Dôležité Niektoré verzie systému Microsoft Windows sa dostali na koniec podpory. Upozorňujeme, že niektoré verzie Windowsu môžu byť podporované po najneskoršom dátume ukončenia operačného systému, keď sú k dispozícii rozšírené aktualizácie zabezpečenia (ESU). Pozrite si najčastejšie otázky o životnom cykle – rozšírené aktualizácie zabezpečenia pre zoznam produktov, ktoré ponúkajú ESU.

Zmeniť dátum

Zmeniť popis

1. augusta 2024

  • Menšie zmeny formátovania na účely čitateľnosti

  • V konfigurácii Konfigurácia overenia atribútu Message-Authenticator vo všetkých paketoch žiadostí o prístup v klientovi sa namiesto "paketu" použilo slovo "správa"

5. augusta 2024

  • Pridané prepojenie pre protokol UDP (User Datagram Protocol)

  • Pridané prepojenie pre Server sieťových politík (NPS)

6. augusta 2024

  • Aktualizovala sa časť Súhrn, ktorá označuje, že tieto zmeny sú zahrnuté v aktualizáciách Windowsu z 9. júla 2024 alebo po ňom

  • Aktualizovali sa body odrážok v časti "Vykonať akciu", čo znamená, že odporúčame zapnúť možnosti. Tieto možnosti sú predvolene vypnuté.

  • Pridala sa poznámka do časti Udalosti pridané touto aktualizáciou, ktorá označuje, že ID udalostí sa pridávajú na server NPS aktualizáciami Windowsu datovanými 9. júla 2024 alebo po ňom.

Obsah

Zhrnutie

Aktualizácie Systému Windows z 9. júla 2024 alebo po ich skončení sa týkajú nedostatočného zabezpečenia v protokole Remote Authentication Dial-In User Service (RADIUS) v súvislosti s problémami s kolíziou MD5 . Z dôvodu slabých kontrol integrity v md5 môže útočník manipulovať s paketmi, aby získal neoprávnený prístup. Zraniteľnosť MD5 spôsobuje, že prenos údajov typu RADIUS založený na protokole UDP cez internet nie je nezabezpečený voči falšovaniu paketov alebo úpravám počas prenosu. 

Ďalšie informácie o tejto zraniteľnosti nájdete v témach CVE-2024-3596 a technická dokumentácia RADIUS A MD5 COLLISION ATTACKS.

NOTA Toto nedostatočné zabezpečenie vyžaduje fyzický prístup k sieti RADIUS a serveru sieťovej politiky (NPS). Zákazníci, ktorí majú zabezpečené siete RADIUS, preto nie sú zraniteľní. Zraniteľnosť sa okrem toho nepoužije pri komunikácii s funkciou RADIUS cez sieť VPN. 

Vykonanie akcie

Na ochranu prostredia odporúčame zapnúť nasledujúce konfigurácie. Ďalšie informácie nájdete v časti Konfigurácie .

  • Nastavte atribút Message-Authenticator v paketoch žiadostí o prístup . Skontrolujte, či všetky pakety žiadostí o prístup obsahujú atribút Message-Authenticator . Predvolene je možnosť nastavenia atribútu Message-Authenticator vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch žiadostí o prístup . Zvážte vynucovanie overenia atribútu Message-Authenticator v paketoch žiadostí o prístup . Pakety žiadostí o prístup bez tohto atribútu sa nespracujú. Správy so žiadosťou o prístup musia predvolene obsahovať možnosť atribútu message-authenticator , ktorá je vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch žiadostí o prístup , ak je prítomný atribút Proxy-State . Voliteľne môžete povoliť možnosť limitProxyState , ak nie je možné vykonať vynucovanie overenia atribútu Message-Authenticator v každom pakete požiadavky na prístup . LimitProxyState vynucuje zrušenie paketov žiadostí o prístup obsahujúci atribút proxy-state bez atribútu Message-Authenticator . Predvolene je možnosť limitproxystate vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch odpovede RADIUS: Access-Accept, Access-Reject a Access-Challenge. Povoľte možnosť requireMsgAuth na vynútenie pustenia paketov odpovede RADIUS zo vzdialených serverov bez atribútu Message-Authenticator . Predvolene je možnosť requiremsgauth vypnutá. Odporúčame zapnúť túto možnosť.

Udalosti pridané touto aktualizáciou

Ďalšie informácie nájdete v časti Konfigurácie .

Poznámka Tieto identifikátory udalostí sa pridávajú na server NPS aktualizáciami Windowsu datovanými 9. júla 2024 alebo po nich.

Paket požiadavky na prístup bol vynechaný, pretože obsahoval atribút Proxy-State , ale chýbal atribút Message-Authenticator . Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Prípadne môžete pridať výnimku pre klienta RADIUS pomocou konfigurácie limitProxyState .

Denník udalostí

Systém

Typ udalosti

Chyba

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4418

Text udalosti

Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. V dôsledku toho bola požiadavka vynechaná. Atribút Message-Authenticator je povinný na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. 

