Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Viktig!   Enkelte versjoner av Microsoft Windows har nådd slutten av støtten. Vær oppmerksom på at noen versjoner av Windows kan støttes etter den nyeste sluttdatoen for operativsystemet når utvidede sikkerhetsoppdateringer (ESU-er) er tilgjengelige. Se vanlige spørsmål om livssyklus – utvidede sikkerhetsoppdateringer for en liste over produkter som tilbyr ESU-er.

Endre dato

Endre beskrivelse

1. august 2024 kl.

  • Mindre formateringsendringer for lesbarhet

  • I konfigurasjonen «Konfigurer bekreftelse av message-authenticator»- attributtet i alle access-forespørselspakker på klienten ble ordet «melding» brukt i stedet for «pakke»

5. august 2024 kl.

  • Lagt til kobling for UDP (User Datagram Protocol)

  • Lagt til kobling for Network Policy Server (NPS)

6. august 2024 kl.

  • Oppdaterte «Sammendrag»-delen for å angi at disse endringene er inkludert i Windows-oppdateringene datert 9. juli 2024

  • Oppdaterte punktpunktene i «Utfør handling»-delen for å angi at vi anbefaler å aktivere alternativene. Disse alternativene er deaktivert som standard.

  • La til et notat i delen «Hendelser lagt til av denne oppdateringen» for å angi at hendelses-ID-ene legges til NPS-serveren av Windows-oppdateringene datert 9. juli 2024

Innhold

Oppsummering

Windows-oppdateringene datert 9. juli 2024 løser et sikkerhetsproblem i RADIUS-protokollen (Remote Authentication Dial-In User Service) relatert til MD5-kollisjonsproblemer . På grunn av svake integritetskontroller i MD5 kan en angriper tukle med pakker for å få uautorisert tilgang. MD5-sikkerhetsproblemet gjør UDP-basert RADIUS-trafikk (User Datagram Protocol) over Internett-beskyttelse mot pakkeforfalsker eller endringer under overføring. 

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2024-3596 og hvitboken RADIUS OG MD5 KOLLISJONSANGREP.

NOTAT Dette sikkerhetsproblemet krever fysisk tilgang til RADIUS-nettverket og Network Policy Server (NPS). Derfor er ikke kunder som har sikrede RADIUS-nettverk sårbare. I tillegg gjelder ikke sikkerhetsproblemet når RADIUS-kommunikasjon skjer over VPN. 

Utfør handling

For å beskytte miljøet anbefaler vi at du aktiverer følgende konfigurasjoner. Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen .

  • Angi attributtet Message-Authenticator i Access-Request-pakker . Kontroller at alle Access-Request-pakker inkluderer attributtet Message-Authenticator . Alternativet for å angi attributtet Message-Authenticator er deaktivert som standard. Vi anbefaler at du aktiverer dette alternativet.

  • Kontroller attributtet Message-Authenticator i Access-Request-pakker . Vurder å fremtvinge validering av attributtet Message-AuthenticatorAccess-Request-pakker . Access-Request-pakker uten dette attributtet vil ikke bli behandlet. Som standard må tilgangsforespørselsmeldingene inneholde alternativet for attributtet message-authenticator er deaktivert. Vi anbefaler at du aktiverer dette alternativet.

  • Kontroller attributtet Message-Authenticator i Access-Request-pakker hvis attributtet Proxy-State finnes. Du kan eventuelt aktivere alternativet limitProxyState hvis validering av attributtet Message-Authenticator på alle Access-Request-pakker ikke kan utføres. limitProxyState håndhever fjerning av Access-Request-pakker som inneholder attributtet Proxy-state uten attributtet Message-Authenticator . Som standard er alternativet limitproxystate deaktivert. Vi anbefaler at du aktiverer dette alternativet.

  • Bekreft attributtet Message-Authenticator i RADIUS-svarpakker: Access-Accept, Access-Reject og Access-Challenge. Aktiver alternativet requireMsgAuth for å fremtvinge fjerning av RADIUS-svarpakker fra eksterne servere uten message-authenticator-attributtet . Som standard er alternativet requiremsgauth deaktivert. Vi anbefaler at du aktiverer dette alternativet.

Hendelser som er lagt til av denne oppdateringen

Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen .

Obs!   Disse hendelses-ID-ene legges til NPS-serveren av Windows-oppdateringene datert 9. juli 2024.

Access-Request-pakken ble fjernet fordi den inneholdt attributtet Proxy-State, men manglet attributtet Message-Authenticator. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . Alternativt kan du legge til et unntak for RADIUS-klienten ved hjelp av limitProxyState-konfigurasjonen .

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4418

Hendelsestekst

En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Som et resultat ble forespørselen droppet. Attributtet Message-Authenticator er obligatorisk for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer. 

