Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Importante Algumas versões do Microsoft Windows chegaram ao fim do suporte. Tenha em atenção que algumas versões do Windows podem ser suportadas após a data de fim do SO mais recente quando estiverem disponíveis Atualizações de Segurança Alargadas (ESUs). Veja FAQ sobre o Ciclo de Vida – Atualizações de Segurança Alargadas para obter uma lista dos produtos que oferecem ESUs.

Alterar data

Alterar descrição

1 de agosto de 2024

  • Pequenas alterações de formatação para legibilidade

  • Na configuração "Configurar a verificação do atributo Message-Authenticator em todos os pacotes Access-Request no cliente", a palavra "mensagem" foi utilizada em vez de "pacote"

5 de agosto de 2024

  • Ligação adicionada para o Protocolo UDP (User Datagram Protocol)

  • Ligação adicionada para o Servidor de Políticas de Rede (NPS)

6 de agosto de 2024

  • Atualização da secção "Resumo" para indicar que estas alterações estão incluídas nas atualizações do Windows datadas de ou depois de 9 de julho de 2024

  • Foram atualizados os pontos de marca na secção "Tomar medidas" para indicar que recomendamos ativar as opções. Estas opções estão desativadas por predefinição.

  • Foi adicionada uma nota à secção "Eventos adicionados por esta atualização" para indicar que os IDs de Eventos são adicionados ao servidor NPS pelas atualizações do Windows datadas de 9 de julho de 2024 ou depois de 9 de julho de 2024

Índice

Resumo

As atualizações do Windows datadas de 9 de julho de 2024 ou posterior resolvem uma vulnerabilidade de segurança no protocolo RADIUS (Remote Authentication Dial-In User Service) relacionado com problemas de colisão MD5 . Devido a verificações de integridade fracas no MD5, um atacante pode adulterar pacotes para obter acesso não autorizado. A vulnerabilidade MD5 torna o tráfego RADIUS baseado no Protocolo de Datagrama de Utilizador (UDP) através da Internet não seguro em relação à falsificação ou modificação de pacotes durante o trânsito. 

Para obter mais informações sobre esta vulnerabilidade, consulte CVE-2024-3596 e OS ATAQUES DE COLISÃO RADIUS E MD5 do documento técnico.

NOTA Esta vulnerabilidade requer acesso físico à rede RADIUS e ao Servidor de Políticas de Rede (NPS). Por conseguinte, os clientes que têm redes RADIUS protegidas não são vulneráveis. Além disso, a vulnerabilidade não se aplica quando a comunicação RADIUS ocorre através de VPN. 

Tomar medidas

Para ajudar a proteger o seu ambiente, recomendamos que ative as seguintes configurações. Para obter mais informações, veja a secção Configurações .

  • Defina o atributo Message-Authenticator em pacotes Access-Request . Certifique-se de que todos os pacotes Access-Request incluem o atributo Message-Authenticator . Por predefinição, a opção para definir o atributo Message-Authenticator está desativada. Recomendamos que ative esta opção.

  • Verifique o atributo Message-Authenticator nos pacotes Access-Request . Considere impor a validação do atributo Message-Authenticator nos pacotes Access-Request . Os pacotes Access-Request sem este atributo não serão processados. Por predefinição, as mensagens Access-Request têm de conter a opção de atributo message-authenticator desativada. Recomendamos que ative esta opção.

  • Verifique o atributo Message-Authenticator nos pacotes Access-Request se o atributo Proxy-State estiver presente. Opcionalmente, ative a opção limitProxyState se não for possível efetuar a validação do atributo Message-Authenticator em cada pacote Access-Request . limitProxyState impõe a remoção de pacotes Access-Request que contêm o atributo Proxy-state sem o atributo Message-Authenticator . Por predefinição, a opção limitproxystate está desativada. Recomendamos que ative esta opção.

  • Verifique o atributo Message-Authenticator nos pacotes de resposta RADIUS: Access-Accept, Access-Reject e Access-Challenge. Ative a opção requireMsgAuth para impor a remoção dos pacotes de resposta RADIUS de servidores remotos sem o atributo Message-Authenticator . Por predefinição, a opção requiremsgauth está desativada . Recomendamos que ative esta opção.

Eventos adicionados por esta atualização

Para obter mais informações, veja a secção Configurações .

Nota Estes IDs de Eventos são adicionados ao servidor NPS pelas atualizações do Windows datadas de ou depois de 9 de julho de 2024.

O pacote Access-Request foi removido porque continha o atributo Proxy-State , mas não tinha o atributo Message-Authenticator . Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator . Em alternativa, adicione uma exceção para o cliente RADIUS com a configuração limitProxyState .

Registo de eventos

Sistema

Tipo de evento

Erro

Origem do evento

NPS

ID de Evento

4418

Texto do evento

Foi recebida uma mensagem de Access-Request do cliente RADIUS <>ip/nome com um atributo Proxy-State, mas não incluía um atributo Message-Authenticator. Como resultado, o pedido foi removido. O atributo Message-Authenticator é obrigatório para fins de segurança. Veja https://support.microsoft.com/help/5040268 para saber mais. 

Este é um evento de auditoria para pacotes Access-Request sem o atributo Message-Authenticator na presença de Proxy-State. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator . O pacote RADIUS será removido assim que a configuração limitproxystate estiver ativada.

Registo de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

NPS

ID de Evento

4419

Texto do evento

Foi recebida uma mensagem de Access-Request do cliente RADIUS <>ip/nome com um atributo Proxy-State, mas não incluía um atributo Message-Authenticator. O pedido é atualmente permitido, uma vez que limitProxyState está configurado no modo auditoria. Veja https://support.microsoft.com/help/5040268 para saber mais. 

Este é um evento de Auditoria para pacotes de resposta RADIUS recebidos sem o atributo Message-Authenticator no proxy. Considere alterar o servidor RADIUS especificado para o atributo Message-Authenticator . O pacote RADIUS será removido assim que a configuração requiremsgauth estiver ativada.

Registo de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

NPS

ID de Evento

4420

Texto do evento

O Proxy RADIUS recebeu uma resposta do servidor <>ip/nome com um atributo de Message-Authenticator em falta. A resposta é atualmente permitida, uma vez que requireMsgAuth está configurado no modo auditoria. Veja https://support.microsoft.com/help/5040268 para saber mais.

Este evento é registado durante o início do serviço quando as definições recomendadas não estão configuradas. Considere ativar as definições se a rede RADIUS não for seguras. Para redes seguras, estes eventos podem ser ignorados.

Registo de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

NPS

ID de Evento

4421

Texto do evento

A configuração RequireMsgAuth e/ou limitProxyState está no modo de<Desativar/Auditar> . Estas definições devem ser configuradas no modo Ativar para fins de segurança. Veja https://support.microsoft.com/help/5040268 para saber mais.

Configurações

Esta configuração permite que o Proxy NPS comece a enviar o atributo Message-Authenticator em todos os pacotes Access-Request . Para ativar esta configuração, utilize um dos seguintes métodos.

Método 1: Utilizar a Consola de Gestão da Microsoft (MMC) NPS

Para utilizar o MMC do NPS, siga estes passos:

  1. Abra a interface de utilizador (IU) NPS no servidor.

  2. Abra os Grupos de Servidores Radius remotos.

  3. Selecione Servidor Radius.

  4. Aceda a Autenticação/Contabilidade.

  5. Clique para selecionar a caixa de verificação O pedido tem de conter o atributo Message-Authenticator .

Método 2: utilizar o comando netsh

Para utilizar netsh, execute o seguinte comando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Para obter mais informações, veja Comandos remotos do Grupo de Servidores RADIUS.

Esta configuração requer o atributo Message-Authenticator em todos os pacotes Access-Request e remove o pacote se estiver ausente.

Método 1: Utilizar a Consola de Gestão da Microsoft (MMC) NPS

Para utilizar o MMC do NPS, siga estes passos:

  1. Abra a interface de utilizador (IU) NPS no servidor.

  2. Abra Clientes Radius.

  3. Selecione Cliente Radius.

  4. Aceda a Definições Avançadas.

  5. Clique para selecionar a caixa de verificação Access-Request messages must contain the message-authenticator attribute checkbox (As mensagens de Pedido de Acesso têm de conter a caixa de verificação do atributo message-authenticator ).

Para obter mais informações, veja Configurar Clientes RADIUS.

Método 2: Utilizar o comando netsh

Para utilizar netsh, execute o seguinte comando:

netsh nps set client name = <client name> requireauthattrib = yes

Para obter mais informações, veja Comandos remotos do Grupo de Servidores RADIUS.

Esta configuração permite ao servidor NPS remover potenciais pacotes de Pedidos de Acesso vulneráveis que contêm um atributo Proxy-State , mas não incluem um atributo Message-Authenticator . Esta configuração suporta três modos:

  • Auditoria

  • Ativar

  • Desativar

No Modo de auditoria , é registado um evento de aviso (ID do Evento: 4419), mas o pedido ainda é processado. Utilize este modo para identificar as entidades não conformes que enviam os pedidos.

Utilize o comando netsh para configurar, ativar e adicionar uma exceção conforme necessário.

  1. Para configurar clientes no Modo de auditoria , execute o seguinte comando:

    netsh nps set limitproxystate all = "audit"

  2. Para configurar clientes no modo Ativar , execute o seguinte comando:

    netsh nps set limitproxystate all = "enable" 

  3. Para adicionar uma exceção para excluir um cliente da validação limitProxystate , execute o seguinte comando:

    netsh nps set limitproxystate name = <nome do cliente> exceção = "Sim" 

Esta configuração permite que o Proxy NPS remova mensagens de resposta potencialmente vulneráveis sem o atributo Message-Authenticator . Esta configuração suporta três modos:

  • Auditoria

  • Ativar

  • Desativar

No Modo de auditoria, é registado um evento de aviso (ID do Evento: 4420), mas o pedido ainda é processado. Utilize este modo para identificar as entidades não conformes que enviam as respostas.

Utilize o comando netsh para configurar, ativar e adicionar uma exceção conforme necessário.

  1. Para configurar servidores no Modo de auditoria, execute o seguinte comando:

    netsh nps set #x1 requiremsgauth

  2. Para ativar as configurações para todos os servidores, execute o seguinte comando:

    netsh nps set requiremsgauth all = "enable"

  3. Para adicionar uma exceção para excluir um servidor da validação requireauthmsg, execute o seguinte comando:

    netsh nps set requiremsgauth remoteservergroup = <nome de grupo de servidor remoto> endereço = <endereço do servidor> exceção = "sim"

Perguntas mais frequentes

Verifique os eventos do módulo NPS para ver eventos relacionados. Considere adicionar exceções ou ajustes de configuração para clientes/servidores afetados.

Não, as configurações abordadas neste artigo são recomendadas para redes não protegidas. 

Referências

Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft

Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.

Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.