Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Belangrijk Bepaalde versies van Microsoft Windows hebben het einde van de ondersteuning bereikt. Houd er rekening mee dat sommige versies van Windows mogelijk worden ondersteund na de meest recente einddatum van het besturingssysteem wanneer uitgebreide beveiligingsupdates (ESU's) beschikbaar zijn. Zie Veelgestelde vragen over levenscyclus - Uitgebreide beveiligingsupdates voor een lijst met producten die ESU's aanbieden.

Datum wijzigen

Beschrijving wijzigen

dinsdag 1 augustus 2024

  • Kleine opmaakwijzigingen voor leesbaarheid

  • In de configuratie 'Verificatie van het kenmerk Message-Authenticator configureren in alle Access-Request-pakketten op de client' is het woord 'message' gebruikt in plaats van 'packet'

dinsdag 5 augustus 2024

  • Koppeling toegevoegd voor User Datagram Protocol (UDP)

  • Koppeling toegevoegd voor Network Policy Server (NPS)

dinsdag 6 augustus 2024

  • De sectie 'Samenvatting' bijgewerkt om aan te geven dat deze wijzigingen zijn opgenomen in de Windows-updates die zijn gedateerd op of na 9 juli 2024

  • De opsommingstekens in de sectie Actie ondernemen zijn bijgewerkt om aan te geven dat u de opties kunt inschakelen. Deze opties zijn standaard uitgeschakeld.

  • Er is een notitie toegevoegd aan de sectie 'Gebeurtenissen toegevoegd door deze update' om aan te geven dat de gebeurtenis-id's zijn toegevoegd aan de NPS-server door de Windows-updates die zijn gedateerd op of na 9 juli 2024

Inhoud

Samenvatting

De Windows-updates op of na 9 juli 2024 verhelpen een beveiligingsprobleem in het RADIUS-protocol (Remote Authentication Dial-In User Service) met betrekking tot md5-botsingsproblemen . Vanwege zwakke integriteitscontroles in MD5 kan een aanvaller met pakketten knoeien om onbevoegde toegang te krijgen. Door beveiligingsprobleem met MD5 wordt radius-verkeer op basis van User Datagram Protocol (UDP) via internet niet beveiligd tegen vervalsing van pakketten of wijzigingen tijdens de overdracht. 

Zie CVE-2024-3596 en het whitepaper RADIUS AND MD5 COLLISION ATTACKS (RADIUS AND MD5 COLLISION ATTACKS) voor meer informatie over dit beveiligingsprobleem.

NOTITIE Voor dit beveiligingsprobleem is fysieke toegang tot het RADIUS-netwerk en de Network Policy Server (NPS) vereist. Daarom zijn klanten met beveiligde RADIUS-netwerken niet kwetsbaar. Bovendien is het beveiligingsprobleem niet van toepassing wanneer RADIUS-communicatie plaatsvindt via VPN. 

Actie ondernemen

Om uw omgeving te beschermen, raden we u aan de volgende configuraties in te schakelen. Zie de sectie Configuraties voor meer informatie.

  • Stel het kenmerk Message-Authenticator in Access-Request-pakketten in. Zorg ervoor dat alle Access-Request-pakketten het kenmerk Message-Authenticator bevatten. De optie voor het instellen van het kenmerk Message-Authenticator is standaard uitgeschakeld. We raden u aan deze optie in te schakelen.

  • Controleer het kenmerk Message-Authenticator in Access-Request-pakketten . Overweeg om validatie van het kenmerk Message-Authenticator af te dwingen voor Access-Request-pakketten . Access-Request-pakketten zonder dit kenmerk worden niet verwerkt. Standaard moet de access-request-berichten de optie message-authenticator kenmerk bevatten , is uitgeschakeld. We raden u aan deze optie in te schakelen.

  • Controleer het kenmerk Message-Authenticator in Access-Request-pakketten als het kenmerk Proxystatus aanwezig is. Schakel eventueel de optie limitProxyState in als het afdwingen van validatie van het kenmerk Message-Authenticator op elk Access-Request-pakket niet kan worden uitgevoerd. limitProxyState dwingt het verwijderen van Access-Request-pakketten af die het kenmerk Proxystatus bevatten zonder het kenmerk Message-Authenticator . De optie limitproxystate is standaard uitgeschakeld. We raden u aan deze optie in te schakelen.

