Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Important Anumite versiuni de Microsoft Windows au ajuns la data de sfârșit al perioadei de asistență. Rețineți că unele versiuni de Windows pot beneficia de asistență după cea mai recentă dată de încheiere a sistemului de operare, atunci când sunt disponibile actualizări de securitate extinse (ESU). Consultați Întrebări frecvente despre ciclul de viață - Actualizări de securitate extinse pentru o listă de produse care oferă ESU.

Modificare dată

Modificare descriere

1 august 2024

  • Modificări minore de formatare pentru lizibilitate

  • În configurația "Configurare verificarea atributului Message-Authenticator în toate pachetele De solicitare Access din client", cuvântul "mesaj" a fost utilizat în loc de "pachet"

5 august 2024

  • S-a adăugat linkul pentru Protocolul de datagramă utilizator (UDP)

  • Link adăugat pentru Network Policy Server (NPS)

6 august 2024

  • S-a actualizat secțiunea "Rezumat" pentru a indica faptul că aceste modificări sunt incluse în actualizările Windows datate la sau după 9 iulie 2024

  • S-au actualizat punctele de marcatori din secțiunea "Acțiune", pentru a indica faptul că vă recomandăm să activați opțiunile. Aceste opțiuni sunt dezactivate în mod implicit.

  • Am adăugat o notă la secțiunea "Evenimente adăugate de această actualizare" pentru a indica faptul că ID-urile de eveniment sunt adăugate la serverul NPS de actualizările Windows datate pe sau după 9 iulie 2024

Conținut

Rezumat

Actualizările Windows datate la sau după 9 iulie 2024 abordează o vulnerabilitate de securitate din protocolul Remote Authentication Dial-In User Service (RADIUS) legat de problemele de coliziune MD5 . Din cauza verificărilor de integritate slabe din MD5, un atacator poate interoga pachetele pentru a obține acces neautorizat. Vulnerabilitatea MD5 face ca traficul RADIUS bazat pe UDP (User Datagram Protocol) prin internet să nu fiesecure în raport cu falsificarea sau modificarea pachetelor în timpul tranzitului. 

Pentru mai multe informații despre această vulnerabilitate, consultați CVE-2024-3596 și rază de acoperire albă și ATACURI DE COLIZIUNE MD5.

NOTĂ Această vulnerabilitate necesită acces fizic la rețeaua RADIUS și la serverul de politici de rețea (NPS). Prin urmare, clienții care au securizat rețele RADIUS nu sunt vulnerabili. În plus, vulnerabilitatea nu se aplică atunci când are loc comunicarea RADIUS prin VPN. 

Luați măsuri

Pentru a contribui la protejarea mediului, vă recomandăm să activați următoarele configurații. Pentru mai multe informații, consultați secțiunea Configurații .

  • Setați atributul Message-Authenticator în pachetele Access-Request . Asigurați-vă că toate pachetele Access-Request includ atributul Message-Authenticator . În mod implicit, opțiunea de a seta atributul Message-Authenticator este dezactivată. Vă recomandăm să activați această opțiune.

  • Verificați atributul Message-Authenticator în pachetele Access-Request . Luați în considerare impunerea validării atributului Message-Authenticator în pachetele Access-Request . Pachetele Access-Request fără acest atribut nu vor fi procesate. În mod implicit, mesajele de solicitare Access trebuie să conțină opțiunea atribut message-authenticator este dezactivată. Vă recomandăm să activați această opțiune.

  • Verificați atributul Message-Authenticator în pachetele Access-Request dacă atributul Proxy-State este prezent. Opțional, activați opțiunea limitProxyState dacă impunerea validării atributului Message-Authenticator pentru fiecare pachet De solicitare Access nu poate fi efectuată. limitProxyState impune eliminarea pachetelor De solicitare acces care conțin atributul Proxy-state fără atributul Message-Authenticator . În mod implicit, opțiunea limitproxystate este dezactivată . Vă recomandăm să activați această opțiune.

  • Verificați atributul Message-Authenticator în pachetele de răspuns RADIUS: Access-Accept, Access-Reject și Access-Challenge. Activați opțiunea requireMsgAuth pentru a impune eliminarea pachetelor de răspuns RADIUS de la servere la distanță fără atributul Message-Authenticator . În mod implicit, opțiunea requiremsgauth este dezactivată. Vă recomandăm să activați această opțiune.

Evenimente adăugate de această actualizare

Pentru mai multe informații, consultați secțiunea Configurații .

Notă Aceste ID-uri de eveniment sunt adăugate la serverul NPS prin actualizările Windows datate pe sau după 9 iulie 2024.

Pachetul Solicitare-Acces a fost abandonat, deoarece conținea atributul Proxy-State , dar nu avea atributul Message-Authenticator . Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Sau, alternativ, adăugați o excepție pentru clientul RADIUS utilizând configurația limitProxyState .

