Ważne Niektóre wersje systemu Microsoft Windows osiągnęły koniec wsparcia technicznego. Należy pamiętać, że niektóre wersje systemu Windows mogą być obsługiwane po upływie najnowszej daty zakończenia systemu operacyjnego, gdy są dostępne dodatkowe aktualizacje zabezpieczeń (ESU). Zobacz Często zadawane pytania dotyczące cyklu życia — dodatkowe aktualizacje zabezpieczeń, aby uzyskać listę produktów oferujących aktualizacje ESU.
Zmień datę |
Zmień opis |
1 sierpnia 2024 r. |
|
5 sierpnia 2024 r. |
|
6 sierpnia 2024 r. |
|
Treść
Podsumowanie
Aktualizacje systemu Windows z dnia 9 lipca 2024 r. i później usuwają lukę w zabezpieczeniach protokołu RADIUS (Remote Authentication Dial-In User Service) związaną z problemami z kolizjami MD5 . Ze względu na słabe testy integralności w usłudze MD5 osoba atakująca może naruszyć pakiety w celu uzyskania nieautoryzowanego dostępu. Luka MD5 powoduje, że ruch RADIUS oparty na protokole User Datagram (UDP) przez Internet jest niezgodny z fałszowaniem pakietów lub modyfikacją podczas przesyłania.
Aby uzyskać więcej informacji na temat tej luki, zobacz CVE-2024-3596 oraz oficjalny dokument RADIUS I ATAKI MD5 COLLISION.
NUTA Ta luka wymaga fizycznego dostępu do sieci RADIUS i serwera zasad sieciowych. Dlatego klienci, którzy zabezpieczyli sieci RADIUS, nie są podatni na zagrożenia. Ponadto luka nie ma zastosowania, gdy komunikacja RADIUS odbywa się za pośrednictwem sieci VPN.
Podejmij działanie
Aby pomóc w ochronie środowiska, zalecamy włączenie następujących konfiguracji. Aby uzyskać więcej informacji, zobacz sekcję Konfiguracje .
|
Zdarzenia dodane przez tę aktualizację
Aby uzyskać więcej informacji, zobacz sekcję Konfiguracje .
Uwaga Te identyfikatory zdarzeń są dodawane do serwera NPS przez aktualizacje systemu Windows z dnia 9 lipca 2024 r. lub później.
Pakiet Żądanie dostępu został porzucony, ponieważ zawierał atrybut województwo proxy , ale nie miał atrybutu Message-Authenticator . Rozważ zmianę klienta USŁUGI RADIUS, aby uwzględnić atrybut Message-Authenticator . Ewentualnie dodaj wyjątek dla klienta RADIUS przy użyciu konfiguracji limitProxyState .
Dziennik zdarzeń |
System |
Typ zdarzenia |
Błąd |
Źródło zdarzenia |
NPS |
Identyfikator zdarzenia |
4418 |
Tekst zdarzenia |
Wiadomość Access-Request została odebrana od klienta USŁUGI RADIUS <>adresu IP/nazwy zawierającej atrybut Proxy-State, ale nie zawierała atrybutu Message-Authenticator. W rezultacie żądanie zostało odrzucone. Atrybut Message-Authenticator jest obowiązkowy ze względów bezpieczeństwa. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. |
Jest to zdarzenie inspekcji pakietów żądań programu Access bez atrybutu Message-Authenticator w obecności stanu serwera proxy. Rozważ zmianę klienta USŁUGI RADIUS, aby uwzględnić atrybut Message-Authenticator . Pakiet RADIUS zostanie upuszczony po włączeniu konfiguracji limitproxystate .
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
NPS |
Identyfikator zdarzenia |
4419 |
Tekst zdarzenia |
Wiadomość Access-Request została odebrana od klienta USŁUGI RADIUS <>adresu IP/nazwy zawierającej atrybut Proxy-State, ale nie zawierała atrybutu Message-Authenticator. Żądanie jest obecnie dozwolone, ponieważ limitProxyState jest skonfigurowany w trybie inspekcji. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. |
Jest to zdarzenie inspekcji dla pakietów odpowiedzi USŁUGI RADIUS odebranych bez atrybutu Message-Authenticator w serwerze proxy. Rozważ zmianę określonego serwera RADIUS dla atrybutu Message-Authenticator . Pakiet RADIUS zostanie upuszczony po włączeniu konfiguracji typu requiremsgauth .
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
NPS |
Identyfikator zdarzenia |
4420 |
Tekst zdarzenia |
Serwer proxy USŁUGI RADIUS otrzymał odpowiedź od serwera <>ip/name z brakującym atrybutem Message-Authenticator. Odpowiedź jest obecnie dozwolona, ponieważ wymaganieMsgAuth jest skonfigurowane w trybie inspekcji. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. |
To zdarzenie jest rejestrowane podczas uruchamiania usługi, gdy zalecane ustawienia nie są skonfigurowane. Rozważ włączenie ustawień, jeśli sieć RADIUS jest niezabezpieczająca. W przypadku bezpiecznych sieci można zignorować te zdarzenia.
