Ważne Niektóre wersje systemu Microsoft Windows osiągnęły koniec wsparcia technicznego. Należy pamiętać, że niektóre wersje systemu Windows mogą być obsługiwane po upływie najnowszej daty zakończenia systemu operacyjnego, gdy są dostępne dodatkowe aktualizacje zabezpieczeń (ESU). Zobacz Często zadawane pytania dotyczące cyklu życia — dodatkowe aktualizacje zabezpieczeń, aby uzyskać listę produktów oferujących aktualizacje ESU.

Zmień datę

Zmień opis

1 sierpnia 2024 r.

  • Niewielkie zmiany formatowania w celu zwiększenia czytelności

  • W "Configure verification of the Message-Authenticator attribute in all Access-Request packets on the client" configuration, the word "message" was used instead of "packet"

5 sierpnia 2024 r.

  • Dodano link do protokołu UDP (User Datagram Protocol)

  • Dodano link do serwera zasad sieciowych (NPS)

6 sierpnia 2024 r.

  • Zaktualizowano sekcję "Podsumowanie", aby wskazać, że te zmiany są uwzględniane w aktualizacjach systemu Windows z dnia 9 lipca 2024 r. lub później

  • Zaktualizowano punktory w sekcji "Podejmij działanie", aby wskazać, że zalecamy włączenie opcji. Te opcje są domyślnie wyłączone.

  • Dodano notatkę do sekcji "Zdarzenia dodane przez tę aktualizację", aby wskazać, że identyfikatory zdarzeń są dodawane do serwera NPS przez aktualizacje systemu Windows z dnia 9 lipca 2024 r. lub później

Treść

Podsumowanie

Aktualizacje systemu Windows z dnia 9 lipca 2024 r. i później usuwają lukę w zabezpieczeniach protokołu RADIUS (Remote Authentication Dial-In User Service) związaną z problemami z kolizjami MD5 . Ze względu na słabe testy integralności w usłudze MD5 osoba atakująca może naruszyć pakiety w celu uzyskania nieautoryzowanego dostępu. Luka MD5 powoduje, że ruch RADIUS oparty na protokole User Datagram (UDP) przez Internet jest niezgodny z fałszowaniem pakietów lub modyfikacją podczas przesyłania. 

Aby uzyskać więcej informacji na temat tej luki, zobacz CVE-2024-3596 oraz oficjalny dokument RADIUS I ATAKI MD5 COLLISION.

NUTA Ta luka wymaga fizycznego dostępu do sieci RADIUS i serwera zasad sieciowych. Dlatego klienci, którzy zabezpieczyli sieci RADIUS, nie są podatni na zagrożenia. Ponadto luka nie ma zastosowania, gdy komunikacja RADIUS odbywa się za pośrednictwem sieci VPN. 

Podejmij działanie

Aby pomóc w ochronie środowiska, zalecamy włączenie następujących konfiguracji. Aby uzyskać więcej informacji, zobacz sekcję Konfiguracje .

  • Ustaw atrybut Message-Authenticator w pakietach żądania dostępu . Upewnij się, że wszystkie pakiety żądania dostępu zawierają atrybut Message-Authenticator . Domyślnie opcja ustawienia atrybutu Message-Authenticator jest wyłączona. Zalecamy włączenie tej opcji.

  • Sprawdź atrybut Message-Authenticator w pakietach żądania dostępu . Rozważ wymuszanie sprawdzania poprawności atrybutu Message-Authenticator w pakietach żądania dostępu . Pakiety żądania dostępu bez tego atrybutu nie będą przetwarzane. Domyślnie wiadomości żądania dostępu muszą zawierać opcję atrybutu message-authenticator jest wyłączona. Zalecamy włączenie tej opcji.

  • Sprawdź atrybut Message-Authenticator w pakietach żądania dostępu , jeśli istnieje atrybut województwo proxy . Opcjonalnie włącz opcję limitProxyState , jeśli nie można wykonać wymuszania sprawdzania poprawności atrybutu Message-Authenticator dla każdego pakietu Access-Request . LimitProxyState wymusza usunięcie pakietów żądań dostępu zawierających atrybut stanu serwera proxy bez atrybutu Message-Authenticator . Domyślnie opcja limitproxystate jest wyłączona. Zalecamy włączenie tej opcji.