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa evenimentului

NPS

ID eveniment

4418

Text eveniment

S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Prin urmare, solicitarea a fost eliminată. Atributul Message-Authenticator este obligatoriu din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. 

Acesta este un eveniment de auditare pentru pachetele Solicitare-Access fără atributul Message-Authenticator în prezența proxy-state. Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce este activată configurația limitproxystate .

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4419

Text eveniment

S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Solicitarea este permisă în prezent, deoarece limitProxyState este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. 

Acesta este un eveniment de auditare pentru pachetele de răspuns RADIUS primite fără atributul Message-Authenticator la proxy. Luați în considerare modificarea serverului RADIUS specificat pentru atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce configurația requiremsgauth este activată.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4420

Text eveniment

Proxy-ul RADIUS a primit un răspuns de la server<ip/name> cu un atribut Message-Authenticator lipsă. Răspunsul este permis în prezent, deoarece requireMsgAuth este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe.

Acest eveniment este înregistrat în timpul pornirii serviciului atunci când setările recomandate nu sunt configurate. Luați în considerare activarea setărilor dacă rețeaua RADIUS este nesecurizată. Pentru rețelele securizate, aceste evenimente pot fi ignorate.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4421

Text eveniment

RequireMsgAuth și/sau limitProxyState se află în modul<dezactivare/auditare> . Aceste setări ar trebui să fie configurate în modul Activare din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe.

Configuraţii

Această configurație permite proxy-ului NPS să înceapă trimiterea atributului Message-Authenticator în toate pachetele Access-Request . Pentru a activa această configurație, utilizați una dintre următoarele metode.

Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)

Pentru a utiliza NPS MMC, urmați acești pași:

  1. Deschideți interfața utilizator NPS (UI) pe server.

  2. Deschideți grupurile Radius Server la distanță.

  3. Selectați Radius Server.

  4. Accesați Autentificare/Contabilitate.

  5. Faceți clic pentru a bifa caseta de selectare Solicitarea trebuie să conțină caseta de selectare a atributului Message-Authenticator .

Metoda 2: Utilizați comanda netsh

Pentru a utiliza netsh, rulați următoarea comandă:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.

Această configurație necesită atributul Message-Authenticator în toate pachetele Access-Request și elimină pachetul dacă este absent.

Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)

Pentru a utiliza NPS MMC, urmați acești pași:

  1. Deschideți interfața utilizator NPS (UI) pe server.

  2. Deschideți clienții Radius.

  3. Selectați Client rază.

  4. Accesați Setări avansate.

  5. Faceți clic pentru a bifa caseta de selectare Mesajele de solicitare Access trebuie să conțină caseta de selectare atribut message-authenticator .

Pentru mai multe informații, consultați Configurarea clienților RADIUS.

Metoda 2: Utilizați comanda netsh

Pentru a utiliza netsh, rulați următoarea comandă:

netsh nps set client name = <client name> requireauthattrib = yes

Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.

Această configurație permite serverului NPS să renunțe la pachetele potențial vulnerabile Access-Request care conțin un atribut Proxy-State , dar nu includ un atribut Message-Authenticator . Această configurație acceptă trei moduri:

  • Auditarea

  • Activare

  • Dezactivare

În modul Auditare , un eveniment de avertisment (ID eveniment: 4419) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit solicitările.

Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.

  1. Pentru a configura clienții în modul Auditare , rulați următoarea comandă:

    netsh nps set limitproxystate all = "audit"

  2. Pentru a configura clienții în modul Activare , rulați următoarea comandă:

    netsh nps set limitproxystate all = "enable" 

  3. Pentru a adăuga o excepție pentru a exclude un client din validarea limitProxystate , rulați următoarea comandă:

    netsh nps set limitproxystate name = <numele clientului> excepție = "Da" 

Această configurație permite proxy-ului NPS să renunțe la mesajele de răspuns potențial vulnerabile fără atributul Message-Authenticator . Această configurație acceptă trei moduri:

  • Auditarea

  • Activare

  • Dezactivare

În modul Auditare, un eveniment de avertizare (ID eveniment: 4420) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit răspunsurile.

Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.

  1. Pentru a configura serverele în modul auditare, rulați următoarea comandă:

    netsh nps set requiremsgauthall = "audit"

  2. Pentru a activa configurațiile pentru toate serverele, rulați următoarea comandă:

    netsh nps set requiremsgauth all = "enable"

  3. Pentru a adăuga o excepție pentru a exclude un server de la validarea requireauthmsg, rulați următoarea comandă:

    netsh nps set requiremsgauth remoteservergroup = <nume grup server la distanță> adresă = <adresă server> excepție = "da"

Întrebări frecvente

Verificați evenimentele modulului NPS pentru evenimente asociate. Luați în considerare adăugarea de excepții sau ajustări de configurație pentru clienții/serverele afectate.

Nu, configurațiile discutate în acest articol sunt recomandate pentru rețelele nesecurizată. 

Referințe

Descrierea terminologiei standard care este utilizată pentru a descrie actualizările de software Microsoft

Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.