Viktigt! Supporten för vissa versioner av Microsoft Windows har upphört. Observera att vissa versioner av Windows kan få support efter det senaste slutdatumet för operativsystemet när utökade säkerhetsuppdateringar är tillgängliga. Se Vanliga frågor och svar om livscykel – Utökade säkerhetsuppdateringar för en lista över produkter som erbjuder utökade säkerhetsuppdateringar.
Ändra datum |
Ändra beskrivning |
1 augusti 2024 |
|
den 5 augusti 2024 |
|
den 6 augusti 2024 |
|
Innehåll
Sammanfattning
Windows-uppdateringarna daterade den 9 juli 2024 eller senare åtgärdar ett säkerhetsproblem i RADIUS-protokollet (Remote Authentication Dial-In User Service) som är relaterat till MD5-kollisionsproblem . På grund av svaga integritetskontroller i MD5 kan en angripare manipulera paket för att få obehörig åtkomst. MD5-säkerhetsproblem gör att UDP-baserad RADIUS-trafik (User Datagram Protocol) över Internet inte är säker mot paketförfalskning eller -ändring under överföring.
Mer information om den här säkerhetsrisken finns i CVE-2024-3596 och whitepaper RADIUS AND MD5 COLLISION ATTACKS.
NOT Den här säkerhetsrisken kräver fysisk åtkomst till RADIUS-nätverket och NPS (Network Policy Server). Kunder som har säkrat RADIUS-nätverk är därför inte sårbara. Dessutom gäller inte säkerhetsproblemet när RADIUS-kommunikation sker över VPN.
Vidta åtgärder
För att skydda miljön rekommenderar vi att du aktiverar följande konfigurationer. Mer information finns i avsnittet Konfigurationer .
|
Händelser som lagts till av den här uppdateringen
Mer information finns i avsnittet Konfigurationer .
Obs! Dessa händelse-ID:n läggs till i NPS-servern av Windows-uppdateringarna daterade den 9 juli 2024 eller senare.
Paketet för åtkomstbegäran togs bort eftersom det innehöll attributet Proxy-State men saknade attributet Message-Authenticator . Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. Alternativt kan du lägga till ett undantag för RADIUS-klienten med hjälp av limitProxyState-konfigurationen .
Händelselogg |
System |
Händelsetyp |
Fel |
Händelsekälla |
NPS |
Händelse-ID |
4418 |
Händelsetext |
Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Det ledde till att begäran togs bort. Attributet Message-Authenticator är obligatoriskt för säkerhetsändamål. Mer information finns i https://support.microsoft.com/help/5040268. |
Det här är en granskningshändelse för Access-Request-paket utan attributet Message-Authenticator i närvaro av Proxy-State. Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. RADIUS-paketet kommer att släppas när konfigurationen av limitproxystate är aktiverad.
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
NPS |
Händelse-ID |
4419 |
Händelsetext |
Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Begäran tillåts för närvarande eftersom gränsenProxyState har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268. |
Det här är en granskningshändelse för RADIUS-svarspaket som tagits emot utan attributet Message-Authenticator på proxyn. Överväg att ändra den angivna RADIUS-servern för attributet Message-Authenticator . RADIUS-paketet kommer att släppas när konfigurationen krävmsgauth är aktiverad.
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
NPS |
Händelse-ID |
4420 |
Händelsetext |
RADIUS-proxyn fick ett svar från servern <ip/name> med ett attribut för Message-Authenticator saknas. Svar tillåts för närvarande eftersom krävMsgAuth har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268. |
Händelsen loggas under tjänststart när de rekommenderade inställningarna inte konfigureras. Överväg att aktivera inställningarna om RADIUS-nätverket är osäkert. För säkra nätverk kan dessa händelser ignoreras.
Händelselogg |
System |
Händelsetyp |
Varning |
Händelsekälla |
NPS |
Händelse-ID |
4421 |
Händelsetext |
KrävMsgAuth- och/eller limitProxyState-konfiguration är i <inaktivera/granska> läge. De här inställningarna ska konfigureras i aktiveringsläge av säkerhetsskäl. Mer information finns i https://support.microsoft.com/help/5040268. |
Konfigurationer
Med den här konfigurationen kan NPS-proxyn börja skicka attributet Message-Authenticator i alla Access-Request-paket . Använd någon av följande metoder för att aktivera den här konfigurationen.
Metod 1: Använda NPS Microsoft Management Console (MMC)
Gör så här om du vill använda NPS MMC:
-
Öppna NPS-användargränssnittet på servern.
-
Öppna fjärranslutna Radius Server-grupper.
-
Välj Radius Server.
-
Gå till Autentisering/redovisning.
-
Markera kryssrutan Begäran måste innehålla Message-Authenticator attribut .
Metod 2: Använd kommandot netsh
Om du vill använda netsh kör du följande kommando:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Mer information finns i Remote RADIUS Server Group Commands.
Den här konfigurationen kräver attributet Message-Authenticator i alla Access-Request-paket och släpper paketet om det är frånvarande.
Metod 1: Använda NPS Microsoft Management Console (MMC)
Gör så här om du vill använda NPS MMC:
-
Öppna NPS-användargränssnittet på servern.
-
Open Radius Clients.
-
Välj Radius Client.
-
Gå till Avancerade inställningar.
-
Klicka för att markera kryssrutan Meddelanden med åtkomstbegäran måste innehålla attributet message-authenticator .
Mer information finns i Konfigurera RADIUS-klienter.
Metod 2: Använd kommandot netsh
Om du vill använda netsh kör du följande kommando:
netsh nps set client name = <client name> requireauthattrib = yes
Mer information finns i Remote RADIUS Server Group Commands.
Den här konfigurationen gör att NPS-servern kan släppa potentiella sårbara Access-Request-paket som innehåller ett Proxy-State-attribut , men som inte innehåller ett Message-Authenticator-attribut . Den här konfigurationen har stöd för tre lägen:
-
Granska
-
Aktivera
-
Inaktivera
I granskningsläge loggas en varningshändelse (händelse-ID: 4419) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar begäranden.
Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.
-
Om du vill konfigurera klienter i granskningsläge kör du följande kommando:
netsh nps set limitproxystate all = "audit"
-
Om du vill konfigurera klienter i aktiveringsläge kör du följande kommando:
netsh nps set limitproxystate all = "enable"
-
Om du vill lägga till ett undantag för att utesluta en klient från verifiering av limitProxystate kör du följande kommando:
netsh nps set limitproxystate name = <klientnamn> undantag = "Yes"
Med den här konfigurationen kan NPS-proxy släppa potentiellt sårbara svarsmeddelanden utan attributet Message-Authenticator . Den här konfigurationen har stöd för tre lägen:
-
Granska
-
Aktivera
-
Inaktivera
I granskningsläge loggas en varningshändelse (händelse-ID: 4420) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar svaren.
Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.
-
Om du vill konfigurera servrar i granskningsläge kör du följande kommando:
netsh nps set krävermsgauth-all = "audit"
-
Om du vill aktivera konfigurationer för alla servrar kör du följande kommando:
netsh nps set krävermsgauth alla = "enable"
-
Om du vill lägga till ett undantag för att utesluta en server från verifiering av kräv autentiseringmsg kör du följande kommando:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Vanliga frågor och svar
Kontrollera NPS-modulhändelser för relaterade händelser. Överväg att lägga till undantag eller konfigurationsjusteringar för berörda klienter/servrar.
Nej, de konfigurationer som beskrivs i den här artikeln rekommenderas för oskyddade nätverk.
Referenser
Beskrivning av standardterminologin som används för att beskriva Microsofts programuppdateringar
De produkter från tredje part som beskrivs i den här artikeln är tillverkade av företag som är oberoende av Microsoft. Vi försäkrar varken underförstådda eller andra garantier om dessa produkters prestanda eller tillförlitlighet.
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.