สำคัญ Microsoft Windows บางเวอร์ชันสิ้นสุดการสนับสนุนแล้ว โปรดทราบว่า Windows บางเวอร์ชันอาจได้รับการสนับสนุนเมื่อเลยวันสิ้นสุดของระบบปฏิบัติการล่าสุดแล้ว เมื่อการอัปเดตความปลอดภัยที่ขยายเวลา (ESU) พร้อมใช้งาน ดู คําถามที่ถามบ่อยเกี่ยวกับวงจรการใช้งาน - การอัปเดตความปลอดภัยที่ขยายเวลา สําหรับรายการผลิตภัณฑ์ที่เสนอ ESU
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
วันที่ 1 สิงหาคม 2567 |
|
|
วันที่ 5 สิงหาคม 2567 |
|
|
วันที่ 6 สิงหาคม 2567 |
|
เนื้อหา
บทสรุป
การอัปเดต Windows ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024 แก้ไขปัญหาช่องโหว่ด้านความปลอดภัยในโพรโทคอล Remote Authentication Dial-In User Service (RADIUS) ที่เกี่ยวข้องกับปัญหาการชนกันของ MD5 เนื่องจากการตรวจสอบความสมบูรณ์ที่อ่อนแอใน MD5 ผู้โจมตีอาจเปลี่ยนแปลงแพคเก็ตเพื่อให้สามารถเข้าถึงโดยไม่ได้รับอนุญาตได้ ช่องโหว่ MD5 ทําให้ปริมาณการใช้งาน RADIUS ที่ใช้ User Datagram Protocol (UDP) ผ่านอินเทอร์เน็ตไม่ปลอดภัยจากการปลอมแปลงแพคเก็ตหรือการปรับเปลี่ยนระหว่างการขนส่ง
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ ให้ดูที่ การโจมตี CVE-2024-3596 และ RADIUS และ MD5 COLLISION
โน้ต ช่องโหว่นี้จําเป็นต้องมีการเข้าถึงทางกายภาพไปยังเครือข่าย RADIUS และเซิร์ฟเวอร์นโยบายเครือข่าย (NPS) ดังนั้น ลูกค้าที่มีเครือข่าย RADIUS ที่ปลอดภัยจะไม่ได้รับความเสี่ยง นอกจากนี้ ช่องโหว่ไม่ใช้เมื่อมีการติดต่อสื่อสาร RADIUS ผ่าน VPN
ดําเนินการ
|
เราขอแนะนําให้เปิดใช้งานการกําหนดค่าต่อไปนี้เพื่อช่วยปกป้องสภาพแวดล้อมของคุณ สําหรับข้อมูลเพิ่มเติม ให้ดูที่ส่วน โครงแบบ
|
เหตุการณ์ที่เพิ่มโดยการอัปเดตนี้
สําหรับข้อมูลเพิ่มเติม ให้ดูที่ส่วน โครงแบบ
หมายเหตุ รหัสเหตุการณ์เหล่านี้จะถูกเพิ่มลงในเซิร์ฟเวอร์ NPS โดยการอัปเดต Windows ที่ลงวันที่หรือหลังจากวันที่ 9 กรกฎาคม 2024
แพคเก็ต Access-Request ถูกข้ามเนื่องจากประกอบด้วยแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator พิจารณาเปลี่ยนไคลเอ็นต์ RADIUS เพื่อรวมแอตทริบิวต์ Message-Authenticator หรือเพิ่มข้อยกเว้นสําหรับไคลเอ็นต์ RADIUS โดยใช้การกําหนดค่า limitProxyState
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
ข้อผิดพลาด |
|
แหล่งของเหตุการณ์ |
NPS |
|
ID เหตุการณ์ |
4418 |
|
ข้อความเหตุการณ์ |
ได้รับข้อความ Access-Request จากไคลเอ็นต์ RADIUS <>ip/name ที่มีแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator ด้วยเหตุนี้ คําขอจึงถูกตัด แอตทริบิวต์ Message-Authenticator เป็นแอตทริบิวต์ที่จําเป็นสําหรับวัตถุประสงค์ด้านความปลอดภัย ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม |
นี่คือเหตุการณ์การตรวจสอบสําหรับแพคเก็ต Access-Request โดยไม่มีแอตทริบิวต์ Message-Authenticator ในสถานะของพร็อกซี พิจารณาเปลี่ยนไคลเอ็นต์ RADIUS เพื่อรวมแอตทริบิวต์ Message-Authenticator แพคเก็ต RADIUS จะถูกทิ้งเมื่อเปิดใช้งานการกําหนดค่า limitproxystate
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
NPS |
|
ID เหตุการณ์ |
4419 |
|
