Important Anumite versiuni de Microsoft Windows au ajuns la data de sfârșit al perioadei de asistență. Rețineți că unele versiuni de Windows pot beneficia de asistență după cea mai recentă dată de încheiere a sistemului de operare, atunci când sunt disponibile actualizări de securitate extinse (ESU). Consultați Întrebări frecvente despre ciclul de viață - Actualizări de securitate extinse pentru o listă de produse care oferă ESU.
Modificare dată |
Modificare descriere |
1 august 2024 |
|
5 august 2024 |
|
6 august 2024 |
|
Conținut
Rezumat
Actualizările Windows datate la sau după 9 iulie 2024 abordează o vulnerabilitate de securitate din protocolul Remote Authentication Dial-In User Service (RADIUS) legat de problemele de coliziune MD5 . Din cauza verificărilor de integritate slabe din MD5, un atacator poate interoga pachetele pentru a obține acces neautorizat. Vulnerabilitatea MD5 face ca traficul RADIUS bazat pe UDP (User Datagram Protocol) prin internet să nu fiesecure în raport cu falsificarea sau modificarea pachetelor în timpul tranzitului.
Pentru mai multe informații despre această vulnerabilitate, consultați CVE-2024-3596 și rază de acoperire albă și ATACURI DE COLIZIUNE MD5.
NOTĂ Această vulnerabilitate necesită acces fizic la rețeaua RADIUS și la serverul de politici de rețea (NPS). Prin urmare, clienții care au securizat rețele RADIUS nu sunt vulnerabili. În plus, vulnerabilitatea nu se aplică atunci când are loc comunicarea RADIUS prin VPN.
Luați măsuri
Pentru a contribui la protejarea mediului, vă recomandăm să activați următoarele configurații. Pentru mai multe informații, consultați secțiunea Configurații .
|
Evenimente adăugate de această actualizare
Pentru mai multe informații, consultați secțiunea Configurații .
Notă Aceste ID-uri de eveniment sunt adăugate la serverul NPS prin actualizările Windows datate pe sau după 9 iulie 2024.
Pachetul Solicitare-Acces a fost abandonat, deoarece conținea atributul Proxy-State , dar nu avea atributul Message-Authenticator . Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Sau, alternativ, adăugați o excepție pentru clientul RADIUS utilizând configurația limitProxyState .
Jurnal de evenimente |
Sistem |
Tip eveniment |
Eroare |
Sursa evenimentului |
NPS |
ID eveniment |
4418 |
Text eveniment |
S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Prin urmare, solicitarea a fost eliminată. Atributul Message-Authenticator este obligatoriu din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. |
Acesta este un eveniment de auditare pentru pachetele Solicitare-Access fără atributul Message-Authenticator în prezența proxy-state. Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce este activată configurația limitproxystate .
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment |
Sursa evenimentului |
NPS |
ID eveniment |
4419 |
Text eveniment |
S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Solicitarea este permisă în prezent, deoarece limitProxyState este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. |
Acesta este un eveniment de auditare pentru pachetele de răspuns RADIUS primite fără atributul Message-Authenticator la proxy. Luați în considerare modificarea serverului RADIUS specificat pentru atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce configurația requiremsgauth este activată.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment |
Sursa evenimentului |
NPS |
ID eveniment |
4420 |
Text eveniment |
Proxy-ul RADIUS a primit un răspuns de la server<ip/name> cu un atribut Message-Authenticator lipsă. Răspunsul este permis în prezent, deoarece requireMsgAuth este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. |
Acest eveniment este înregistrat în timpul pornirii serviciului atunci când setările recomandate nu sunt configurate. Luați în considerare activarea setărilor dacă rețeaua RADIUS este nesecurizată. Pentru rețelele securizate, aceste evenimente pot fi ignorate.
Jurnal de evenimente |
Sistem |
Tip eveniment |
Avertisment |
Sursa evenimentului |
NPS |
ID eveniment |
4421 |
Text eveniment |
RequireMsgAuth și/sau limitProxyState se află în modul<dezactivare/auditare> . Aceste setări ar trebui să fie configurate în modul Activare din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. |
Configuraţii
Această configurație permite proxy-ului NPS să înceapă trimiterea atributului Message-Authenticator în toate pachetele Access-Request . Pentru a activa această configurație, utilizați una dintre următoarele metode.
Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)
Pentru a utiliza NPS MMC, urmați acești pași:
-
Deschideți interfața utilizator NPS (UI) pe server.
-
Deschideți grupurile Radius Server la distanță.
-
Selectați Radius Server.
-
Accesați Autentificare/Contabilitate.
-
Faceți clic pentru a bifa caseta de selectare Solicitarea trebuie să conțină caseta de selectare a atributului Message-Authenticator .
Metoda 2: Utilizați comanda netsh
Pentru a utiliza netsh, rulați următoarea comandă:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.
Această configurație necesită atributul Message-Authenticator în toate pachetele Access-Request și elimină pachetul dacă este absent.
Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)
Pentru a utiliza NPS MMC, urmați acești pași:
-
Deschideți interfața utilizator NPS (UI) pe server.
-
Deschideți clienții Radius.
-
Selectați Client rază.
-
Accesați Setări avansate.
-
Faceți clic pentru a bifa caseta de selectare Mesajele de solicitare Access trebuie să conțină caseta de selectare atribut message-authenticator .
Pentru mai multe informații, consultați Configurarea clienților RADIUS.
Metoda 2: Utilizați comanda netsh
Pentru a utiliza netsh, rulați următoarea comandă:
netsh nps set client name = <client name> requireauthattrib = yes
Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.
Această configurație permite serverului NPS să renunțe la pachetele potențial vulnerabile Access-Request care conțin un atribut Proxy-State , dar nu includ un atribut Message-Authenticator . Această configurație acceptă trei moduri:
-
Auditarea
-
Activare
-
Dezactivare
În modul Auditare , un eveniment de avertisment (ID eveniment: 4419) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit solicitările.
Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.
-
Pentru a configura clienții în modul Auditare , rulați următoarea comandă:
netsh nps set limitproxystate all = "audit"
-
Pentru a configura clienții în modul Activare , rulați următoarea comandă:
netsh nps set limitproxystate all = "enable"
-
Pentru a adăuga o excepție pentru a exclude un client din validarea limitProxystate , rulați următoarea comandă:
netsh nps set limitproxystate name = <numele clientului> excepție = "Da"
Această configurație permite proxy-ului NPS să renunțe la mesajele de răspuns potențial vulnerabile fără atributul Message-Authenticator . Această configurație acceptă trei moduri:
-
Auditarea
-
Activare
-
Dezactivare
În modul Auditare, un eveniment de avertizare (ID eveniment: 4420) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit răspunsurile.
Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.
-
Pentru a configura serverele în modul auditare, rulați următoarea comandă:
netsh nps set requiremsgauthall = "audit"
-
Pentru a activa configurațiile pentru toate serverele, rulați următoarea comandă:
netsh nps set requiremsgauth all = "enable"
-
Pentru a adăuga o excepție pentru a exclude un server de la validarea requireauthmsg, rulați următoarea comandă:
netsh nps set requiremsgauth remoteservergroup = <nume grup server la distanță> adresă = <adresă server> excepție = "da"
Întrebări frecvente
Verificați evenimentele modulului NPS pentru evenimente asociate. Luați în considerare adăugarea de excepții sau ajustări de configurație pentru clienții/serverele afectate.
Nu, configurațiile discutate în acest articol sunt recomandate pentru rețelele nesecurizată.
Referințe
Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.
Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.