Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Importante Determinadas versões do Microsoft Windows chegaram ao fim do suporte. Observe que algumas versões do Windows podem ter suporte após a data de término do sistema operacional mais recente, quando as atualizações de segurança estendidas (ESUs) estiverem disponíveis. Confira Perguntas frequentes sobre o ciclo de vida - Atualizações de segurança estendidas para ver uma lista de produtos que oferecem ESUs.

Data da alteração

Alterar descrição

01º de agosto de 2024

  • Pequenas alterações de formatação para legibilidade

  • Na configuração "Configurar a verificação do atributo Message-Authenticator em todos os pacotes Access-Request no cliente", a palavra "mensagem" foi usada em vez de "pacote"

5 de agosto de 2024

  • Link adicionado Ligação para o Protocolo UDP (User Datagram Protocol)

  • Link adicionado para o Servidor de Políticas de Rede (NPS)

6 de agosto de 2024

  • A seção "Resumo" foi atualizada para indicar que essas alterações estão incluídas nas atualizações do Windows datadas em ou após 9 de julho de 2024

  • Atualizados os marcadores na seção "Executar medidas" para indicar que recomendamos ativar as opções. Essas opções estão desativadas por padrão.

  • Adicionada uma nota à seção "Eventos adicionados por essa atualização" para indicar que os IDs de evento são adicionados ao servidor NPS pelas atualizações do Windows datadas em ou após 9 de julho de 2024.

Conteúdo

Resumo

As atualizações do Windows datadas de 9 de julho de 2024 ou posteriores abordam uma vulnerabilidade de segurança no protocolo RADIUS (Remote Authentication Dial-In User Service) relacionada a problemas de colisão MD5. Devido às fracas verificações de integridade no MD5, um invasor pode adulterar os pacotes para obter acesso não autorizado. A vulnerabilidade do MD5 faz o UDP (User Datagram Protocol) baseado no tráfego RADIUS pela Internet não segura contra falsificação ou modificação de pacotes durante o trânsito. 

Para obter mais informações sobre essa vulnerabilidade, confira CVE-2024-3596 e o white paper RADIUS E ATAQUES DE COLISÃO MD5.

OBSERVAÇÃO Essa vulnerabilidade requer acesso físico à rede RADIUS e ao Servidor de Políticas de Rede (NPS). Portanto, os clientes que têm redes RADIUS protegidas não estão vulneráveis. Além disso, a vulnerabilidade não se aplica quando a comunicação RADIUS ocorre por meio de VPN. 

Tome medidas

Para ajudar a proteger seu ambiente, recomendamos habilitar as seguintes configurações. Para obter mais informações, confira a seção Configurações.

  • Defina o atributo Message-Authenticator em pacotes Access-Request. Verifique se todos os pacotes Access-Request incluem o atributo Message-Authenticator. Por padrão, a opção para definir o atributo Message-Authenticator está desativada. Recomendamos ativar essa opção.

  • Verifique o atributo Message-Authenticator em pacotes Access-Request. Considere impor a validação do atributo Message-Authenticator em pacotes Access-Request. Pacotes Access-Request sem esse atributo não serão processados. Por padrão, as mensagens Access-Request devem conter o atributo message-authenticator a opção está desativada. Recomendamos ativar essa opção.

  • Verifique o atributo Message-Authenticator em pacotes Access-Request se o atributo Proxy-State estiver presente. Opcionalmente, habilite a opção limitProxyState se não for possível executar a validação do atributo Message-Authenticator em cada pacote Access-Request. limitProxyState impõe a eliminação de pacotes Access-Request contendo o atributo Proxy-state sem o atributo Message-Authenticator. Por padrão, a opção limitproxystate está desativada. Recomendamos ativar esta opção.​​​​​​​

  • Verifique o atributo Message-Authenticator em pacotes de resposta RADIUS: Access-Accept, Access-Reject e Access-Challenge. Habilite a opção requireMsgAuth para forçar o descarte dos pacotes de resposta RADIUS de servidores remotos sem o atributo Message-Authenticator. Por padrão, a opção requiresgauth está desativada. Recomendamos ativar essa opção.

Eventos adicionados por essa atualização

Para obter mais informações, confira a seção Configurações.

Observação Essas IDs de evento são adicionadas ao servidor NPS pelas atualizações do Windows datadas de 9 de julho de 2024 ou após.

O pacote Access-Request foi descartado porque continha o atributo Proxy-State, mas não tinha o atributo Message-Authenticator. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. Ou, como alternativa, adicione uma exceção para o cliente RADIUS usando a configuração limitProxyState.