  • Controleer het kenmerk Message-Authenticator in RADIUS-antwoordpakketten: Access-Accept, Access-Reject en Access-Challenge. Schakel de optie requireMsgAuth in om af te dwingen dat de RADIUS-antwoordpakketten van externe servers worden verwijderd zonder het kenmerk Message-Authenticator . Standaard is de optie requiremsgauth uitgeschakeld. We raden u aan deze optie in te schakelen.

Gebeurtenissen die door deze update zijn toegevoegd

Zie de sectie Configuraties voor meer informatie.

Opmerking Deze gebeurtenis-id's worden toegevoegd aan de NPS-server door de Windows-updates die zijn gedateerd op of na 9 juli 2024.

Het access-request-pakket is verwijderd omdat het het kenmerk Proxystatus bevat, maar het kenmerk Message-Authenticator ontbreekt. U kunt de RADIUS-client wijzigen om het kenmerk Message-Authenticator op te nemen. U kunt ook een uitzondering voor de RADIUS-client toevoegen met behulp van de limitProxyState-configuratie .

Gebeurtenislogboek

Systeem

Gebeurtenistype

Fout

Gebeurtenisbron

NPS

Gebeurtenis-id

4418

Gebeurtenistekst

Er is een Access-Request bericht ontvangen van de RADIUS-client <ip/name-> met een Proxy-State-kenmerk, maar het bevat geen Message-Authenticator-kenmerk. Als gevolg hiervan is de aanvraag verwijderd. Het kenmerk Message-Authenticator is verplicht voor beveiligingsdoeleinden. Zie https://support.microsoft.com/help/5040268 voor meer informatie. 

Dit is een controlegebeurtenis voor Access-Request-pakketten zonder het kenmerk Message-Authenticator in aanwezigheid van proxystatus. U kunt de RADIUS-client wijzigen om het kenmerk Message-Authenticator op te nemen. Het RADIUS-pakket wordt verwijderd zodra de limitproxystate-configuratie is ingeschakeld.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4419

Gebeurtenistekst

Er is een Access-Request bericht ontvangen van de RADIUS-client <ip/name-> met een Proxy-State-kenmerk, maar het bevat geen Message-Authenticator-kenmerk. De aanvraag is momenteel toegestaan omdat de limitProxyState is geconfigureerd in de auditmodus. Zie https://support.microsoft.com/help/5040268 voor meer informatie. 

Dit is een auditgebeurtenis voor RADIUS-antwoordpakketten die zijn ontvangen zonder het kenmerk Message-Authenticator bij de proxy. U kunt de opgegeven RADIUS-server voor het kenmerk Message-Authenticator wijzigen. Het RADIUS-pakket wordt verwijderd zodra de configuratie van requiremsgauth is ingeschakeld.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4420

Gebeurtenistekst

De RADIUS-proxy heeft een antwoord ontvangen van de server<ip/name> met een ontbrekend Message-Authenticator kenmerk. Reactie is momenteel toegestaan omdat de requireMsgAuth is geconfigureerd in de controlemodus. Zie https://support.microsoft.com/help/5040268 voor meer informatie.

Deze gebeurtenis wordt geregistreerd tijdens het starten van de service wanneer de aanbevolen instellingen niet zijn geconfigureerd. Overweeg om de instellingen in te schakelen als het RADIUS-netwerk onveilig is. Voor beveiligde netwerken kunnen deze gebeurtenissen worden genegeerd.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4421

Gebeurtenistekst

De configuratie RequireMsgAuth en/of limitProxyState bevindt zich in<modus Voor uitschakelen/controleren van> . Deze instellingen moeten worden geconfigureerd in de modus Inschakelen voor beveiligingsdoeleinden. Zie https://support.microsoft.com/help/5040268 voor meer informatie.

Configuraties

Met deze configuratie kan de NPS-proxy beginnen met het verzenden van het kenmerk Message-Authenticator in alle Access-Request-pakketten . Gebruik een van de volgende methoden om deze configuratie in te schakelen.

