Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Viktigt! Supporten för vissa versioner av Microsoft Windows har upphört. Observera att vissa versioner av Windows kan få support efter det senaste slutdatumet för operativsystemet när utökade säkerhetsuppdateringar är tillgängliga. Se Vanliga frågor och svar om livscykel – Utökade säkerhetsuppdateringar för en lista över produkter som erbjuder utökade säkerhetsuppdateringar.

Ändra datum

Ändra beskrivning

1 augusti 2024

  • Mindre formateringsändringar för läsbarhet

  • I konfigurationen "Konfigurera verifiering av attributet Message-Authenticator i alla Access-Request-paket på klienten" användes ordet "meddelande" i stället för "paket"

den 5 augusti 2024

  • Länk tillagd för UDP (User Datagram Protocol)

  • Länk tillagd för NPS (Network Policy Server)

den 6 augusti 2024

  • Avsnittet Sammanfattning har uppdaterats för att indikera att dessa ändringar ingår i Windows-uppdateringarna daterade den 9 juli 2024 eller senare

  • Punktpunkterna i avsnittet Vidta åtgärder har uppdaterats för att indikera att vi rekommenderar att du aktiverar alternativen. De här alternativen är inaktiverade som standard.

  • Lade till en anteckning i avsnittet "Händelser som lagts till av den här uppdateringen" för att ange att händelse-ID:n läggs till i NPS-servern av Windows-uppdateringarna daterade den 9 juli 2024 eller senare

Innehåll

Sammanfattning

Windows-uppdateringarna daterade den 9 juli 2024 eller senare åtgärdar ett säkerhetsproblem i RADIUS-protokollet (Remote Authentication Dial-In User Service) som är relaterat till MD5-kollisionsproblem . På grund av svaga integritetskontroller i MD5 kan en angripare manipulera paket för att få obehörig åtkomst. MD5-säkerhetsproblem gör att UDP-baserad RADIUS-trafik (User Datagram Protocol) över Internet inte är säker mot paketförfalskning eller -ändring under överföring. 

Mer information om den här säkerhetsrisken finns i CVE-2024-3596 och whitepaper RADIUS AND MD5 COLLISION ATTACKS.

NOT Den här säkerhetsrisken kräver fysisk åtkomst till RADIUS-nätverket och NPS (Network Policy Server). Kunder som har säkrat RADIUS-nätverk är därför inte sårbara. Dessutom gäller inte säkerhetsproblemet när RADIUS-kommunikation sker över VPN. 

Vidta åtgärder

För att skydda miljön rekommenderar vi att du aktiverar följande konfigurationer. Mer information finns i avsnittet Konfigurationer .

  • Ange attributet Message-Authenticator i Access-Request-paket . Kontrollera att alla Access-Request-paket innehåller attributet Message-Authenticator . Som standard är alternativet för att ange attributet Message-Authenticator inaktiverat. Vi rekommenderar att du aktiverar det här alternativet.

  • Verifiera attributet Message-Authenticator i Access-Request-paket . Överväg att tillämpa verifiering av attributet Message-Authenticator i Access-Request-paket . Paket med åtkomstbegäran utan det här attributet bearbetas inte. Som standard måste meddelandet för åtkomstbegäran innehålla attributet message-authenticator inaktiverat. Vi rekommenderar att du aktiverar det här alternativet.

  • Kontrollera attributet Message-Authenticator i Access-Request-paket om attributet Proxy-State finns. Du kan också aktivera alternativet limitProxyState om det inte går att utföra verifiering av attributet Message-Authenticator för varje Access-Request-paket . limitProxyState tillämpar släppa Access-Request-paket som innehåller Proxy-state attributet utan attributet Message-Authenticator . Som standard är alternativet limitproxystate inaktiverat. Vi rekommenderar att du aktiverar det här alternativet.

  • Kontrollera attributet Message-Authenticator i RADIUS-svarspaket: Access-Accept, Access-Reject och Access-Challenge. Aktivera alternativet krävMsgAuth för att tillämpa att RADIUS-svarspaketen släpps från fjärrservrar utan attributet Message-Authenticator . Som standard är alternativet krävmsgauth inaktiverat. Vi rekommenderar att du aktiverar det här alternativet.

Händelser som lagts till av den här uppdateringen

Mer information finns i avsnittet Konfigurationer .

Obs! Dessa händelse-ID:n läggs till i NPS-servern av Windows-uppdateringarna daterade den 9 juli 2024 eller senare.

Paketet för åtkomstbegäran togs bort eftersom det innehöll attributet Proxy-State men saknade attributet Message-Authenticator . Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. Alternativt kan du lägga till ett undantag för RADIUS-klienten med hjälp av limitProxyState-konfigurationen .

Händelselogg

System

Händelsetyp

Fel

Händelsekälla

NPS

Händelse-ID

4418

Händelsetext

Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Det ledde till att begäran togs bort. Attributet Message-Authenticator är obligatoriskt för säkerhetsändamål. Mer information finns i https://support.microsoft.com/help/5040268. 