Log de eventos

Sistema

Tipo de evento

Erro

Origem do evento

Servidor

ID de Evento

4418

Texto do evento

Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. Como resultado, a solicitação foi descartada. O atributo Message-Authenticator é obrigatório para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais. 

Esse é um evento de auditoria para pacotes Access-Request sem o atributo Message-Authenticator na presença de Proxy-State. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração limitproxystate estiver habilitada.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4419

Texto do evento

Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. A solicitação é permitida no momento, pois o limitProxyState está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais. 

Esse é um evento de Auditoria para pacotes de resposta RADIUS recebidos sem o atributo Message-Authenticator no proxy. Considere alterar o servidor RADIUS especificado para o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração requiremsgauth estiver habilitada.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4420

Texto do evento

O Proxy RADIUS recebeu uma resposta do servidor <ip/name> com um atributo de Message-Authenticator ausente. Atualmente, a resposta é permitida, pois o requireMsgAuth está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais.

Esse evento é registrado durante o início do serviço quando as configurações recomendadas não estão definidas. Considere habilitar as configurações se a rede RADIUS não for segura. Para redes seguras, esses eventos podem ser ignorados.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4421

Texto do evento

A configuração de RequireMsgAuth e/ou limitProxyState está no modo <Disable/Audit>. Essas configurações devem ser definidas no modo Habilitar para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais.

Configurações

Essa configuração permite que o Proxy NPS comece a enviar o atributo Message-Authenticator em todos os pacotes Access-Request. Para habilitar essa configuração, use um dos métodos a seguir.

Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS

Para usar o MMC do NPS, siga estas etapas:

  1. Abra a interface do usuário do NPS no servidor.

  2. Abra os Grupos de Servidores Radius remotos.

  3. Selecione Servidor Radius.

  4. Vá para Autenticação/Contabilidade.

  5. Clique para marcar a caixa de seleção A solicitação deve conter o atributo Message-Authenticator.

Método 2: usar o comando netsh

Para usar netsh, execute o seguinte comando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.

Essa configuração requer o atributo Message-Authenticator em todas as mensagens Access-Request e remove o pacote se ele estiver ausente.

Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS

Para usar o MMC do NPS, siga estas etapas:

  1. Abra a interface do usuário do NPS no servidor.

  2. Abra Clientes Radius.

  3. Selecione Cliente Radius.

  4. Vá para Configurações Avançadas.

  5. Clique para marcar a caixa de seleção As mensagens de Access-Request devem conter o atributo Message-Authenticator.

Para obter mais informações, confira Configurar clientes RADIUS.

Método 2: usar o comando netsh

Para usar netsh, execute o seguinte comando:

netsh nps set client name = <client name> requireauthattrib = yes

Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.

Essa configuração permite que o servidor NPS descarte pacotes Access-Request potencialmente vulneráveis que contenham um atributo Proxy-State, mas não incluam um atributo Message-Authenticator. Essa configuração dá suporte a três modos:

  • Auditoria

  • Enable

  • Desabilitar

No modo Auditoria, um evento de aviso (ID do evento: 4419) é registrado, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as solicitações.

Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.

  1. Para configurar clientes no modo Auditoria, execute o seguinte comando:

    netsh nps set limitproxystate all = "audit"

  2. Para configurar clientes no modo Habilitar, execute o seguinte comando:

    netsh nps set limitproxystate all = "enable" 

  3. Para adicionar uma exceção para excluir um cliente da validação limitProxystate, execute o seguinte comando:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Essa configuração permite que o Proxy NPS descarte mensagens de resposta potencialmente vulneráveis sem o atributo Message-Authenticator. Essa configuração dá suporte a três modos:

  • Auditoria

  • Enable

  • Desabilitar

No modo Auditoria, um evento de aviso (ID do evento: 4420) é registrado em log, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as respostas.

Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.

  1. Para configurar servidores no modo Auditoria, execute o seguinte comando:

    netsh nps set requiremsgauth all = "audit"

  2. Para habilitar as configurações para todos os servidores, execute o seguinte comando:

    netsh nps definir requisitos gauth todos = "enable"

  3. Para adicionar uma exceção para excluir um servidor da validação requireauthmsg, execute o seguinte comando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Perguntas frequentes

Verifique os eventos do módulo NPS para ver eventos relacionados. Considere adicionar exceções ou ajustes de configuração para clientes/servidores afetados.

Não, as configurações discutidas neste artigo são recomendadas para redes não seguras. 

Referências

Descrição da terminologia padrão usada para descrever atualizações de software da Microsoft

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.