Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Важно! Поддержка некоторых версий Microsoft Windows закончилась. Обратите внимание, что некоторые версии Windows могут поддерживаться после последней даты окончания ос, когда доступны расширенные обновления для системы безопасности (ESU). Список продуктов, предлагающих ESU, см. в статье Вопросы и ответы о жизненном цикле — расширенные обновления для системы безопасности.

Дата изменения

Описание изменений

1 августа 2024 г.

  • Незначительные изменения форматирования для удобства чтения

  • В конфигурации "Настройка проверки атрибута Message-Authenticator во всех пакетах запроса доступа на клиенте" вместо "packet" использовалось слово "message"

5 августа 2024 г.

  • Добавлена ссылка для протокола пользовательской диаграммы данных (UDP)

  • Добавлена ссылка для сервера политики сети (NPS)

6 августа 2024 г.

  • Обновлен раздел "Сводка", чтобы указать, что эти изменения включены в обновления Windows, датируемые 9 июля 2024 г. или позже.

  • Обновлены маркеры в разделе "Принять меры", чтобы указать, что мы рекомендуем включить параметры. Эти параметры отключены по умолчанию.

  • Добавлено примечание к разделу "События, добавленные этим обновлением", указывающее, что идентификаторы событий добавляются на сервер NPS обновлениями Windows, датируемыми 9 июля 2024 г. или позже

Оглавление

Сводка

Обновления Windows, датируемые 9 июля 2024 г. или позже, устраняют уязвимость системы безопасности в протоколе RADIUS, связанную с проблемами конфликтов MD5 . Из-за слабых проверок целостности в MD5 злоумышленник может незаконно изменить пакеты, чтобы получить несанкционированный доступ. Уязвимость MD5 делает трафик RADIUS на основе протокола UDP через Интернет небезопасным для подделки или изменения пакетов во время передачи. 

Дополнительные сведения об этой уязвимости см. в разделах CVE-2024-3596 и технический документ RADIUS AND MD5 COLLISION ATTACKS.

ЗАМЕТКА Для этой уязвимости требуется физический доступ к сети RADIUS и серверу политики сети (NPS). Таким образом, клиенты, у которых есть защищенные сети RADIUS, не уязвимы. Кроме того, эта уязвимость не применяется при подключении RADIUS через VPN. 

Принять меры

Чтобы защитить среду, рекомендуется включить следующие конфигурации. Дополнительные сведения см. в разделе Конфигурации .

  • Задайте атрибут Message-Authenticator в пакете Access-Request . Убедитесь, что все пакеты Access-Request содержат атрибут Message-Authenticator . По умолчанию параметр для задания атрибута Message-Authenticator отключен. Рекомендуется включить этот параметр.

  • Проверьте атрибут Message-Authenticator в пакете Access-Request . Рассмотрите возможность принудительной проверки атрибута Message-Authenticator в пакетах Access-Request . Пакеты Access-Request без этого атрибута не будут обрабатываться. По умолчанию сообщения Access-Request должны содержать параметр атрибута message-authenticator отключен. Рекомендуется включить этот параметр.

  • Проверьте атрибут Message-Authenticator в пакетах Access-Request , если атрибут Proxy-State присутствует. При необходимости включите параметр limitProxyState , если невозможно выполнить проверку атрибута Message-Authenticator для каждого пакета Access-Request . limitProxyState принудительно удаляет пакеты Access-Request , содержащие атрибут Proxy-state без атрибута Message-Authenticator . По умолчанию параметр limitproxystate отключен. Рекомендуется включить этот параметр.

  • Проверьте атрибут Message-Authenticator в пакетах ответа RADIUS: Access-Accept, Access-Reject и Access-Challenge. Включите параметр requireMsgAuth , чтобы принудительно удалить пакеты ответа RADIUS с удаленных серверов без атрибута Message-Authenticator . По умолчанию параметр requiremsgauth отключен. Рекомендуется включить этот параметр.

События, добавленные этим обновлением

Дополнительные сведения см. в разделе Конфигурации .

Примечание Эти идентификаторы событий добавляются на сервер NPS обновлениями Windows, датируемыми 9 июля 2024 г. или позже.

Пакет Access-Request был удален, так как он содержал атрибут Proxy-State , но не содержал атрибута Message-Authenticator . Попробуйте изменить клиент RADIUS, чтобы включить атрибут Message-Authenticator . Кроме того, можно добавить исключение для клиента RADIUS с помощью конфигурации limitProxyState .

Журнал событий

Система

Тип события

Ошибка

Источник события

NPS

Идентификатор события

4418

Текст события

Сообщение Access-Request было получено от клиента RADIUS <ip/name> , содержащее атрибут Proxy-State, но оно не содержит атрибут Message-Authenticator. В результате запрос был удален. Атрибут Message-Authenticator является обязательным в целях безопасности. Дополнительные сведения см. в https://support.microsoft.com/help/5040268. 

Это событие аудита для пакетов Access-Request без атрибута Message-Authenticator в присутствии proxy-State. Попробуйте изменить клиент RADIUS, чтобы включить атрибут Message-Authenticator . После включения конфигурации limitproxystate пакет RADIUS будет удален.

Журнал событий

Система

Тип события

Предупреждение

Источник события

NPS

Идентификатор события

4419

Текст события

Сообщение Access-Request было получено от клиента RADIUS <ip/name> , содержащее атрибут Proxy-State, но оно не содержит атрибут Message-Authenticator. В настоящее время запрос разрешен, так как limitProxyState настроен в режиме аудита. Дополнительные сведения см. в https://support.microsoft.com/help/5040268. 