Dziennik zdarzeń |
System |
Typ zdarzenia |
Ostrzeżenie |
Źródło zdarzenia |
NPS |
Identyfikator zdarzenia |
4421 |
Tekst zdarzenia |
RequireMsgAuth and/lub limitProxyState configuration is in <Disable/Audit> mode. Te ustawienia należy skonfigurować w trybie włączania ze względów bezpieczeństwa. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. |
Konfiguracji
Ta konfiguracja umożliwia serwerowi proxy NPS rozpoczęcie wysyłania atrybutu Message-Authenticator we wszystkich pakietach żądania dostępu . Aby włączyć tę konfigurację, użyj jednej z następujących metod.
Metoda 1. Korzystanie z programu NPS Microsoft Management Console (MMC)
Aby użyć programu NPS MMC, wykonaj następujące czynności:
-
Otwórz interfejs użytkownika nps na serwerze.
-
Otwórz zdalne grupy serwera radius.
-
Wybierz pozycję Promień serwer.
-
Przejdź do pozycji Uwierzytelnianie/księgowość.
-
Kliknij, aby zaznaczyć pole wyboru Żądanie musi zawierać atrybut Message-Authenticator .
Metoda 2. Używanie polecenia netsh
Aby użyć programu netsh, uruchom następujące polecenie:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Aby uzyskać więcej informacji, zobacz Zdalne polecenia grupy programu RADIUS Server.
Ta konfiguracja wymaga atrybutu Message-Authenticator we wszystkich pakietach żądania dostępu i upuszczenia pakietu, jeśli jest nieobecny.
Metoda 1. Korzystanie z programu NPS Microsoft Management Console (MMC)
Aby użyć programu NPS MMC, wykonaj następujące czynności:
-
Otwórz interfejs użytkownika nps na serwerze.
-
Otwórz okno Klienci usługi Radius.
-
Wybierz pozycję Klient promień.
-
Przejdź do pozycji Zaawansowane ustawienia.
-
Kliknij, aby zaznaczyć pole wyboru Wiadomości żądania dostępu muszą zawierać atrybut message-authenticator .
Aby uzyskać więcej informacji, zobacz Konfigurowanie klientów usługi RADIUS.
Metoda 2. Używanie polecenia netsh
Aby użyć programu netsh, uruchom następujące polecenie:
netsh nps set client name = <client name> requireauthattrib = yes
Aby uzyskać więcej informacji, zobacz Zdalne polecenia grupy programu RADIUS Server.
Ta konfiguracja umożliwia serwerowi NPS upuszczanie potencjalnie wrażliwych pakietów żądań dostępu , które zawierają atrybut proxy-State , ale nie zawierają atrybutu Message-Authenticator . Ta konfiguracja obsługuje trzy tryby:
-
Inspekcja
-
Włącz
-
Wyłącz
W trybie inspekcji rejestrowane jest zdarzenie ostrzegawcze (Identyfikator zdarzenia: 4419), ale żądanie jest nadal przetwarzane. Użyj tego trybu, aby zidentyfikować niezgodne jednostki wysyłające żądania.
Użyj polecenia netsh , aby skonfigurować, włączyć i dodać wyjątek stosownie do potrzeb.
-
Aby skonfigurować klientów w trybie inspekcji , uruchom następujące polecenie:
netsh nps set limitproxystate all = "audit"
-
Aby skonfigurować klientów w trybie włączania , uruchom następujące polecenie:
netsh nps set limitproxystate all = "enable"
-
Aby dodać wyjątek w celu wykluczenia klienta z limitProxystate validation, uruchom następujące polecenie:
netsh nps set limitproxystate name = <nazwa klienta> wyjątek = "Tak"
Ta konfiguracja umożliwia serwerowi proxy NPS usuwanie potencjalnie wrażliwych wiadomości odpowiedzi bez atrybutu Message-Authenticator . Ta konfiguracja obsługuje trzy tryby:
-
Inspekcja
-
Włącz
-
Wyłącz
W trybie inspekcji rejestrowane jest zdarzenie ostrzegawcze (Identyfikator zdarzenia: 4420), ale żądanie jest nadal przetwarzane. Użyj tego trybu, aby zidentyfikować niezgodne jednostki wysyłające odpowiedzi.
Użyj polecenia netsh, aby skonfigurować, włączyć i dodać wyjątek stosownie do potrzeb.
-
Aby skonfigurować serwery w trybie inspekcji, uruchom następujące polecenie:
netsh nps set #x1all = "audit"
-
Aby włączyć konfiguracje dla wszystkich serwerów, uruchom następujące polecenie:
netsh nps set requiremsgauth all = "enable"
-
Aby dodać wyjątek w celu wykluczenia serwera ze sprawdzania poprawności requireauthmsg, uruchom następujące polecenie:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Często zadawane pytania
Sprawdź zdarzenia modułu NPS pod kątem powiązanych zdarzeń. Rozważ dodanie wyjątków lub dostosowań konfiguracji dla klientów/serwerów, których dotyczy problem.
Nie, konfiguracje omówione w tym artykule są zalecane dla sieci niezabezpieczonych.
Informacje pomocnicze
Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Produkty innych firm omówione w tym artykule są produkowane przez wytwórców niezależnych od Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych ani innych, co do wydajności i niezawodności tych produktów.
Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.