Dôležité Niektoré verzie systému Microsoft Windows sa dostali na koniec podpory. Upozorňujeme, že niektoré verzie Windowsu môžu byť podporované po najneskoršom dátume ukončenia operačného systému, keď sú k dispozícii rozšírené aktualizácie zabezpečenia (ESU). Pozrite si najčastejšie otázky o životnom cykle – rozšírené aktualizácie zabezpečenia pre zoznam produktov, ktoré ponúkajú ESU.
Zmeniť dátum |
Zmeniť popis |
1. augusta 2024 |
|
5. augusta 2024 |
|
6. augusta 2024 |
|
Obsah
Zhrnutie
Aktualizácie Systému Windows z 9. júla 2024 alebo po ich skončení sa týkajú nedostatočného zabezpečenia v protokole Remote Authentication Dial-In User Service (RADIUS) v súvislosti s problémami s kolíziou MD5 . Z dôvodu slabých kontrol integrity v md5 môže útočník manipulovať s paketmi, aby získal neoprávnený prístup. Zraniteľnosť MD5 spôsobuje, že prenos údajov typu RADIUS založený na protokole UDP cez internet nie je nezabezpečený voči falšovaniu paketov alebo úpravám počas prenosu.
Ďalšie informácie o tejto zraniteľnosti nájdete v témach CVE-2024-3596 a technická dokumentácia RADIUS A MD5 COLLISION ATTACKS.
NOTA Toto nedostatočné zabezpečenie vyžaduje fyzický prístup k sieti RADIUS a serveru sieťovej politiky (NPS). Zákazníci, ktorí majú zabezpečené siete RADIUS, preto nie sú zraniteľní. Zraniteľnosť sa okrem toho nepoužije pri komunikácii s funkciou RADIUS cez sieť VPN.
Vykonanie akcie
Na ochranu prostredia odporúčame zapnúť nasledujúce konfigurácie. Ďalšie informácie nájdete v časti Konfigurácie .
|
Udalosti pridané touto aktualizáciou
Ďalšie informácie nájdete v časti Konfigurácie .
Poznámka Tieto identifikátory udalostí sa pridávajú na server NPS aktualizáciami Windowsu datovanými 9. júla 2024 alebo po nich.
Paket požiadavky na prístup bol vynechaný, pretože obsahoval atribút Proxy-State , ale chýbal atribút Message-Authenticator . Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Prípadne môžete pridať výnimku pre klienta RADIUS pomocou konfigurácie limitProxyState .
Denník udalostí |
Systém |
Typ udalosti |
Chyba |
Zdroj udalosti |
NPS (NPS) |
Identifikačné číslo udalosti |
4418 |
Text udalosti |
Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. V dôsledku toho bola požiadavka vynechaná. Atribút Message-Authenticator je povinný na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. |
Toto je udalosť auditu pre pakety žiadostí o prístup bez atribútu Message-Authenticator v prítomnosti proxy-state. Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Paket RADIUS sa vyradí po zapnutí konfigurácie limitproxystate .
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
NPS (NPS) |
Identifikačné číslo udalosti |
4419 |
Text udalosti |
Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. Požiadavka je momentálne povolená, pretože limitProxyState je nakonfigurovaný v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. |
Toto je udalosť auditu pre pakety odpovede RADIUS prijaté bez atribútu Message-Authenticator na serveri proxy. Zvážte zmenu zadaného servera RADIUS pre atribút Message-Authenticator . Paket RADIUS sa vynechá po zapnutí konfigurácie requiremsgauth .
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
NPS (NPS) |
Identifikačné číslo udalosti |
4420 |
Text udalosti |
Server RADIUS Proxy prijal odpoveď zo servera <ip/name> s chýbajúcimi atribútmi Message-Authenticator. Odpoveď je momentálne povolená, pretože položka requireMsgAuth je nakonfigurovaná v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. |
Táto udalosť sa zaznamená počas spustenia služby, keď nie sú nakonfigurované odporúčané nastavenia. Ak sieť RADIUS nie je zabezpečená, zvážte zapnutie nastavení. V prípade zabezpečených sietí je možné tieto udalosti ignorovať.
Denník udalostí |
Systém |
Typ udalosti |
Upozornenie |
Zdroj udalosti |
NPS (NPS) |
Identifikačné číslo udalosti |
4421 |
Text udalosti |
RequireMsgAuth a/alebo limitProxyState konfigurácia je v režime <vypnutie alebo audit> . Tieto nastavenia by mali byť nakonfigurované v režime enable na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. |
Konfigurácie
Táto konfigurácia umožňuje serveru NPS Proxy začať odosielať atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup . Ak chcete povoliť túto konfiguráciu, použite jednu z nasledujúcich metód.
Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)
Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:
-
Otvorte používateľské rozhranie NPS na serveri.
-
Otvorte skupiny vzdialeného servera Radius Server.
-
Vyberte položku Radius Server.
-
Prejdite na overenie alebo účtovníctvo.
-
Kliknutím vyberte požiadavku, ktorá musí obsahovať začiarkavacie políčko atribútu Message-Authenticator.
Metóda 2: Použitie príkazu netsh
Ak chcete použiť netsh, spustite nasledujúci príkaz:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.
Táto konfigurácia vyžaduje atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup a v prípade neprítomnosti paket zruší.
Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)
Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:
-
Otvorte používateľské rozhranie NPS na serveri.
-
Otvorte klientov s polomerom.
-
Vyberte klienta radius.
-
Prejdite na položku Rozšírené nastavenia.
-
Kliknutím vyberte správy so žiadosťou o prístup, ktoré musia obsahovať začiarkavacie políčko atribútu message-authenticator .
Ďalšie informácie nájdete v téme Konfigurácia klientov RADIUS.
Metóda 2: Použitie príkazu netsh
Ak chcete použiť netsh, spustite nasledujúci príkaz:
netsh nps set client name = <client name> requireauthattrib = yes
Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.
Táto konfigurácia umožňuje serveru NPS zrušiť potenciálne zraniteľné pakety žiadostí o prístup , ktoré obsahujú atribút proxy-state , ale nezahŕňajú atribút Message-Authenticator . Táto konfigurácia podporuje tri režimy:
-
Audit
-
Povoliť
-
Zakázať
V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4419), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít odosielajúcich žiadosti.
Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.
-
Ak chcete klientov konfigurovať v režime auditu , spustite nasledujúci príkaz:
netsh nps set limitproxystate all = "audit"
-
Ak chcete nakonfigurovať klientov v režime Enable , spustite nasledujúci príkaz:
netsh nps set limitproxystate all = "enable"
-
Ak chcete pridať výnimku na vylúčenie klienta z overenia limitProxystate , spustite nasledujúci príkaz:
netsh nps set limitproxystate name = <názov klienta> výnimka = "Áno"
Táto konfigurácia umožňuje serveru NPS Proxy zrušiť potenciálne zraniteľné správy odpovedí bez atribútu Message-Authenticator . Táto konfigurácia podporuje tri režimy:
-
Audit
-
Povoliť
-
Zakázať
V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4420), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít, ktoré odosielajú odpovede.
Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.
-
Ak chcete konfigurovať servery v režime auditu, spustite nasledujúci príkaz:
netsh nps set vyžadovaťall = "audit"
-
Ak chcete povoliť konfigurácie pre všetky servery, spustite nasledujúci príkaz:
netsh nps set requiremsgauth všetky = "enable"
-
Ak chcete pridať výnimku na vylúčenie servera z overenia requireauthmsg, spustite nasledujúci príkaz:
netsh nps set requiremsgauth remoteservergroup = <názov vzdialenej skupiny serverov> adresa = <adresa servera> výnimka = "áno"
Najčastejšie otázky
Skontrolujte, či udalosti modulu NPS neobsahujú súvisiace udalosti. Zvážte pridanie výnimiek alebo úprav konfigurácie ovplyvnených klientov alebo serverov.
Nie, konfigurácie popísané v tomto článku sa odporúčajú pre nezabezpečené siete.
Referencie
Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.
Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.