Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Dôležité Niektoré verzie systému Microsoft Windows sa dostali na koniec podpory. Upozorňujeme, že niektoré verzie Windowsu môžu byť podporované po najneskoršom dátume ukončenia operačného systému, keď sú k dispozícii rozšírené aktualizácie zabezpečenia (ESU). Pozrite si najčastejšie otázky o životnom cykle – rozšírené aktualizácie zabezpečenia pre zoznam produktov, ktoré ponúkajú ESU.

Zmeniť dátum

Zmeniť popis

1. augusta 2024

  • Menšie zmeny formátovania na účely čitateľnosti

  • V konfigurácii Konfigurácia overenia atribútu Message-Authenticator vo všetkých paketoch žiadostí o prístup v klientovi sa namiesto "paketu" použilo slovo "správa"

5. augusta 2024

  • Pridané prepojenie pre protokol UDP (User Datagram Protocol)

  • Pridané prepojenie pre Server sieťových politík (NPS)

6. augusta 2024

  • Aktualizovala sa časť Súhrn, ktorá označuje, že tieto zmeny sú zahrnuté v aktualizáciách Windowsu z 9. júla 2024 alebo po ňom

  • Aktualizovali sa body odrážok v časti "Vykonať akciu", čo znamená, že odporúčame zapnúť možnosti. Tieto možnosti sú predvolene vypnuté.

  • Pridala sa poznámka do časti Udalosti pridané touto aktualizáciou, ktorá označuje, že ID udalostí sa pridávajú na server NPS aktualizáciami Windowsu datovanými 9. júla 2024 alebo po ňom.

Obsah

Zhrnutie

Aktualizácie Systému Windows z 9. júla 2024 alebo po ich skončení sa týkajú nedostatočného zabezpečenia v protokole Remote Authentication Dial-In User Service (RADIUS) v súvislosti s problémami s kolíziou MD5 . Z dôvodu slabých kontrol integrity v md5 môže útočník manipulovať s paketmi, aby získal neoprávnený prístup. Zraniteľnosť MD5 spôsobuje, že prenos údajov typu RADIUS založený na protokole UDP cez internet nie je nezabezpečený voči falšovaniu paketov alebo úpravám počas prenosu. 

Ďalšie informácie o tejto zraniteľnosti nájdete v témach CVE-2024-3596 a technická dokumentácia RADIUS A MD5 COLLISION ATTACKS.

NOTA Toto nedostatočné zabezpečenie vyžaduje fyzický prístup k sieti RADIUS a serveru sieťovej politiky (NPS). Zákazníci, ktorí majú zabezpečené siete RADIUS, preto nie sú zraniteľní. Zraniteľnosť sa okrem toho nepoužije pri komunikácii s funkciou RADIUS cez sieť VPN. 

Vykonanie akcie

Na ochranu prostredia odporúčame zapnúť nasledujúce konfigurácie. Ďalšie informácie nájdete v časti Konfigurácie .

  • Nastavte atribút Message-Authenticator v paketoch žiadostí o prístup . Skontrolujte, či všetky pakety žiadostí o prístup obsahujú atribút Message-Authenticator . Predvolene je možnosť nastavenia atribútu Message-Authenticator vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch žiadostí o prístup . Zvážte vynucovanie overenia atribútu Message-Authenticator v paketoch žiadostí o prístup . Pakety žiadostí o prístup bez tohto atribútu sa nespracujú. Správy so žiadosťou o prístup musia predvolene obsahovať možnosť atribútu message-authenticator , ktorá je vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch žiadostí o prístup , ak je prítomný atribút Proxy-State . Voliteľne môžete povoliť možnosť limitProxyState , ak nie je možné vykonať vynucovanie overenia atribútu Message-Authenticator v každom pakete požiadavky na prístup . LimitProxyState vynucuje zrušenie paketov žiadostí o prístup obsahujúci atribút proxy-state bez atribútu Message-Authenticator . Predvolene je možnosť limitproxystate vypnutá. Odporúčame zapnúť túto možnosť.

  • Overte atribút Message-Authenticator v paketoch odpovede RADIUS: Access-Accept, Access-Reject a Access-Challenge. Povoľte možnosť requireMsgAuth na vynútenie pustenia paketov odpovede RADIUS zo vzdialených serverov bez atribútu Message-Authenticator . Predvolene je možnosť requiremsgauth vypnutá. Odporúčame zapnúť túto možnosť.

Udalosti pridané touto aktualizáciou

Ďalšie informácie nájdete v časti Konfigurácie .

Poznámka Tieto identifikátory udalostí sa pridávajú na server NPS aktualizáciami Windowsu datovanými 9. júla 2024 alebo po nich.

Paket požiadavky na prístup bol vynechaný, pretože obsahoval atribút Proxy-State , ale chýbal atribút Message-Authenticator . Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Prípadne môžete pridať výnimku pre klienta RADIUS pomocou konfigurácie limitProxyState .

Denník udalostí

Systém

Typ udalosti

Chyba

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4418

Text udalosti

Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. V dôsledku toho bola požiadavka vynechaná. Atribút Message-Authenticator je povinný na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. 

Toto je udalosť auditu pre pakety žiadostí o prístup bez atribútu Message-Authenticator v prítomnosti proxy-state. Zvážte zmenu klienta RADIUS tak, aby obsahoval atribút Message-Authenticator . Paket RADIUS sa vyradí po zapnutí konfigurácie limitproxystate .

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4419

Text udalosti

Access-Request správa bola prijatá od klienta RADIUS <ip/name> obsahujúca atribút Proxy-State, ale nezahŕňala atribút Message-Authenticator. Požiadavka je momentálne povolená, pretože limitProxyState je nakonfigurovaný v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268. 