Dette er en overvåkingshendelse for Access-Request-pakker uten attributtet Message-Authenticator i nærvær av proxy-tilstand. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når konfigurasjonen av limitproxystate er aktivert.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4419

Hendelsestekst

En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Forespørselen er for øyeblikket tillatt siden limitProxyState er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer. 

Dette er en overvåkingshendelse for RADIUS-svarpakker som mottas uten attributtet Message-Authenticator på proxyen. Vurder å endre den angitte RADIUS-serveren for attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når requiremsgauth-konfigurasjonen er aktivert.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4420

Hendelsestekst

RADIUS-proxyen mottok et svar fra serveren <IP/navn> med et manglende Message-Authenticator-attributt. Svar er for øyeblikket tillatt siden requireMsgAuth er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer.

Denne hendelsen logges under tjenestestart når de anbefalte innstillingene ikke er konfigurert. Vurder å aktivere innstillingene hvis RADIUS-nettverket er usikkert. For sikre nettverk kan disse hendelsene ignoreres.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4421

Hendelsestekst

RequireMsgAuth og/eller limitProxyState-konfigurasjonen er i <Disable/Audit>-modus . Disse innstillingene bør konfigureres i aktiveringsmodus for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer.

Konfigurasjoner

Denne konfigurasjonen gjør det mulig for NPS-proxyen å begynne å sende attributtet Message-Authenticator i alle Access-Request-pakker . Bruk én av følgende metoder for å aktivere denne konfigurasjonen.

Metode 1: Bruk NPS Microsoft Management Console (MMC)

Følg disse trinnene for å bruke NPS MMC:

  1. Åpne NPS-brukergrensesnittet (UI) på serveren.

  2. Åpne de eksterne Radius Server-gruppene.

  3. Velg Radius Server.

  4. Gå til Godkjenning/Regnskap.

  5. Klikk for å merke av for Forespørselen må inneholde avmerkingsboksen Message-Authenticator attributt .

Metode 2: Bruk netsh-kommandoen

Kjør følgende kommando for å bruke netsh:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.

Denne konfigurasjonen krever attributtet Message-Authenticator i alle Access-Request-pakker og slipper pakken hvis den ikke finnes.

Metode 1: Bruk NPS Microsoft Management Console (MMC)

Følg disse trinnene for å bruke NPS MMC:

  1. Åpne NPS-brukergrensesnittet (UI) på serveren.

  2. Åpne radiusklienter.

  3. Velg Radius-klient.

  4. Gå til Avanserte innstillinger.

  5. Klikk for å merke av for Tilgangsforespørsel-meldinger må inneholde avmerkingsboksen for attributtet meldings godkjenner.

Hvis du vil ha mer informasjon, kan du se Konfigurere RADIUS-klienter.

Metode 2: Bruk netsh-kommando

Kjør følgende kommando for å bruke netsh:

netsh nps set client name = <client name> requireauthattrib = yes

Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.

Denne konfigurasjonen gjør det mulig for NPS-serveren å slippe potensielle sårbare Access-Request-pakker som inneholder et proxy-state-attributt , men ikke inkluderer et Message-Authenticator-attributt . Denne konfigurasjonen støtter tre moduser:

  • Overvåking

  • Aktiver

  • Deaktiver

I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4419), men forespørselen behandles fremdeles. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender forespørslene.

Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.

  1. Hvis du vil konfigurere klienter i overvåkingsmodus , kjører du følgende kommando:

    netsh nps set limitproxystate all = "audit"

  2. Kjør følgende kommando for å konfigurere klienter i aktiveringsmodus :

    netsh nps set limitproxystate all = "enable" 

  3. Hvis du vil legge til et unntak for å utelate en klient fra limitProxystate-validering , kjører du følgende kommando:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Denne konfigurasjonen gjør det mulig for NPS-proxyen å slippe potensielt sårbare svarmeldinger uten attributtet Message-Authenticator . Denne konfigurasjonen støtter tre moduser:

  • Overvåking

  • Aktiver

  • Deaktiver

I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4420), men forespørselen behandles fortsatt. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender svarene.

Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.

  1. Kjør følgende kommando for å konfigurere servere i overvåkingsmodus:

    netsh nps set kreverall = "audit"

  2. Kjør følgende kommando for å aktivere konfigurasjoner for alle servere:

    netsh nps set requiremsgauth all = "enable"

  3. Hvis du vil legge til et unntak for å utelate en server fra requireauthmsg-validering, kjører du følgende kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Vanlige spørsmål

Kontroller NPS-modulhendelser for relaterte hendelser. Vurder å legge til unntak eller konfigurasjonsjusteringer for berørte klienter/servere.

Nei, konfigurasjonene som beskrives i denne artikkelen, anbefales for usikrede nettverk. 

Referanser

Beskrivelse av standard terminologi som brukes til å beskrive Microsoft-programvareoppdateringer

Tredjepartsprodukter som nevnes i denne artikkelen, er produsert av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, underforstått eller på annen måte, om ytelsen eller påliteligheten til disse produktene.

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.