ข้อความเหตุการณ์ |
ได้รับข้อความ Access-Request จากไคลเอ็นต์ RADIUS <>ip/name ที่มีแอตทริบิวต์ Proxy-State แต่ไม่มีแอตทริบิวต์ Message-Authenticator ขณะนี้คําขอได้รับอนุญาตเนื่องจาก limitProxyState ได้รับการกําหนดค่าในโหมดตรวจสอบ ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม |
นี่คือเหตุการณ์การตรวจสอบสําหรับแพคเก็ตการตอบกลับ RADIUS ที่ได้รับโดยไม่มีแอตทริบิวต์ Message-Authenticator ที่พร็อกซี พิจารณาเปลี่ยนเซิร์ฟเวอร์ RADIUS ที่ระบุสําหรับแอตทริบิวต์ Message-Authenticator แพคเก็ต RADIUS จะถูกทิ้งเมื่อเปิดใช้งานการกําหนดค่า requiremsgauth
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
NPS |
|
ID เหตุการณ์ |
4420 |
|
ข้อความเหตุการณ์ |
พร็อกซี RADIUS ได้รับการตอบกลับจากเซิร์ฟเวอร์ <>ip/name ด้วยแอตทริบิวต์ Message-Authenticator ที่หายไป ขณะนี้การตอบกลับได้รับอนุญาตเนื่องจากต้องกําหนดค่า MsgAuth ในโหมดตรวจสอบ ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม |
เหตุการณ์นี้จะได้รับการบันทึกระหว่างเริ่มบริการเมื่อไม่มีการกําหนดค่าการตั้งค่าที่แนะนํา พิจารณาเปิดใช้งานการตั้งค่าหากเครือข่าย RADIUS ไม่ปลอดภัย สําหรับเครือข่ายที่ปลอดภัย เหตุการณ์เหล่านี้สามารถละเว้นได้
|
บันทึกเหตุการณ์ |
ระบบ |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
NPS |
|
ID เหตุการณ์ |
4421 |
|
ข้อความเหตุการณ์ |
การกําหนดค่า RequireMsgAuth และ/หรือ limitProxyState อยู่ในโหมด <ปิดใช้งาน/ตรวจสอบ> การตั้งค่าเหล่านี้ควรได้รับการกําหนดค่าในโหมดเปิดใช้งานเพื่อความปลอดภัย ดู https://support.microsoft.com/help/5040268 เพื่อเรียนรู้เพิ่มเติม |
การกําหนดค่า
การกําหนดค่านี้ทําให้พร็อกซี NPS เริ่มส่งแอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ทั้งหมด เมื่อต้องการเปิดใช้งานการตั้งค่าคอนฟิกนี้ ให้ใช้วิธีการใดวิธีการหนึ่งต่อไปนี้
วิธีที่ 1: ใช้ Microsoft Management Console (MMC) NPS
เมื่อต้องการใช้ NPS MMC ให้ทําตามขั้นตอนเหล่านี้:
-
เปิดส่วนติดต่อผู้ใช้ NPS (UI) บนเซิร์ฟเวอร์
-
เปิด กลุ่ม Radius Server ระยะไกล
-
เลือก Radius Server
-
ไปที่ การรับรองความถูกต้อง/บัญชี
-
คลิกเพื่อเลือกกล่องกาเครื่องหมาย คําขอต้องมีแอตทริบิวต์ Message-Authenticator
วิธีที่ 2: ใช้คําสั่ง netsh
เมื่อต้องการใช้ netsh ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
สําหรับข้อมูลเพิ่มเติม ให้ดูที่ คําสั่งกลุ่มเซิร์ฟเวอร์ RADIUS ระยะไกล
การกําหนดค่านี้จําเป็นต้องใช้แอตทริบิวต์ Message-Authenticator ในแพคเก็ต Access-Request ทั้งหมด และปล่อยแพคเก็ตหากไม่มี
วิธีที่ 1: ใช้ Microsoft Management Console (MMC) NPS
เมื่อต้องการใช้ NPS MMC ให้ทําตามขั้นตอนเหล่านี้:
-
เปิดส่วนติดต่อผู้ใช้ NPS (UI) บนเซิร์ฟเวอร์
-
เปิด Radius Clients
-
เลือก Radius Client
-
ไปที่ การตั้งค่าขั้นสูง
-
คลิกเพื่อเลือกกล่องกาเครื่องหมาย ข้อความการร้องขอการเข้าถึงต้องมีแอตทริบิวต์ตัวรับรองความถูกต้องของข้อความ
สําหรับข้อมูลเพิ่มเติม ให้ดูที่ กําหนดค่าไคลเอ็นต์ RADIUS
วิธีที่ 2: ใช้คําสั่ง netsh