Это событие аудита для пакетов ответа RADIUS, полученных без атрибута Message-Authenticator на прокси-сервере . Рассмотрите возможность изменения указанного сервера RADIUS для атрибута Message-Authenticator . После включения конфигурации requiremsgauth пакет RADIUS будет удален.

Журнал событий

Система

Тип события

Предупреждение

Источник события

NPS

Идентификатор события

4420

Текст события

Прокси-сервер RADIUS получил ответ от сервера <ip/name> с отсутствующим атрибутом Message-Authenticator. В настоящее время ответ разрешен, так как параметр requireMsgAuth настроен в режиме аудита. Дополнительные сведения см. в https://support.microsoft.com/help/5040268.

Это событие регистрируется во время запуска службы, если рекомендуемые параметры не настроены. Рассмотрите возможность включения параметров, если сеть RADIUS небезопасна. Для защищенных сетей эти события можно игнорировать.

Журнал событий

Система

Тип события

Предупреждение

Источник события

NPS

Идентификатор события

4421

Текст события

Конфигурация RequireMsgAuth и (или) limitProxyState находится в< режиме отключения и аудита> . Эти параметры следует настроить в режиме включения в целях безопасности. Дополнительные сведения см. в https://support.microsoft.com/help/5040268.

Конфигурации

Эта конфигурация позволяет прокси-серверу NPS начать отправку атрибута Message-Authenticator во всех пакетах Access-Request . Чтобы включить эту конфигурацию, используйте один из следующих методов.

Способ 1. Использование NPS консоли управления Майкрософт (MMC)

Чтобы использовать NPS MMC, выполните следующие действия.

  1. Откройте пользовательский интерфейс NPS на сервере.

  2. Откройте удаленные группы серверов Radius.

  3. Выберите Radius Server.

  4. Перейдите в раздел Проверка подлинности и учет.

  5. Щелкните, чтобы установить флажок Запрос должен содержать атрибут Message-Authenticator .

Метод 2. Использование команды netsh

Чтобы использовать netsh, выполните следующую команду:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Дополнительные сведения см. в разделе Команды группы удаленных серверов RADIUS.

Для этой конфигурации требуется атрибут Message-Authenticator во всех пакетах Access-Request и он удаляется, если пакет отсутствует.

Способ 1. Использование NPS консоли управления Майкрософт (MMC)

Чтобы использовать NPS MMC, выполните следующие действия.

  1. Откройте пользовательский интерфейс NPS на сервере.

  2. Откройте Клиенты Radius.

  3. Выберите Клиент Radius.

  4. Перейдите в раздел Предварительные параметры.

  5. Щелкните, чтобы установить флажок Access-Request messages должен содержать атрибут message-authenticator .

Дополнительные сведения см. в разделе Настройка клиентов RADIUS.

Способ 2. Использование команды netsh

Чтобы использовать netsh, выполните следующую команду:

netsh nps set client name = <client name> requireauthattrib = yes

Дополнительные сведения см. в разделе Команды группы удаленных серверов RADIUS.

Эта конфигурация позволяет серверу NPS удалять потенциально уязвимые пакеты запросов доступа , которые содержат атрибут Proxy-State , но не включают атрибут Message-Authenticator . Эта конфигурация поддерживает три режима:

  • Аудит

  • "Включить"

  • "Отключить"

В режиме аудита регистрируется событие предупреждения (идентификатор события: 4419), но запрос по-прежнему обрабатывается. Используйте этот режим для идентификации несоответствующих сущностей, отправляющих запросы.

Используйте команду netsh для настройки, включения и добавления исключения по мере необходимости.

  1. Чтобы настроить клиенты в режиме аудита , выполните следующую команду:

    netsh nps set limitproxystate all = "audit"

  2. Чтобы настроить клиенты в режиме включения , выполните следующую команду:

    netsh nps set limitproxystate all = "enable" 

  3. Чтобы добавить исключение для исключения клиента из проверки limitProxystate , выполните следующую команду:

    netsh nps set limitproxystate name = <имя клиента> исключение = "Да" 

Эта конфигурация позволяет прокси-серверу NPS удалять потенциально уязвимые ответные сообщения без атрибута Message-Authenticator . Эта конфигурация поддерживает три режима:

  • Аудит

  • "Включить"

  • "Отключить"

В режиме аудита регистрируется предупреждающее событие (идентификатор события: 4420), но запрос по-прежнему обрабатывается. Используйте этот режим для идентификации несоответствующих сущностей, отправляющих ответы.

Используйте команду netsh для настройки, включения и добавления исключения по мере необходимости.

  1. Чтобы настроить серверы в режиме аудита, выполните следующую команду:

    netsh nps set требуетсяall = "audit"msgauth

  2. Чтобы включить конфигурации для всех серверов, выполните следующую команду:

    netsh nps set requiremsgauth all = "enable"

  3. Чтобы добавить исключение для исключения сервера из requireauthmsg validation, выполните следующую команду:

    netsh nps set requiremsgauth remoteservergroup = <имя группы удаленных серверов> address = <адрес сервера> исключение = "да"

Вопросы и ответы

Проверьте события модуля NPS на наличие связанных событий. Рассмотрите возможность добавления исключений или настроек конфигурации для затронутых клиентов или серверов.

Нет, конфигурации, рассмотренные в этой статье, рекомендуются для незащищенных сетей. 

Ссылки

Описание стандартной терминологии, используемой для описания обновлений программного обеспечения Майкрософт

Сторонние продукты, которые рассматриваются в этой статье, производятся компаниями, которые не зависят от Майкрософт. Мы не предоставляем никаких гарантий,подразумеваемых или иных, в отношении производительности или надежности этих продуктов.

Мы предоставляем сторонние контактные данные, чтобы помочь вам найти техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность этих контактных данных сторонних поставщиков.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365