Det här är en granskningshändelse för Access-Request-paket utan attributet Message-Authenticator i närvaro av Proxy-State. Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. RADIUS-paketet kommer att släppas när konfigurationen av limitproxystate är aktiverad.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4419

Händelsetext

Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Begäran tillåts för närvarande eftersom gränsenProxyState har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268. 

Det här är en granskningshändelse för RADIUS-svarspaket som tagits emot utan attributet Message-Authenticator på proxyn. Överväg att ändra den angivna RADIUS-servern för attributet Message-Authenticator . RADIUS-paketet kommer att släppas när konfigurationen krävmsgauth är aktiverad.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4420

Händelsetext

RADIUS-proxyn fick ett svar från servern <ip/name> med ett attribut för Message-Authenticator saknas. Svar tillåts för närvarande eftersom krävMsgAuth har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268.

Händelsen loggas under tjänststart när de rekommenderade inställningarna inte konfigureras. Överväg att aktivera inställningarna om RADIUS-nätverket är osäkert. För säkra nätverk kan dessa händelser ignoreras.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4421

Händelsetext

KrävMsgAuth- och/eller limitProxyState-konfiguration är i <inaktivera/granska> läge. De här inställningarna ska konfigureras i aktiveringsläge av säkerhetsskäl. Mer information finns i https://support.microsoft.com/help/5040268.

Konfigurationer

Med den här konfigurationen kan NPS-proxyn börja skicka attributet Message-Authenticator i alla Access-Request-paket . Använd någon av följande metoder för att aktivera den här konfigurationen.

Metod 1: Använda NPS Microsoft Management Console (MMC)

Gör så här om du vill använda NPS MMC:

  1. Öppna NPS-användargränssnittet på servern.

  2. Öppna fjärranslutna Radius Server-grupper.

  3. Välj Radius Server.

  4. Gå till Autentisering/redovisning.

  5. Markera kryssrutan Begäran måste innehålla Message-Authenticator attribut .

Metod 2: Använd kommandot netsh

Om du vill använda netsh kör du följande kommando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Mer information finns i Remote RADIUS Server Group Commands.

Den här konfigurationen kräver attributet Message-Authenticator i alla Access-Request-paket och släpper paketet om det är frånvarande.

Metod 1: Använda NPS Microsoft Management Console (MMC)

Gör så här om du vill använda NPS MMC:

  1. Öppna NPS-användargränssnittet på servern.

  2. Open Radius Clients.

  3. Välj Radius Client.

  4. Gå till Avancerade inställningar.

  5. Klicka för att markera kryssrutan Meddelanden med åtkomstbegäran måste innehålla attributet message-authenticator .

Mer information finns i Konfigurera RADIUS-klienter.

Metod 2: Använd kommandot netsh

Om du vill använda netsh kör du följande kommando:

netsh nps set client name = <client name> requireauthattrib = yes

Mer information finns i Remote RADIUS Server Group Commands.

Den här konfigurationen gör att NPS-servern kan släppa potentiella sårbara Access-Request-paket som innehåller ett Proxy-State-attribut , men som inte innehåller ett Message-Authenticator-attribut . Den här konfigurationen har stöd för tre lägen:

  • Granska

  • Aktivera

  • Inaktivera

I granskningsläge loggas en varningshändelse (händelse-ID: 4419) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar begäranden.

Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.

  1. Om du vill konfigurera klienter i granskningsläge kör du följande kommando:

    netsh nps set limitproxystate all = "audit"

  2. Om du vill konfigurera klienter i aktiveringsläge kör du följande kommando:

    netsh nps set limitproxystate all = "enable" 

  3. Om du vill lägga till ett undantag för att utesluta en klient från verifiering av limitProxystate kör du följande kommando:

    netsh nps set limitproxystate name = <klientnamn> undantag = "Yes" 

Med den här konfigurationen kan NPS-proxy släppa potentiellt sårbara svarsmeddelanden utan attributet Message-Authenticator . Den här konfigurationen har stöd för tre lägen:

  • Granska

  • Aktivera

  • Inaktivera

I granskningsläge loggas en varningshändelse (händelse-ID: 4420) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar svaren.

Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.

  1. Om du vill konfigurera servrar i granskningsläge kör du följande kommando:

    netsh nps set krävermsgauth-all = "audit"

  2. Om du vill aktivera konfigurationer för alla servrar kör du följande kommando:

    netsh nps set krävermsgauth alla = "enable"

  3. Om du vill lägga till ett undantag för att utesluta en server från verifiering av kräv autentiseringmsg kör du följande kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Vanliga frågor och svar

Kontrollera NPS-modulhändelser för relaterade händelser. Överväg att lägga till undantag eller konfigurationsjusteringar för berörda klienter/servrar.

Nej, de konfigurationer som beskrivs i den här artikeln rekommenderas för oskyddade nätverk. 

Referenser

Beskrivning av standardterminologin som används för att beskriva Microsofts programuppdateringar

De produkter från tredje part som beskrivs i den här artikeln är tillverkade av företag som är oberoende av Microsoft. Vi försäkrar varken underförstådda eller andra garantier om dessa produkters prestanda eller tillförlitlighet.

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.