Methode 1: De NPS Microsoft Management Console (MMC) gebruiken

Voer de volgende stappen uit om de NPS MMC te gebruiken:

  1. Open de GEBRUIKERSinterface (UI) van NPS op de server.

  2. Open de externe Radius-servergroepen.

  3. Selecteer Radius-server.

  4. Ga naar Verificatie/boekhouding.

  5. Schakel het selectievakje De aanvraag moet het kenmerk Message-Authenticator bevatten in.

Methode 2: de netsh-opdracht gebruiken

Voer de volgende opdracht uit om netsh te gebruiken:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Zie Opdrachten voor externe RADIUS-servergroepen voor meer informatie.

Voor deze configuratie is het kenmerk Message-Authenticator vereist in alle Access-Request-pakketten en wordt het pakket verwijderd als het niet aanwezig is.

Methode 1: De NPS Microsoft Management Console (MMC) gebruiken

Voer de volgende stappen uit om de NPS MMC te gebruiken:

  1. Open de GEBRUIKERSinterface (UI) van NPS op de server.

  2. Radius-clients openen.

  3. Selecteer Radius-client.

  4. Ga naar Geavanceerde instellingen.

  5. Klik om het selectievakje Access-Request-berichten moeten het kenmerk message-authenticator bevatten in te schakelen.

Zie RADIUS-clients configureren voor meer informatie.

Methode 2: netsh-opdracht gebruiken

Voer de volgende opdracht uit om netsh te gebruiken:

netsh nps set client name = <client name> requireauthattrib = yes

Zie Opdrachten voor externe RADIUS-servergroepen voor meer informatie.

Met deze configuratie kan de NPS-server potentiële kwetsbare Access-Request-pakketten verwijderen die een proxystatuskenmerk bevatten, maar geen message-authenticator-kenmerk bevatten. Deze configuratie ondersteunt drie modi:

  • Controle

  • Inschakelen

  • Uitschakelen

In de controlemodus wordt een waarschuwingsgebeurtenis (gebeurtenis-id: 4419) geregistreerd, maar de aanvraag wordt nog steeds verwerkt. Gebruik deze modus om de niet-compatibele entiteiten te identificeren die de aanvragen verzenden.

Gebruik de opdracht netsh om zo nodig een uitzondering te configureren, in te schakelen en toe te voegen.

  1. Voer de volgende opdracht uit om clients in de auditmodus te configureren:

    netsh nps set limitproxystate all = "audit"

  2. Voer de volgende opdracht uit om clients in de modus Inschakelen te configureren:

    netsh nps set limitproxystate all = "enable" 

  3. Als u een uitzondering wilt toevoegen om een client uit te sluiten van limitProxystate-validatie , voert u de volgende opdracht uit:

    netsh nps set limitproxystate name = <client name> uitzondering = "Ja" 

Met deze configuratie kan nps-proxy mogelijk kwetsbare antwoordberichten verwijderen zonder het kenmerk Message-Authenticator . Deze configuratie ondersteunt drie modi:

  • Controle

  • Inschakelen

  • Uitschakelen

In de controlemodus wordt een waarschuwingsgebeurtenis (gebeurtenis-id: 4420) geregistreerd, maar de aanvraag wordt nog steeds verwerkt. Gebruik deze modus om de niet-compatibele entiteiten te identificeren die de antwoorden verzenden.

Gebruik de opdracht netsh om zo nodig een uitzondering te configureren, in te schakelen en toe te voegen.

  1. Voer de volgende opdracht uit om servers in de controlemodus te configureren:

    netsh nps set requiremsgauthall = "audit"

  2. Voer de volgende opdracht uit om configuraties voor alle servers in te schakelen:

    netsh nps set requiremsgauth all = "enable"

  3. Als u een uitzondering wilt toevoegen om een server uit te sluiten van de validatie van requireauthmsg, voert u de volgende opdracht uit:

    netsh nps set requiremsgauth remoteservergroup = naam<externe servergroep> adres = <serveradres> uitzondering = "ja"

Veelgestelde vragen

Controleer NPS-module-gebeurtenissen op gerelateerde gebeurtenissen. Overweeg uitzonderingen of configuratie-aanpassingen toe te voegen voor betrokken clients/servers.

Nee, de configuraties die in dit artikel worden besproken, worden aanbevolen voor onbeveiligde netwerken. 

Naslagwerken

Beschrijving van de standaardterminologie die wordt gebruikt om Microsoft-software-updates te beschrijven

De producten van derden die in artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk van Microsoft zijn. We bieden geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders