Pomembno Nekatere različice sistema Microsoft Windows so dosegle konec podpore. Upoštevajte, da so lahko nekatere različice sistema Windows podprte tudi po najnovejšem končnem datumu operacijskega sistema, ko so na voljo razširjene varnostne posodobitve (ESU-ji). Oglejte si pogosta vprašanja o življenjskem ciklu – razširjene varnostne posodobitve za seznam izdelkov, ki ponujajo ESU-je.
Spremeni datum |
Opis spremembe |
1. avgust 2024 |
|
5. avgust 2024 |
|
6. avgust 2024 |
|
Vsebino
Povzetek
Posodobitve sistema Windows z datumom ali po 9. juliju 2024 odpravljajo varnostno ranljivost v protokolu RADIUS (Remote Authentication Dial-In User Service), ki je povezan s težavami pri trčenju MD5 . Zaradi šibkih preverjanj celovitosti v MD5 lahko napadalec nedovoljeno posega v pakete, da pridobi nepooblaščen dostop. Zaradi ranljivosti MD5 je s protokolom RADIUS (User Datagram Protocol) na osnovi protokola RADIUS prek interneta onemogočena zaščita pred ponarejanjem ali spreminjanjem paketov med prevozom.
Če želite več informacij o tej ranljivosti, glejte CVE-2024-3596 in polmer bela puščica IN NAPADI TRČENJA MD5.
OPOMBA Za to ranljivost potrebujete fizični dostop do omrežja RADIUS in strežnika NPS (Network Policy Server). Zato stranke, ki imajo zavarovana omrežja RADIUS, niso ranljive. Poleg tega ranljivost ne velja, ko pride do komunikacije RADIUS prek povezave VPN.
Ukrepajte
Če želite zaščititi svoje okolje, priporočamo, da omogočite te konfiguracije. Če želite več informacij, glejte razdelek Konfiguracije .
|
Dogodki, dodani s to posodobitvijo
Če želite več informacij, glejte razdelek Konfiguracije .
Opomba Ti ID-ji dogodkov so dodani v strežnik NPS s posodobitvami sistema Windows z datumom ali po 9. juliju 2024.
Paket Access-Request je bil izpuščen, ker je vseboval atribut proxy-State , vendar ni imel atributa Message-Authenticator . Priporočamo vam, da spremenite odjemalca RADIUS tako, da vključuje atribut »Message-Authenticator «. Lahko pa tudi dodate izjemo za odjemalca RADIUS s konfiguracijo limitProxyState .
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Napaka |
Vir dogodka |
NPS (NPS) |
ID dogodka |
4418 |
Besedilo dogodka |
Od Access-Request RADIUS je bilo prejeto <ip/ime> , ki vsebuje atribut Proxy-State, ni pa vključevalo Message-Authenticator atributa. Posledično je bila zahteva izpuščena. Atribut Message-Authenticator je obvezen za varnostne namene. Če želite https://support.microsoft.com/help/5040268 več informacij, glejte Temo za urejanje. |
To je dogodek nadzora za pakete Access-Request brez atributa Message-Authenticator v prisotnosti stanja proxyja. Priporočamo vam, da spremenite odjemalca RADIUS tako, da vključuje atribut »Message-Authenticator «. Paket RADIUS bo izpuščen, ko je omogočena konfiguracija limitproxystate .
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
NPS (NPS) |
ID dogodka |
4419 |
Besedilo dogodka |
Od Access-Request RADIUS je bilo prejeto <ip/ime> , ki vsebuje atribut Proxy-State, ni pa vključevalo Message-Authenticator atributa. Zahteva je trenutno dovoljena, ker je limitProxyState konfiguriran v načinu nadzora. Če želite https://support.microsoft.com/help/5040268 več informacij, glejte Temo za urejanje. |
To je dogodek nadzora za pakete odzivov RADIUS, ki ste jih prejeli brez atributa »Message-Authenticator « v proxyju. Priporočamo vam, da spremenite navedeni strežnik RADIUS za atribut Message-Authenticator . Paket RADIUS bo izpuščen, ko je omogočena konfiguracija requiremsgauth .
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
NPS (NPS) |
ID dogodka |
4420 |
Besedilo dogodka |
Proxy RADIUS je prejel odgovor strežnika< ip/> z manjkajočo Message-Authenticator atributa. Odziv je trenutno dovoljen, saj je zahtevaMsgAuth konfigurirana v načinu nadzora. Če želite https://support.microsoft.com/help/5040268 več informacij, glejte Temo za urejanje. |
Ta dogodek je zabeležen med zagonom storitve, ko priporočene nastavitve niso konfigurirane. Priporočamo vam, da omogočite nastavitve, če je omrežje RADIUS nezaščiteno. Za varna omrežja lahko te dogodke prezrete.