Toto je udalosť auditu pre pakety odpovede RADIUS prijaté bez atribútu Message-Authenticator na serveri proxy. Zvážte zmenu zadaného servera RADIUS pre atribút Message-Authenticator . Paket RADIUS sa vynechá po zapnutí konfigurácie requiremsgauth .

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4420

Text udalosti

Server RADIUS Proxy prijal odpoveď zo servera <ip/name> s chýbajúcimi atribútmi Message-Authenticator. Odpoveď je momentálne povolená, pretože položka requireMsgAuth je nakonfigurovaná v režime auditu. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268.

Táto udalosť sa zaznamená počas spustenia služby, keď nie sú nakonfigurované odporúčané nastavenia. Ak sieť RADIUS nie je zabezpečená, zvážte zapnutie nastavení. V prípade zabezpečených sietí je možné tieto udalosti ignorovať.

Denník udalostí

Systém

Typ udalosti

Upozornenie

Zdroj udalosti

NPS (NPS)

Identifikačné číslo udalosti

4421

Text udalosti

RequireMsgAuth a/alebo limitProxyState konfigurácia je v režime <vypnutie alebo audit> . Tieto nastavenia by mali byť nakonfigurované v režime enable na účely zabezpečenia. Ďalšie informácie nájdete v https://support.microsoft.com/help/5040268.

Konfigurácie

Táto konfigurácia umožňuje serveru NPS Proxy začať odosielať atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup . Ak chcete povoliť túto konfiguráciu, použite jednu z nasledujúcich metód.

Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)

Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:

  1. Otvorte používateľské rozhranie NPS na serveri.

  2. Otvorte skupiny vzdialeného servera Radius Server.

  3. Vyberte položku Radius Server.

  4. Prejdite na overenie alebo účtovníctvo.

  5. Kliknutím vyberte požiadavku, ktorá musí obsahovať začiarkavacie políčko atribútu Message-Authenticator.

Metóda 2: Použitie príkazu netsh

Ak chcete použiť netsh, spustite nasledujúci príkaz:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.

Táto konfigurácia vyžaduje atribút Message-Authenticator vo všetkých paketoch žiadostí o prístup a v prípade neprítomnosti paket zruší.

Metóda 1: Používanie konzoly NPS Microsoft Management Console (MMC)

Ak chcete použiť NPS MMC, postupujte podľa týchto krokov:

  1. Otvorte používateľské rozhranie NPS na serveri.

  2. Otvorte klientov s polomerom.

  3. Vyberte klienta radius.

  4. Prejdite na položku Rozšírené nastavenia.

  5. Kliknutím vyberte správy so žiadosťou o prístup, ktoré musia obsahovať začiarkavacie políčko atribútu message-authenticator .

Ďalšie informácie nájdete v téme Konfigurácia klientov RADIUS.

Metóda 2: Použitie príkazu netsh

Ak chcete použiť netsh, spustite nasledujúci príkaz:

netsh nps set client name = <client name> requireauthattrib = yes

Ďalšie informácie nájdete v téme Príkazy skupiny vzdialeného servera RADIUS Server.

Táto konfigurácia umožňuje serveru NPS zrušiť potenciálne zraniteľné pakety žiadostí o prístup , ktoré obsahujú atribút proxy-state , ale nezahŕňajú atribút Message-Authenticator . Táto konfigurácia podporuje tri režimy:

  • Audit

  • Povoliť

  • Zakázať

V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4419), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít odosielajúcich žiadosti.

Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.

  1. Ak chcete klientov konfigurovať v režime auditu , spustite nasledujúci príkaz:

    netsh nps set limitproxystate all = "audit"

  2. Ak chcete nakonfigurovať klientov v režime Enable , spustite nasledujúci príkaz:

    netsh nps set limitproxystate all = "enable" 

  3. Ak chcete pridať výnimku na vylúčenie klienta z overenia limitProxystate , spustite nasledujúci príkaz:

    netsh nps set limitproxystate name = <názov klienta> výnimka = "Áno" 

Táto konfigurácia umožňuje serveru NPS Proxy zrušiť potenciálne zraniteľné správy odpovedí bez atribútu Message-Authenticator . Táto konfigurácia podporuje tri režimy:

  • Audit

  • Povoliť

  • Zakázať

V režime auditu sa zaznamená udalosť upozornenia (identifikácia udalosti: 4420), ale požiadavka sa stále spracováva. Tento režim sa používa na identifikáciu nevyhovujúcich entít, ktoré odosielajú odpovede.

Príkaz netsh použite na konfiguráciu, povolenie a pridanie výnimky podľa potreby.

  1. Ak chcete konfigurovať servery v režime auditu, spustite nasledujúci príkaz:

    netsh nps set vyžadovaťall = "audit"

  2. Ak chcete povoliť konfigurácie pre všetky servery, spustite nasledujúci príkaz:

    netsh nps set requiremsgauth všetky = "enable"

  3. Ak chcete pridať výnimku na vylúčenie servera z overenia requireauthmsg, spustite nasledujúci príkaz:

    netsh nps set requiremsgauth remoteservergroup = <názov vzdialenej skupiny serverov> adresa = <adresa servera> výnimka = "áno"

Najčastejšie otázky

Skontrolujte, či udalosti modulu NPS neobsahujú súvisiace udalosti. Zvážte pridanie výnimiek alebo úprav konfigurácie ovplyvnených klientov alebo serverov.

Nie, konfigurácie popísané v tomto článku sa odporúčajú pre nezabezpečené siete. 

Referencie

Popis štandardnej terminológie, ktorá sa používa na popis aktualizácií softvéru spoločnosti Microsoft

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.