เมื่อต้องการใช้ netsh ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set client name = <client name> requireauthattrib = yes
สําหรับข้อมูลเพิ่มเติม ให้ดูที่ คําสั่งกลุ่มเซิร์ฟเวอร์ RADIUS ระยะไกล
การกําหนดค่านี้ทําให้เซิร์ฟเวอร์ NPS ยกเลิกแพคเก็ต Access-Request ที่มีความเสี่ยงที่มีแอตทริบิวต์พร็อกซีสถานะ แต่ไม่มีแอตทริบิวต์ Message-Authenticator การกําหนดค่านี้สนับสนุนสามโหมด:
-
การตรวจสอบ
-
เปิดใช้งาน
-
ปิดใช้งาน
ในโหมด ตรวจสอบ มีการบันทึกเหตุการณ์คําเตือน (รหัสเหตุการณ์: 4419) แต่คําขอจะยังคงประมวลผลอยู่ ใช้โหมดนี้เพื่อระบุเอนทิตีที่ไม่ตรงตามมาตรฐานที่ส่งคําขอ
ใช้คําสั่ง netsh เพื่อกําหนดค่า เปิดใช้งาน และเพิ่มข้อยกเว้นตามที่จําเป็น
-
เมื่อต้องการกําหนดค่าไคลเอ็นต์ในโหมด ตรวจสอบ ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set limitproxystate all = "audit"
-
เมื่อต้องการกําหนดค่าไคลเอ็นต์ในโหมด เปิดใช้งาน ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set limitproxystate all = "enable"
-
เมื่อต้องการเพิ่มข้อยกเว้นเพื่อแยกไคลเอ็นต์จาก limitProxystate validation ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set limitproxystate name = <client name> exception = "Yes"
การกําหนดค่านี้ทําให้พร็อกซี NPS ยกเลิกข้อความตอบกลับที่อาจมีความเสี่ยงโดยไม่มีแอตทริบิวต์ Message-Authenticator การกําหนดค่านี้สนับสนุนสามโหมด:
-
การตรวจสอบ
-
เปิดใช้งาน
-
ปิดใช้งาน
ในโหมดตรวจสอบ มีการบันทึกเหตุการณ์คําเตือน (ID เหตุการณ์: 4420) แต่คําขอจะยังคงประมวลผลอยู่ ใช้โหมดนี้เพื่อระบุเอนทิตีที่ไม่ตรงตามมาตรฐานที่ส่งการตอบกลับ
ใช้คําสั่ง netsh เพื่อกําหนดค่า เปิดใช้งาน และเพิ่มข้อยกเว้นตามที่จําเป็น
-
เมื่อต้องการกําหนดค่าเซิร์ฟเวอร์ในโหมดตรวจสอบ ให้เรียกใช้คําสั่งต่อไปนี้:
all = "audit"จําเป็นต้องมีnetsh nps set
-
เมื่อต้องการเปิดใช้งานการกําหนดค่าสําหรับเซิร์ฟเวอร์ทั้งหมด ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set requiremsgauth all = "enable"
-
เมื่อต้องการเพิ่มข้อยกเว้นเพื่อแยกเซิร์ฟเวอร์จากการตรวจสอบความถูกต้องของ requireauthmsg ให้เรียกใช้คําสั่งต่อไปนี้:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
คำถามที่ถามบ่อย
ตรวจสอบเหตุการณ์โมดูล NPS สําหรับเหตุการณ์ที่เกี่ยวข้อง พิจารณาเพิ่มข้อยกเว้นหรือการปรับปรุงการกําหนดค่าสําหรับไคลเอ็นต์/เซิร์ฟเวอร์ที่ได้รับผลกระทบ
ไม่ แนะนําให้กําหนดค่าต่างๆ ที่กล่าวถึงในบทความนี้สําหรับเครือข่ายที่ไม่ปลอดภัย
แหล่งอ้างอิง
คําอธิบายเกี่ยวกับคําศัพท์มาตรฐานที่ใช้เพื่ออธิบายการอัปเดตซอฟต์แวร์ของ Microsoft
ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ ผลิตโดยบริษัทที่ไม่เกี่ยวข้องกับ Microsoft เราไม่รับประกันไม่ว่าโดยนัยหรือโดยอื่นใดเกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้
เรามีข้อมูลที่ติดต่อของบริษัทอื่นเพื่อช่วยคุณค้นหาการสนับสนุนทางเทคนิค ข้อมูลที่ติดต่อนี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า เราไม่รับรองความถูกต้องของข้อมูลที่ติดต่อของบริษัทภายนอกนี้