Toto je udalosť auditu pre pakety žiadostí o prístup bez atribútu Message-Authenticator v prítomnosti proxy-state. Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Paket RADIUS sa vyradí po zapnutí konfigurácie limitproxystate .

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4419

Text udalosti

Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. Požiadavka je momentálne povolená, pretože limitProxyState je nakonfigurovaný v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. 

Toto je udalosť auditu pre pakety odpovede RADIUS prijaté bez atribútu Message-Authenticator na serveri proxy. Zvážte zmenu zadaného servera RADIUS pre atribút Message-Authenticator . Paket RADIUS sa vynechá po zapnutí konfigurácie requiremsgauth .

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4420

Text udalosti

Server RADIUS Proxy prijal odpoveď zo servera <ip/name> s chýbajúcimi atribútmi Message-Authenticator. Odpoveď je momentálne povolená, pretože položka requireMsgAuth je nakonfigurovaná v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268.

Táto udalosť sa zaznamená počas spustenia služby, keď nie sú nakonfigurované odporúčané nastavenia. Ak sieť RADIUS nie je zabezpečená, zvážte zapnutie nastavení. V prípade zabezpečených sietí je možné tieto udalosti ignorovať.

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4421

Text udalosti

RequireMsgAuth a/alebo limitProxyState konfigurácia je v režime <vypnutie alebo audit> . Tieto nastavenia by mali byť nakonfigurované v režime enable na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268.

Konfigurácie

Táto konfigurácia umožňuje serveru NPS Proxy začať odosielať atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup . Ak chcete povoliť túto konfiguráciu, použite jednu z nasledujúcich metód.

Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)

Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:

  1. Otvorte používateľské rozhranie NPS na serveri.

  2. Otvorte skupiny vzdialeného servera Radius Server.

  3. Vyberte položku Radius Server.

  4. Prejdite na overenie alebo účtovníctvo.

  5. Kliknutím vyberte požiadavku, ktorá musí obsahovať začiarkavacie políčko atribútu Message-Authenticator.

Metóda 2: Použitie príkazu netsh

Ak chcete použiť netsh, spustite nasledujúci príkaz:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.

Táto konfigurácia vyžaduje atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup a v prípade neprítomnosti paket zruší.

Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)

Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:

  1. Otvorte používateľské rozhranie NPS na serveri.

  2. Otvorte klientov s polomerom.

  3. Vyberte klienta radius.

  4. Prejdite na položku Rozšírené nastavenia.

  5. Kliknutím vyberte správy so žiadosťou o prístup, ktoré musia obsahovať začiarkavacie políčko atribútu message-authenticator .

Ďalšie informácie nájdete v téme Konfigurácia klientov RADIUS.

Metóda 2: Použitie príkazu netsh

Ak chcete použiť netsh, spustite nasledujúci príkaz:

netsh nps set client name = <client name> requireauthattrib = yes

Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.

Táto konfigurácia umožňuje serveru NPS zrušiť potenciálne zraniteľné pakety žiadostí o prístup , ktoré obsahujú atribút proxy-state , ale nezahŕňajú atribút Message-Authenticator . Táto konfigurácia podporuje tri režimy:

  • Audit

  • Povoliť

  • Zakázať

V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4419), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít odosielajúcich žiadosti.

Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.

  1. Ak chcete klientov konfigurovať v režime auditu , spustite nasledujúci príkaz:

    netsh nps set limitproxystate all = "audit"

  2. Ak chcete nakonfigurovať klientov v režime Enable , spustite nasledujúci príkaz:

    netsh nps set limitproxystate all = "enable" 

  3. Ak chcete pridať výnimku na vylúčenie klienta z overenia limitProxystate , spustite nasledujúci príkaz:

    netsh nps set limitproxystate name = <názov klienta> výnimka = "Áno" 

Táto konfigurácia umožňuje serveru NPS Proxy zrušiť potenciálne zraniteľné správy odpovedí bez atribútu Message-Authenticator . Táto konfigurácia podporuje tri režimy:

  • Audit

  • Povoliť

  • Zakázať

V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4420), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít, ktoré odosielajú odpovede.

Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.

  1. Ak chcete konfigurovať servery v režime auditu, spustite nasledujúci príkaz:

    netsh nps set vyžadovaťall = "audit"

  2. Ak chcete povoliť konfigurácie pre všetky servery, spustite nasledujúci príkaz:

    netsh nps set requiremsgauth všetky = "enable"

  3. Ak chcete pridať výnimku na vylúčenie servera z overenia requireauthmsg, spustite nasledujúci príkaz:

    netsh nps set requiremsgauth remoteservergroup = <názov vzdialenej skupiny serverov> adresa = <adresa servera> výnimka = "áno"

Najčastejšie otázky

Skontrolujte, či udalosti modulu NPS neobsahujú súvisiace udalosti. Zvážte pridanie výnimiek alebo úprav konfigurácie ovplyvnených klientov alebo serverov.

Nie, konfigurácie popísané v tomto článku sa odporúčajú pre nezabezpečené siete. 

Referencie

Popis štandardnej terminológie, ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365