  • Sprawdź atrybut Message-Authenticator w pakietach odpowiedzi RADIUS: Access-Accept, Access-Reject i Access-Challenge. Włącz opcję requireMsgAuth (WymagajMsgAuth ), aby wymusić usunięcie pakietów odpowiedzi RADIUS z serwerów zdalnych bez atrybutu Message-Authenticator . Domyślnie opcja wymaganeusgauth jest wyłączona. Zalecamy włączenie tej opcji.

Zdarzenia dodane przez tę aktualizację

Aby uzyskać więcej informacji, zobacz sekcję Konfiguracje .

Uwaga Te identyfikatory zdarzeń są dodawane do serwera NPS przez aktualizacje systemu Windows z dnia 9 lipca 2024 r. lub później.

Pakiet Żądanie dostępu został porzucony, ponieważ zawierał atrybut województwo proxy , ale nie miał atrybutu Message-Authenticator . Rozważ zmianę klienta USŁUGI RADIUS, aby uwzględnić atrybut Message-Authenticator . Ewentualnie dodaj wyjątek dla klienta RADIUS przy użyciu konfiguracji limitProxyState .

Dziennik zdarzeń

System

Typ zdarzenia

Błąd

Źródło zdarzenia

NPS

Identyfikator zdarzenia

4418

Tekst zdarzenia

Wiadomość Access-Request została odebrana od klienta USŁUGI RADIUS <>adresu IP/nazwy zawierającej atrybut Proxy-State, ale nie zawierała atrybutu Message-Authenticator. W rezultacie żądanie zostało odrzucone. Atrybut Message-Authenticator jest obowiązkowy ze względów bezpieczeństwa. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. 

Jest to zdarzenie inspekcji pakietów żądań programu Access bez atrybutu Message-Authenticator w obecności stanu serwera proxy. Rozważ zmianę klienta USŁUGI RADIUS, aby uwzględnić atrybut Message-Authenticator . Pakiet RADIUS zostanie upuszczony po włączeniu konfiguracji limitproxystate .

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

NPS

Identyfikator zdarzenia

4419

Tekst zdarzenia

Wiadomość Access-Request została odebrana od klienta USŁUGI RADIUS <>adresu IP/nazwy zawierającej atrybut Proxy-State, ale nie zawierała atrybutu Message-Authenticator. Żądanie jest obecnie dozwolone, ponieważ limitProxyState jest skonfigurowany w trybie inspekcji. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej. 

Jest to zdarzenie inspekcji dla pakietów odpowiedzi USŁUGI RADIUS odebranych bez atrybutu Message-Authenticator w serwerze proxy. Rozważ zmianę określonego serwera RADIUS dla atrybutu Message-Authenticator . Pakiet RADIUS zostanie upuszczony po włączeniu konfiguracji typu requiremsgauth .

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

NPS

Identyfikator zdarzenia

4420

Tekst zdarzenia

Serwer proxy USŁUGI RADIUS otrzymał odpowiedź od serwera <>ip/name z brakującym atrybutem Message-Authenticator. Odpowiedź jest obecnie dozwolona, ponieważ wymaganieMsgAuth jest skonfigurowane w trybie inspekcji. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej.

To zdarzenie jest rejestrowane podczas uruchamiania usługi, gdy zalecane ustawienia nie są skonfigurowane. Rozważ włączenie ustawień, jeśli sieć RADIUS jest niezabezpieczająca. W przypadku bezpiecznych sieci można zignorować te zdarzenia.

Dziennik zdarzeń

System

Typ zdarzenia

Ostrzeżenie

Źródło zdarzenia

NPS

Identyfikator zdarzenia

4421

Tekst zdarzenia

RequireMsgAuth and/lub limitProxyState configuration is in <Disable/Audit> mode. Te ustawienia należy skonfigurować w trybie włączania ze względów bezpieczeństwa. Zobacz https://support.microsoft.com/help/5040268, aby dowiedzieć się więcej.

Konfiguracji

Ta konfiguracja umożliwia serwerowi proxy NPS rozpoczęcie wysyłania atrybutu Message-Authenticator we wszystkich pakietach żądania dostępu . Aby włączyć tę konfigurację, użyj jednej z następujących metod.

Metoda 1. Korzystanie z programu NPS Microsoft Management Console (MMC)

Aby użyć programu NPS MMC, wykonaj następujące czynności:

  1. Otwórz interfejs użytkownika nps na serwerze.

  2. Otwórz zdalne grupy serwera radius.

  3. Wybierz pozycję Promień serwer.

  4. Przejdź do pozycji Uwierzytelnianie/księgowość.

  5. Kliknij, aby zaznaczyć pole wyboru Żądanie musi zawierać atrybut Message-Authenticator .

Metoda 2. Używanie polecenia netsh

Aby użyć programu netsh, uruchom następujące polecenie:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Aby uzyskać więcej informacji, zobacz Zdalne polecenia grupy programu RADIUS Server.

