede sikkerhetsoppdateringer for en liste over produkter som tilbyr ESU-er.
Endre dato |
Endre beskrivelse |
1. august 2024 kl. |
|
5. august 2024 kl. |
|
6. august 2024 kl. |
|
Innhold
Oppsummering
Windows-oppdateringene datert 9. juli 2024 løser et sikkerhetsproblem i RADIUS-protokollen (Remote Authentication Dial-In User Service) relatert til MD5-kollisjonsproblemer . På grunn av svake integritetskontroller i MD5 kan en angriper tukle med pakker for å få uautorisert tilgang. MD5-sikkerhetsproblemet gjør UDP-basert RADIUS-trafikk (User Datagram Protocol) over Internett-beskyttelse mot pakkeforfalsker eller endringer under overføring.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2024-3596 og hvitboken RADIUS OG MD5 KOLLISJONSANGREP.
NOTAT Dette sikkerhetsproblemet krever fysisk tilgang til RADIUS-nettverket og Network Policy Server (NPS). Derfor er ikke kunder som har sikrede RADIUS-nettverk sårbare. I tillegg gjelder ikke sikkerhetsproblemet når RADIUS-kommunikasjon skjer over VPN.
Utfør handling
For å beskytte miljøet anbefaler vi at du aktiverer følgende konfigurasjoner. Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen .
|
Hendelser som er lagt til av denne oppdateringen
Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen .
Obs! Disse hendelses-ID-ene legges til NPS-serveren av Windows-oppdateringene datert 9. juli 2024.
Access-Request-pakken ble fjernet fordi den inneholdt attributtet Proxy-State, men manglet attributtet Message-Authenticator. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . Alternativt kan du legge til et unntak for RADIUS-klienten ved hjelp av limitProxyState-konfigurasjonen .
Hendelseslogg |
System |
Hendelsestype |
Feil |
Hendelseskilde |
ANTALL_INNBET |
Hendelses-ID |
4418 |
Hendelsestekst |
En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Som et resultat ble forespørselen droppet. Attributtet Message-Authenticator er obligatorisk for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer. |
Dette er en overvåkingshendelse for Access-Request-pakker uten attributtet Message-Authenticator i nærvær av proxy-tilstand. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når konfigurasjonen av limitproxystate er aktivert.
Hendelseslogg |
System |
Hendelsestype |
Advarsel |
Hendelseskilde |
ANTALL_INNBET |
Hendelses-ID |
4419 |
Hendelsestekst |
En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Forespørselen er for øyeblikket tillatt siden limitProxyState er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer. |
Dette er en overvåkingshendelse for RADIUS-svarpakker som mottas uten attributtet Message-Authenticator på proxyen. Vurder å endre den angitte RADIUS-serveren for attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når requiremsgauth-konfigurasjonen er aktivert.
Hendelseslogg |
System |
Hendelsestype |
Advarsel |
Hendelseskilde |
ANTALL_INNBET |
Hendelses-ID |
4420 |
Hendelsestekst |
RADIUS-proxyen mottok et svar fra serveren <IP/navn> med et manglende Message-Authenticator-attributt. Svar er for øyeblikket tillatt siden requireMsgAuth er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer. |
Denne hendelsen logges under tjenestestart når de anbefalte innstillingene ikke er konfigurert. Vurder å aktivere innstillingene hvis RADIUS-nettverket er usikkert. For sikre nettverk kan disse hendelsene ignoreres.
Hendelseslogg |
System |
Hendelsestype |
Advarsel |
Hendelseskilde |
ANTALL_INNBET |
Hendelses-ID |
4421 |
Hendelsestekst |
RequireMsgAuth og/eller limitProxyState-konfigurasjonen er i <Disable/Audit>-modus . Disse innstillingene bør konfigureres i aktiveringsmodus for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer. |
Konfigurasjoner
Denne konfigurasjonen gjør det mulig for NPS-proxyen å begynne å sende attributtet Message-Authenticator i alle Access-Request-pakker . Bruk én av følgende metoder for å aktivere denne konfigurasjonen.
Metode 1: Bruk NPS Microsoft Management Console (MMC)
Følg disse trinnene for å bruke NPS MMC:
-
Åpne NPS-brukergrensesnittet (UI) på serveren.
-
Åpne de eksterne Radius Server-gruppene.
-
Velg Radius Server.
-
Gå til Godkjenning/Regnskap.
-
Klikk for å merke av for Forespørselen må inneholde avmerkingsboksen Message-Authenticator attributt .
Metode 2: Bruk netsh-kommandoen
Kjør følgende kommando for å bruke netsh:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.
Denne konfigurasjonen krever attributtet Message-Authenticator i alle Access-Request-pakker og slipper pakken hvis den ikke finnes.
Metode 1: Bruk NPS Microsoft Management Console (MMC)
Følg disse trinnene for å bruke NPS MMC:
-
Åpne NPS-brukergrensesnittet (UI) på serveren.
-
Åpne radiusklienter.
-
Velg Radius-klient.
-
Gå til Avanserte innstillinger.
-
Klikk for å merke av for Tilgangsforespørsel-meldinger må inneholde avmerkingsboksen for attributtet meldings godkjenner.
Hvis du vil ha mer informasjon, kan du se Konfigurere RADIUS-klienter.
Metode 2: Bruk netsh-kommando
Kjør følgende kommando for å bruke netsh:
netsh nps set client name = <client name> requireauthattrib = yes
Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.
Denne konfigurasjonen gjør det mulig for NPS-serveren å slippe potensielle sårbare Access-Request-pakker som inneholder et proxy-state-attributt , men ikke inkluderer et Message-Authenticator-attributt . Denne konfigurasjonen støtter tre moduser:
-
Overvåking
-
Aktiver
-
Deaktiver
I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4419), men forespørselen behandles fremdeles. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender forespørslene.
Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.
-
Hvis du vil konfigurere klienter i overvåkingsmodus , kjører du følgende kommando:
netsh nps set limitproxystate all = "audit"
-
Kjør følgende kommando for å konfigurere klienter i aktiveringsmodus :
netsh nps set limitproxystate all = "enable"
-
Hvis du vil legge til et unntak for å utelate en klient fra limitProxystate-validering , kjører du følgende kommando:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Denne konfigurasjonen gjør det mulig for NPS-proxyen å slippe potensielt sårbare svarmeldinger uten attributtet Message-Authenticator . Denne konfigurasjonen støtter tre moduser:
-
Overvåking
-
Aktiver
-
Deaktiver
I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4420), men forespørselen behandles fortsatt. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender svarene.
Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.
-
Kjør følgende kommando for å konfigurere servere i overvåkingsmodus:
netsh nps set kreverall = "audit"
-
Kjør følgende kommando for å aktivere konfigurasjoner for alle servere:
netsh nps set requiremsgauth all = "enable"
-
Hvis du vil legge til et unntak for å utelate en server fra requireauthmsg-validering, kjører du følgende kommando:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Vanlige spørsmål
Kontroller NPS-modulhendelser for relaterte hendelser. Vurder å legge til unntak eller konfigurasjonsjusteringer for berørte klienter/servere.
Nei, konfigurasjonene som beskrives i denne artikkelen, anbefales for usikrede nettverk.
Referanser
Beskrivelse av standard terminologi som brukes til å beskrive Microsoft-programvareoppdateringer
Tredjepartsprodukter som nevnes i denne artikkelen, er produsert av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, underforstått eller på annen måte, om ytelsen eller påliteligheten til disse produktene.
Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.