Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

สำคัญ Microsoft Windows บางเวอร์ชันสิ้นสุดการสนับสนุนแล้ว โปรดทราบว่า Windows บางเวอร์ชันอาจได้รับการสนับสนุนเมื่อเลยวันสิ้นสุดของระบบปฏิบัติการล่าสุดแล้ว เมื่อการอัปเดตความปลอดภัยที่ขยายเวลา (ESU) พร้อมใช้งาน ดู คําถามที่ถามบ่อยเกี่ยวกับวงจรการใช้งาน - การอัปเดตความปลอดภัยที่ขยายเวลา สําหรับรายการผลิตภัณฑ์ที่เสนอ ESU

เปลี่ยนวันที่

เปลี่ยนคําอธิบาย

วันที่ 1 สิงหาคม 2567

  • การเปลี่ยนแปลงการจัดรูปแบบรองเพื่อให้อ่านได้ง่ายขึ้น

  • ในการกําหนดค่า "กําหนดค่าการตรวจสอบความถูกต้องของ Message-Authenticator ในแพคเก็ต Access-Request ทั้งหมดในไคลเอ็นต์" จะมีการใช้คําว่า "ข้อความ" แทน "แพคเก็ต"

วันที่ 5 สิงหาคม 2567

  • ลิงก์ที่เพิ่มสําหรับ User Datagram Protocol (UDP)

  • เพิ่มลิงก์สําหรับเซิร์ฟเวอร์นโยบายเครือข่าย (NPS)

วันที่ 6 สิงหาคม 2567

  • อัปเดตส่วน "สรุป" เพื่อระบุการเปลี่ยนแปลงเหล่านี้จะรวมอยู่ในการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024

  • อัปเดตสัญลักษณ์แสดงหัวข้อย่อยในส่วน "ดําเนินการ" เพื่อระบุเราขอแนะนําให้เปิดตัวเลือก ตัวเลือกเหล่านี้จะปิดใช้งานอยู่ตามค่าเริ่มต้น

  • เพิ่มบันทึกย่อในส่วน "เหตุการณ์ที่เพิ่มโดยการอัปเดตนี้" เพื่อระบุรหัสเหตุการณ์ถูกเพิ่มลงในเซิร์ฟเวอร์ NPS โดยการอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024

เนื้อหา

บทสรุป

การอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024 แก้ไขปัญหาช่องโหว่ด้านความปลอดภัยในโพรโทคอล Remote Authentication Dial-In User Service (RADIUS) ที่เกี่ยวข้องกับปัญหาการชนกันของ MD5 เนื่องจากการตรวจสอบความสมบูรณ์ที่อ่อนแอใน MD5 ผู้โจมตีอาจเปลี่ยนแปลงแพคเก็ตเพื่อให้สามารถเข้าถึงโดยไม่ได้รับอนุญาตได้ ช่องโหว่ MD5 ทําให้ปริมาณการใช้งาน RADIUS ที่ใช้ User Datagram Protocol (UDP) ผ่านอินเทอร์เน็ตไม่ปลอดภัยจากการปลอมแปลงแพคเก็ตหรือการปรับเปลี่ยนระหว่างการขนส่ง 

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ ให้ดูที่ การโจมตี CVE-2024-3596 และ RADIUS และ MD5 COLLISION

โน้ต ช่องโหว่นี้จําเป็นต้องมีการเข้าถึงทางกายภาพไปยังเครือข่าย RADIUS และเซิร์ฟเวอร์นโยบายเครือข่าย (NPS) ดังนั้น ลูกค้าที่มีเครือข่าย RADIUS ที่ปลอดภัยจะไม่ได้รับความเสี่ยง นอกจากนี้ ช่องโหว่ไม่ใช้เมื่อมีการติดต่อสื่อสาร RADIUS ผ่าน VPN 

ดําเนินการ

เราขอแนะนําให้เปิดใช้งานการกําหนดค่าต่อไปนี้เพื่อช่วยปกป้องสภาพแวดล้อมของคุณ สําหรับข้อมูลเพิ่มเติม ให้ดูที่ส่วน โครงแบบ

  • ตั้งค่าแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ตรวจสอบให้แน่ใจว่าแพคเก็ต Access-Request ทั้งหมดมีแอตทริบิวต์ Message-Authenticator ตามค่าเริ่มต้น ตัวเลือกในการตั้งค่าแอตทริบิวต์ Message-Authenticator จะถูกปิดใช้งาน เราขอแนะนําให้เปิดตัวเลือกนี้

  • ตรวจสอบแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request พิจารณาบังคับใช้การตรวจสอบความถูกต้องของแอตทริบิวต์ Message-Authenticator บนแพคเก็ต Access-Request แพคเก็ต Access-Request ที่ไม่มีแอตทริบิวต์นี้จะไม่ถูกประมวลผล ตามค่าเริ่มต้น ข้อความการร้องขอการเข้าถึงต้องมีแอตทริบิวต์ตัวรับรองข้อความ ปิดอยู่ เราขอแนะนําให้เปิดตัวเลือกนี้

  • ตรวจสอบแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ถ้ามีแอตทริบิวต์ Proxy-State อยู่ อีกทางหนึ่งคือ ให้เปิดใช้งานตัวเลือก limitProxyState ถ้าบังคับใช้การตรวจสอบความถูกต้องของแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ทุกแพคเก็ตจะไม่สามารถดําเนินการได้ limitProxyState บังคับใช้การปล่อยแพคเก็ต Access-Request ที่มีแอตทริบิวต์ Proxy-state โดยไม่มีแอตทริบิวต์ Message-Authenticator ตามค่าเริ่มต้น ตัวเลือก limitproxystate จะถูกปิดใช้งาน เราขอแนะนําให้เปิดตัวเลือกนี้

  • ตรวจสอบแอตทริบิวต์ Message-Authenticator ในแพคเก็ตการตอบกลับ RADIUS: Access-Accept, Access-Reject และ Access-Challenge เปิดใช้งานตัวเลือก requireMsgAuth เพื่อบังคับใช้การปล่อยแพคเก็ตการตอบสนอง RADIUS จากเซิร์ฟเวอร์ระยะไกลโดยไม่มีแอตทริบิวต์ Message-Authenticator ตามค่าเริ่มต้น ตัวเลือก ต้องการ ปิดอยู่ เราขอแนะนําให้เปิดตัวเลือกนี้

เหตุการณ์ที่เพิ่มโดยการอัปเดตนี้

สําหรับข้อมูลเพิ่มเติม ให้ดูที่ส่วน โครงแบบ

หมายเหตุ รหัสเหตุการณ์เหล่านี้จะถูกเพิ่มลงในเซิร์ฟเวอร์ NPS โดยการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024

แพคเก็ต Access-Request ถูกข้ามเนื่องจากประกอบด้วยแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator พิจารณาเปลี่ยนไคลเอ็นต์ RADIUS เพื่อรวมแอตทริบิวต์ Message-Authenticator หรือเพิ่มข้อยกเว้นสําหรับไคลเอ็นต์ RADIUS โดยใช้การกําหนดค่า limitProxyState

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

ข้อผิดพลาด

แหล่งของเหตุการณ์

NPS

ID เหตุการณ์

4418

ข้อความเหตุการณ์

ได้รับข้อความ Access-Request จากไคลเอ็นต์ RADIUS <>ip/name ที่มีแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator ด้วยเหตุนี้ คําขอจึงถูกตัด แอตทริบิวต์ Message-Authenticator เป็นแอตทริบิวต์ที่จําเป็นสําหรับวัตถุประสงค์ด้านความปลอดภัย ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม 

นี่คือเหตุการณ์การตรวจสอบสําหรับแพคเก็ต Access-Request โดยไม่มีแอตทริบิวต์ Message-Authenticator ในสถานะของพร็อกซี พิจารณาเปลี่ยนไคลเอ็นต์ RADIUS เพื่อรวมแอตทริบิวต์ Message-Authenticator แพคเก็ต RADIUS จะถูกทิ้งเมื่อเปิดใช้งานการกําหนดค่า limitproxystate

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

NPS

ID เหตุการณ์

4419

ข้อความเหตุการณ์

ได้รับข้อความ Access-Request จากไคลเอ็นต์ RADIUS <>ip/name ที่มีแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator ขณะนี้คําขอได้รับอนุญาตเนื่องจาก limitProxyState ได้รับการกําหนดค่าในโหมดตรวจสอบ ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม 

นี่คือเหตุการณ์การตรวจสอบสําหรับแพคเก็ตการตอบกลับ RADIUS ที่ได้รับโดยไม่มีแอตทริบิวต์ Message-Authenticator ที่พร็อกซี พิจารณาเปลี่ยนเซิร์ฟเวอร์ RADIUS ที่ระบุสําหรับแอตทริบิวต์ Message-Authenticator แพคเก็ต RADIUS จะถูกทิ้งเมื่อเปิดใช้งานการกําหนดค่า requiremsgauth

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

NPS

ID เหตุการณ์

4420

ข้อความเหตุการณ์

พร็อกซี RADIUS ได้รับการตอบกลับจากเซิร์ฟเวอร์ <>ip/name ด้วยแอตทริบิวต์ Message-Authenticator ที่หายไป ขณะนี้การตอบกลับได้รับอนุญาตเนื่องจากต้องกําหนดค่า MsgAuth ในโหมดตรวจสอบ ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม

เหตุการณ์นี้จะได้รับการบันทึกระหว่างเริ่มบริการเมื่อไม่มีการกําหนดค่าการตั้งค่าที่แนะนํา พิจารณาเปิดใช้งานการตั้งค่าหากเครือข่าย RADIUS ไม่ปลอดภัย สําหรับเครือข่ายที่ปลอดภัย เหตุการณ์เหล่านี้สามารถละเว้นได้

บันทึกเหตุการณ์

ระบบ

ชนิดเหตุการณ์

คำเตือน

แหล่งของเหตุการณ์

NPS

ID เหตุการณ์

4421

ข้อความเหตุการณ์

การกําหนดค่า RequireMsgAuth และ/หรือ limitProxyState อยู่ในโหมด <ปิดใช้งาน/ตรวจสอบ> การตั้งค่าเหล่านี้ควรได้รับการกําหนดค่าในโหมดเปิดใช้งานเพื่อความปลอดภัย ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม

การกําหนดค่า

การกําหนดค่านี้ทําให้พร็อกซี NPS เริ่มส่งแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ทั้งหมด เมื่อต้องการเปิดใช้งานการตั้งค่าคอนฟิกนี้ ให้ใช้วิธีการใดวิธีการหนึ่งต่อไปนี้

วิธีที่ 1: ใช้ Microsoft Management Console (MMC) NPS

เมื่อต้องการใช้ NPS MMC ให้ทําตามขั้นตอนเหล่านี้:

  1. เปิดส่วนติดต่อผู้ใช้ NPS (UI) บนเซิร์ฟเวอร์

  2. เปิด กลุ่ม Radius Server ระยะไกล

  3. เลือก Radius Server

  4. ไปที่ การรับรองความถูกต้อง/บัญชี

  5. คลิกเพื่อเลือกกล่องกาเครื่องหมาย คําขอต้องมีแอตทริบิวต์ Message-Authenticator

วิธีที่ 2: ใช้คําสั่ง netsh

เมื่อต้องการใช้ netsh ให้เรียกใช้คําสั่งต่อไปนี้:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

สําหรับข้อมูลเพิ่มเติม ให้ดูที่ คําสั่งกลุ่มเซิร์ฟเวอร์ RADIUS ระยะไกล

การกําหนดค่านี้จําเป็นต้องใช้แอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ทั้งหมด และปล่อยแพคเก็ตหากไม่มี

วิธีที่ 1: ใช้ Microsoft Management Console (MMC) NPS

เมื่อต้องการใช้ NPS MMC ให้ทําตามขั้นตอนเหล่านี้:

  1. เปิดส่วนติดต่อผู้ใช้ NPS (UI) บนเซิร์ฟเวอร์

  2. เปิด Radius Clients

  3. เลือก Radius Client

  4. ไปที่ การตั้งค่าขั้นสูง

  5. คลิกเพื่อเลือกกล่องกาเครื่องหมาย ข้อความการร้องขอการเข้าถึงต้องมีแอตทริบิวต์ตัวรับรองความถูกต้องของข้อความ

สําหรับข้อมูลเพิ่มเติม ให้ดูที่ กําหนดค่าไคลเอ็นต์ RADIUS

วิธีที่ 2: ใช้คําสั่ง netsh

เมื่อต้องการใช้ netsh ให้เรียกใช้คําสั่งต่อไปนี้:

netsh nps set client name = <client name> requireauthattrib = yes

สําหรับข้อมูลเพิ่มเติม ให้ดูที่ คําสั่งกลุ่มเซิร์ฟเวอร์ RADIUS ระยะไกล

การกําหนดค่านี้ทําให้เซิร์ฟเวอร์ NPS ยกเลิกแพคเก็ต Access-Request ที่มีความเสี่ยงที่มีแอตทริบิวต์พร็อกซีสถานะ แต่ไม่มีแอตทริบิวต์ Message-Authenticator การกําหนดค่านี้สนับสนุนสามโหมด:

  • การตรวจสอบ

  • เปิดใช้งาน

  • ปิดใช้งาน

ในโหมด ตรวจสอบ มีการบันทึกเหตุการณ์คําเตือน (รหัสเหตุการณ์: 4419) แต่คําขอจะยังคงประมวลผลอยู่ ใช้โหมดนี้เพื่อระบุเอนทิตีที่ไม่ตรงตามมาตรฐานที่ส่งคําขอ

ใช้คําสั่ง netsh เพื่อกําหนดค่า เปิดใช้งาน และเพิ่มข้อยกเว้นตามที่จําเป็น

  1. เมื่อต้องการกําหนดค่าไคลเอ็นต์ในโหมด ตรวจสอบ ให้เรียกใช้คําสั่งต่อไปนี้:

    netsh nps set limitproxystate all = "audit"

  2. เมื่อต้องการกําหนดค่าไคลเอ็นต์ในโหมด เปิดใช้งาน ให้เรียกใช้คําสั่งต่อไปนี้:

    netsh nps set limitproxystate all = "enable" 

  3. เมื่อต้องการเพิ่มข้อยกเว้นเพื่อแยกไคลเอ็นต์จาก limitProxystate validation ให้เรียกใช้คําสั่งต่อไปนี้:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

การกําหนดค่านี้ทําให้พร็อกซี NPS ยกเลิกข้อความตอบกลับที่อาจมีความเสี่ยงโดยไม่มีแอตทริบิวต์ Message-Authenticator การกําหนดค่านี้สนับสนุนสามโหมด:

  • การตรวจสอบ

  • เปิดใช้งาน

  • ปิดใช้งาน

ในโหมดตรวจสอบ มีการบันทึกเหตุการณ์คําเตือน (ID เหตุการณ์: 4420) แต่คําขอจะยังคงประมวลผลอยู่ ใช้โหมดนี้เพื่อระบุเอนทิตีที่ไม่ตรงตามมาตรฐานที่ส่งการตอบกลับ

ใช้คําสั่ง netsh เพื่อกําหนดค่า เปิดใช้งาน และเพิ่มข้อยกเว้นตามที่จําเป็น

  1. เมื่อต้องการกําหนดค่าเซิร์ฟเวอร์ในโหมดตรวจสอบ ให้เรียกใช้คําสั่งต่อไปนี้:

    all = "audit"จําเป็นต้องมีnetsh nps set

  2. เมื่อต้องการเปิดใช้งานการกําหนดค่าสําหรับเซิร์ฟเวอร์ทั้งหมด ให้เรียกใช้คําสั่งต่อไปนี้:

    netsh nps set requiremsgauth all = "enable"

  3. เมื่อต้องการเพิ่มข้อยกเว้นเพื่อแยกเซิร์ฟเวอร์จากการตรวจสอบความถูกต้องของ requireauthmsg ให้เรียกใช้คําสั่งต่อไปนี้:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

คำถามที่ถามบ่อย

ตรวจสอบเหตุการณ์โมดูล NPS สําหรับเหตุการณ์ที่เกี่ยวข้อง พิจารณาเพิ่มข้อยกเว้นหรือการปรับปรุงการกําหนดค่าสําหรับไคลเอ็นต์/เซิร์ฟเวอร์ที่ได้รับผลกระทบ

ไม่ แนะนําให้กําหนดค่าต่างๆ ที่กล่าวถึงในบทความนี้สําหรับเครือข่ายที่ไม่ปลอดภัย 

แหล่งอ้างอิง

คําอธิบายเกี่ยวกับคําศัพท์มาตรฐานที่ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์ของ Microsoft

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ ผลิตโดยบริษัทที่ไม่เกี่ยวข้องกับ Microsoft เราไม่รับประกันไม่ว่าโดยนัยหรือโดยอื่นใดเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ชุมชนช่วยให้คุณถามและตอบคําถาม ให้คําติชม และรับฟังจากผู้เชี่ยวชาญที่มีความรู้มากมาย