Dnevnik dogodkov |
Sistem |
Vrsta dogodka |
Opozorilo |
Vir dogodka |
NPS (NPS) |
ID dogodka |
4421 |
Besedilo dogodka |
Konfiguracija RequireMsgAuth in/ali limitProxyState je v<onemogoči/> nadzor. Te nastavitve morate konfigurirati v načinu za omogočanje za varnostne namene. Če želite https://support.microsoft.com/help/5040268 več informacij, glejte Temo za urejanje. |
Konfiguracije
S to konfiguracijo lahko strežnik proxy NPS začne pošiljati atribut »Message-Authenticator « v vseh paketih Access-Request . Če želite omogočiti to konfiguracijo, uporabite enega od teh načinov.
1. način: Uporabite konzolo NPS Microsoft Management Console (MMC)
Če želite uporabiti mmc NPS, sledite tem korakom:
-
Odprite uporabniški vmesnik NPS v strežniku.
-
Odprite oddaljene skupine strežnika Radius.
-
Izberite Radius Server (Polmerni strežnik).
-
Pojdite na Preverjanje pristnosti/računovodstvo.
-
Kliknite, da potrdite polje Zahteva mora vsebovati Message-Authenticator atribut .
2. način: uporabite ukaz netsh
Če želite uporabiti netsh, zaženite ta ukaz:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Če želite več informacij, glejte Ukazi skupine v oddaljenem strežniku RADIUS.
Ta konfiguracija zahteva atribut Message-Authenticator v vseh paketih Access-Request in opusti paket, če ga ni.
1. način: Uporabite konzolo NPS Microsoft Management Console (MMC)
Če želite uporabiti mmc NPS, sledite tem korakom:
-
Odprite uporabniški vmesnik NPS v strežniku.
-
Odpri odjemalce polmera.
-
Izberite Radius Client (Odjemalec polmera).
-
Odprite možnost Dodatne nastavitve.
-
Kliknite, če želite izbrati sporočilo z zahtevo za dostop, ki mora vsebovati potrditveno polje atributa za preverjanje pristnosti sporočila.
Če želite več informacij, glejte Konfiguracija odjemalcev RADIUS.
2. način: uporaba ukaza netsh
Če želite uporabiti netsh, zaženite ta ukaz:
netsh nps set client name = <client name> requireauthattrib = yes
Če želite več informacij, glejte Ukazi skupine v oddaljenem strežniku RADIUS.
S to konfiguracijo lahko strežnik NPS opusti morebitne ranljive pakete Access-Request , ki vsebujejo atribut proxy-State , vendar ne vključujejo atributa Message-Authenticator . Ta konfiguracija podpira tri načine:
-
Nadzor
-
Omogoči
-
Onemogoči
V načinu nadzora je opozorilni dogodek (ID dogodka: 4419) zabeležen, vendar je zahteva še vedno obdelana. S tem načinom določite neskladne entitete, ki pošiljate zahteve.
Z ukazom netsh lahko konfigurirate, omogočite in po potrebi dodate izjemo.
-
Če želite konfigurirati odjemalce v načinu nadzora, zaženite ta ukaz:
netsh nps set limitproxystate all = "audit"
-
Če želite konfigurirati odjemalce v načinu za omogočanje, zaženite ta ukaz:
netsh nps set limitproxystate all = "enable"
-
Če želite dodati izjemo, da odjemalca izključite iz preverjanja veljavnosti LimitProxystate , zaženite ta ukaz:
netsh nps set limitproxystate name = <client name> exception = "Yes"
S to konfiguracijo lahko strežnik proxy NPS opusti morebitno ranljiva sporočila za odzive brez atributa »Message-Authenticator «. Ta konfiguracija podpira tri načine:
-
Nadzor
-
Omogoči
-
Onemogoči
V načinu nadzora je zabeležen opozorilni dogodek (ID dogodka: 4420), vendar je zahteva še vedno obdelana. S tem načinom določite neskladne entitete, ki pošiljajo odgovore.
Z ukazom netsh lahko konfigurirate, omogočite in po potrebi dodate izjemo.
-
Če želite konfigurirati strežnike v načinu nadzora, zaženite ta ukaz:
netsh nps set zahteva za preverjanje pristnostiall = "audit"
-
Če želite omogočiti konfiguracije za vse strežnike, zaženite ta ukaz:
netsh nps set requiremsgauth all = "enable"
-
Če želite dodati izjemo za izključitev strežnika iz preverjanja zahtevajvthmsg, zaženite ta ukaz:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Pogosta vprašanja
Preverite dogodke modula NPS za povezane dogodke. Priporočamo vam, da dodate izjeme ali prilagoditve konfiguracije za prizadete odjemalce/strežnike.
Ne, konfiguracije v tem članku so priporočene za nezavarovana omrežja.
Sklici
Izdelke drugih ponudnikov, ki jih obravnava ta članek, izdelujejo podjetja, ki so neodvisna od Microsofta. Ne dajemo garancije, naznačene ali drugače, glede učinkovitosti delovanja ali zanesljivosti teh izdelkov.
Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.