Ta konfiguracja wymaga atrybutu Message-Authenticator we wszystkich pakietach żądania dostępu i upuszczenia pakietu, jeśli jest nieobecny.

Metoda 1. Korzystanie z programu NPS Microsoft Management Console (MMC)

Aby użyć programu NPS MMC, wykonaj następujące czynności:

  1. Otwórz interfejs użytkownika nps na serwerze.

  2. Otwórz okno Klienci usługi Radius.

  3. Wybierz pozycję Klient promień.

  4. Przejdź do pozycji Zaawansowane ustawienia.

  5. Kliknij, aby zaznaczyć pole wyboru Wiadomości żądania dostępu muszą zawierać atrybut message-authenticator .

Aby uzyskać więcej informacji, zobacz Konfigurowanie klientów usługi RADIUS.

Metoda 2. Używanie polecenia netsh

Aby użyć programu netsh, uruchom następujące polecenie:

netsh nps set client name = <client name> requireauthattrib = yes

Aby uzyskać więcej informacji, zobacz Zdalne polecenia grupy programu RADIUS Server.

Ta konfiguracja umożliwia serwerowi NPS upuszczanie potencjalnie wrażliwych pakietów żądań dostępu , które zawierają atrybut proxy-State , ale nie zawierają atrybutu Message-Authenticator . Ta konfiguracja obsługuje trzy tryby:

  • Inspekcja

  • Włącz

  • Wyłącz

W trybie inspekcji rejestrowane jest zdarzenie ostrzegawcze (Identyfikator zdarzenia: 4419), ale żądanie jest nadal przetwarzane. Użyj tego trybu, aby zidentyfikować niezgodne jednostki wysyłające żądania.

Użyj polecenia netsh , aby skonfigurować, włączyć i dodać wyjątek stosownie do potrzeb.

  1. Aby skonfigurować klientów w trybie inspekcji , uruchom następujące polecenie:

    netsh nps set limitproxystate all = "audit"

  2. Aby skonfigurować klientów w trybie włączania , uruchom następujące polecenie:

    netsh nps set limitproxystate all = "enable" 

  3. Aby dodać wyjątek w celu wykluczenia klienta z limitProxystate validation, uruchom następujące polecenie:

    netsh nps set limitproxystate name = <nazwa klienta> wyjątek = "Tak" 

Ta konfiguracja umożliwia serwerowi proxy NPS usuwanie potencjalnie wrażliwych wiadomości odpowiedzi bez atrybutu Message-Authenticator . Ta konfiguracja obsługuje trzy tryby:

  • Inspekcja

  • Włącz

  • Wyłącz

W trybie inspekcji rejestrowane jest zdarzenie ostrzegawcze (Identyfikator zdarzenia: 4420), ale żądanie jest nadal przetwarzane. Użyj tego trybu, aby zidentyfikować niezgodne jednostki wysyłające odpowiedzi.

Użyj polecenia netsh, aby skonfigurować, włączyć i dodać wyjątek stosownie do potrzeb.

  1. Aby skonfigurować serwery w trybie inspekcji, uruchom następujące polecenie:

    netsh nps set #x1all = "audit"

  2. Aby włączyć konfiguracje dla wszystkich serwerów, uruchom następujące polecenie:

    netsh nps set requiremsgauth all = "enable"

  3. Aby dodać wyjątek w celu wykluczenia serwera ze sprawdzania poprawności requireauthmsg, uruchom następujące polecenie:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Często zadawane pytania

Sprawdź zdarzenia modułu NPS pod kątem powiązanych zdarzeń. Rozważ dodanie wyjątków lub dostosowań konfiguracji dla klientów/serwerów, których dotyczy problem.

Nie, konfiguracje omówione w tym artykule są zalecane dla sieci niezabezpieczonych. 

Informacje pomocnicze

Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft

Produkty innych firm omówione w tym artykule są produkowane przez wytwórców niezależnych od Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych ani innych, co do wydajności i niezawodności tych produktów.

Udostępniamy informacje kontaktowe innych firm, aby pomóc w znalezieniu pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy dokładności tych informacji kontaktowych innych firm.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders