Importante Algumas versões do Microsoft Windows chegaram ao fim do suporte. Tenha em atenção que algumas versões do Windows podem ser suportadas após a data de fim do SO mais recente quando estiverem disponíveis Atualizações de Segurança Alargadas (ESUs). Veja FAQ sobre o Ciclo de Vida – Atualizações de Segurança Alargadas para obter uma lista dos produtos que oferecem ESUs.
Alterar data |
Alterar descrição |
1 de agosto de 2024 |
|
5 de agosto de 2024 |
|
6 de agosto de 2024 |
|
Índice
Resumo
As atualizações do Windows datadas de 9 de julho de 2024 ou posterior resolvem uma vulnerabilidade de segurança no protocolo RADIUS (Remote Authentication Dial-In User Service) relacionado com problemas de colisão MD5 . Devido a verificações de integridade fracas no MD5, um atacante pode adulterar pacotes para obter acesso não autorizado. A vulnerabilidade MD5 torna o tráfego RADIUS baseado no Protocolo de Datagrama de Utilizador (UDP) através da Internet não seguro em relação à falsificação ou modificação de pacotes durante o trânsito.
Para obter mais informações sobre esta vulnerabilidade, consulte CVE-2024-3596 e OS ATAQUES DE COLISÃO RADIUS E MD5 do documento técnico.
NOTA Esta vulnerabilidade requer acesso físico à rede RADIUS e ao Servidor de Políticas de Rede (NPS). Por conseguinte, os clientes que têm redes RADIUS protegidas não são vulneráveis. Além disso, a vulnerabilidade não se aplica quando a comunicação RADIUS ocorre através de VPN.
Tomar medidas
Para ajudar a proteger o seu ambiente, recomendamos que ative as seguintes configurações. Para obter mais informações, veja a secção Configurações .
|
Eventos adicionados por esta atualização
Para obter mais informações, veja a secção Configurações .
Nota Estes IDs de Eventos são adicionados ao servidor NPS pelas atualizações do Windows datadas de ou depois de 9 de julho de 2024.
O pacote Access-Request foi removido porque continha o atributo Proxy-State , mas não tinha o atributo Message-Authenticator . Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator . Em alternativa, adicione uma exceção para o cliente RADIUS com a configuração limitProxyState .
Registo de eventos |
Sistema |
Tipo de evento |
Erro |
Origem do evento |
NPS |
ID de Evento |
4418 |
Texto do evento |
Foi recebida uma mensagem de Access-Request do cliente RADIUS <>ip/nome com um atributo Proxy-State, mas não incluía um atributo Message-Authenticator. Como resultado, o pedido foi removido. O atributo Message-Authenticator é obrigatório para fins de segurança. Veja https://support.microsoft.com/help/5040268 para saber mais. |
Este é um evento de auditoria para pacotes Access-Request sem o atributo Message-Authenticator na presença de Proxy-State. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator . O pacote RADIUS será removido assim que a configuração limitproxystate estiver ativada.
Registo de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
NPS |
ID de Evento |
4419 |
Texto do evento |
Foi recebida uma mensagem de Access-Request do cliente RADIUS <>ip/nome com um atributo Proxy-State, mas não incluía um atributo Message-Authenticator. O pedido é atualmente permitido, uma vez que limitProxyState está configurado no modo auditoria. Veja https://support.microsoft.com/help/5040268 para saber mais. |
Este é um evento de Auditoria para pacotes de resposta RADIUS recebidos sem o atributo Message-Authenticator no proxy. Considere alterar o servidor RADIUS especificado para o atributo Message-Authenticator . O pacote RADIUS será removido assim que a configuração requiremsgauth estiver ativada.
Registo de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
NPS |
ID de Evento |
4420 |
Texto do evento |
O Proxy RADIUS recebeu uma resposta do servidor <>ip/nome com um atributo de Message-Authenticator em falta. A resposta é atualmente permitida, uma vez que requireMsgAuth está configurado no modo auditoria. Veja https://support.microsoft.com/help/5040268 para saber mais. |
Este evento é registado durante o início do serviço quando as definições recomendadas não estão configuradas. Considere ativar as definições se a rede RADIUS não for seguras. Para redes seguras, estes eventos podem ser ignorados.
Registo de eventos |
Sistema |
Tipo de evento |
Aviso |
Origem do evento |
NPS |
ID de Evento |
4421 |
Texto do evento |
A configuração RequireMsgAuth e/ou limitProxyState está no modo de<Desativar/Auditar> . Estas definições devem ser configuradas no modo Ativar para fins de segurança. Veja https://support.microsoft.com/help/5040268 para saber mais. |
Configurações
Esta configuração permite que o Proxy NPS comece a enviar o atributo Message-Authenticator em todos os pacotes Access-Request . Para ativar esta configuração, utilize um dos seguintes métodos.
Método 1: Utilizar a Consola de Gestão da Microsoft (MMC) NPS
Para utilizar o MMC do NPS, siga estes passos:
-
Abra a interface de utilizador (IU) NPS no servidor.
-
Abra os Grupos de Servidores Radius remotos.
-
Selecione Servidor Radius.
-
Aceda a Autenticação/Contabilidade.
-
Clique para selecionar a caixa de verificação O pedido tem de conter o atributo Message-Authenticator .
Método 2: utilizar o comando netsh
Para utilizar netsh, execute o seguinte comando:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Para obter mais informações, veja Comandos remotos do Grupo de Servidores RADIUS.
Esta configuração requer o atributo Message-Authenticator em todos os pacotes Access-Request e remove o pacote se estiver ausente.
Método 1: Utilizar a Consola de Gestão da Microsoft (MMC) NPS
Para utilizar o MMC do NPS, siga estes passos:
-
Abra a interface de utilizador (IU) NPS no servidor.
-
Abra Clientes Radius.
-
Selecione Cliente Radius.
-
Aceda a Definições Avançadas.
-
Clique para selecionar a caixa de verificação Access-Request messages must contain the message-authenticator attribute checkbox (As mensagens de Pedido de Acesso têm de conter a caixa de verificação do atributo message-authenticator ).
Para obter mais informações, veja Configurar Clientes RADIUS.
Método 2: Utilizar o comando netsh
Para utilizar netsh, execute o seguinte comando:
netsh nps set client name = <client name> requireauthattrib = yes
Para obter mais informações, veja Comandos remotos do Grupo de Servidores RADIUS.
Esta configuração permite ao servidor NPS remover potenciais pacotes de Pedidos de Acesso vulneráveis que contêm um atributo Proxy-State , mas não incluem um atributo Message-Authenticator . Esta configuração suporta três modos:
-
Auditoria
-
Ativar
-
Desativar
No Modo de auditoria , é registado um evento de aviso (ID do Evento: 4419), mas o pedido ainda é processado. Utilize este modo para identificar as entidades não conformes que enviam os pedidos.
Utilize o comando netsh para configurar, ativar e adicionar uma exceção conforme necessário.
-
Para configurar clientes no Modo de auditoria , execute o seguinte comando:
netsh nps set limitproxystate all = "audit"
-
Para configurar clientes no modo Ativar , execute o seguinte comando:
netsh nps set limitproxystate all = "enable"
-
Para adicionar uma exceção para excluir um cliente da validação limitProxystate , execute o seguinte comando:
netsh nps set limitproxystate name = <nome do cliente> exceção = "Sim"
Esta configuração permite que o Proxy NPS remova mensagens de resposta potencialmente vulneráveis sem o atributo Message-Authenticator . Esta configuração suporta três modos:
-
Auditoria
-
Ativar
-
Desativar
No Modo de auditoria, é registado um evento de aviso (ID do Evento: 4420), mas o pedido ainda é processado. Utilize este modo para identificar as entidades não conformes que enviam as respostas.
Utilize o comando netsh para configurar, ativar e adicionar uma exceção conforme necessário.
-
Para configurar servidores no Modo de auditoria, execute o seguinte comando:
netsh nps set #x1 requiremsgauth
-
Para ativar as configurações para todos os servidores, execute o seguinte comando:
netsh nps set requiremsgauth all = "enable"
-
Para adicionar uma exceção para excluir um servidor da validação requireauthmsg, execute o seguinte comando:
netsh nps set requiremsgauth remoteservergroup = <nome de grupo de servidor remoto> endereço = <endereço do servidor> exceção = "sim"
Perguntas mais frequentes
Verifique os eventos do módulo NPS para ver eventos relacionados. Considere adicionar exceções ou ajustes de configuração para clientes/servidores afetados.
Não, as configurações abordadas neste artigo são recomendadas para redes não protegidas.
Referências
Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft
Os produtos de terceiros que este artigo aborda são fabricados por empresas que são independentes da Microsoft. Não estabelecemos qualquer garantia, implícita ou não, sobre o desempenho ou fiabilidade destes produtos.
Fornecemos informações de contacto de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. Não garantimos a exatidão destas informações de contacto de terceiros.