Önemli Microsoft Windows'un bazı sürümleri desteğin sonuna ulaştı. Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) kullanılabilir olduğunda, windows'un bazı sürümlerinin en son işletim sistemi bitiş tarihinden sonra desteklendiğini unutmayın. ESU sunan ürünlerin listesi için bkz. Yaşam Döngüsü SSS - Genişletilmiş Güvenlik Güncelleştirmeleri.
Tarihi değiştir |
Açıklamayı değiştir |
1 Ağustos 2024, Ağustos 2024 |
|
5 Ağustos 2024, Ağustos 2024 |
|
6 Ağustos 2024, Ağustos 2024 |
|
Içeriği
Özet
9 Temmuz 2024 veya sonrasındaki Windows güncelleştirmeleri, MD5 çakışma sorunlarıyla ilgili Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) protokolündeki bir güvenlik açığını giderir. MD5'teki zayıf bütünlük denetimleri nedeniyle, saldırgan yetkisiz erişim elde etmek için paketleri kurcalayabilir. MD5 güvenlik açığı, İnternet üzerinden Kullanıcı Veri Birimi Protokolü (UDP) tabanlı RADIUS trafiğini aktarım sırasında paket sahteciliği veya değişikliğe karşı güvenli olmayan hale getirir.
Bu güvenlik açığı hakkında daha fazla bilgi için bkz . CVE-2024-3596 ve RADIUS VE MD5 ÇARPIŞMA SALDIRILARI teknik incelemesi.
NOT Bu güvenlik açığı RADIUS ağına ve Ağ İlkesi Sunucusu'na (NPS) fiziksel erişim gerektirir. Bu nedenle, RADIUS ağlarının güvenliğini sağlayan müşteriler savunmasız değildir. Ayrıca, VPN üzerinden RADIUS iletişimi gerçekleştiğinde güvenlik açığı uygulanmaz.
Eyleme geçme
Ortamınızı korumaya yardımcı olmak için aşağıdaki yapılandırmaları etkinleştirmenizi öneririz. Daha fazla bilgi için Yapılandırmalar bölümüne bakın.
|
Bu güncelleştirme tarafından eklenen olaylar
Daha fazla bilgi için Yapılandırmalar bölümüne bakın.
Not Bu Olay Kimlikleri, 9 Temmuz 2024 tarihinde veya sonrasında tarihlenen Windows güncelleştirmeleri tarafından NPS sunucusuna eklenir.
Access-Request paketi Proxy-State özniteliğini içerdiğinden ancak İleti-Authenticator özniteliği eksik olduğundan bırakıldı. RADIUS istemcisini İleti Doğrulayıcı özniteliğini içerecek şekilde değiştirmeyi göz önünde bulundurun. Alternatif olarak, limitProxyState yapılandırmasını kullanarak RADIUS istemcisi için bir özel durum da ekleyebilirsiniz.
Olay günlüğü |
Sistem |
Olay türü |
Hata |
Olay kaynağı |
NPS |
Olay Kimliği |
4418 |
Olay metni |
RADIUS istemcisinden Proxy-State özniteliği içeren ip/ad>< bir Access-Request iletisi alındı, ancak Message-Authenticator özniteliği içermiyordu. Sonuç olarak istek bırakıldı. Message-Authenticator özniteliği güvenlik amacıyla zorunludur. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. |
Bu, Proxy-State varlığında İleti Doğrulayıcı özniteliği olmayan Access-Request paketleri için bir denetim olayıdır. RADIUS istemcisini İleti Doğrulayıcı özniteliğini içerecek şekilde değiştirmeyi göz önünde bulundurun. Limitproxystate yapılandırması etkinleştirildikten sonra RADIUS paketi bırakılır.
Olay günlüğü |
Sistem |
Olay türü |
Uyarı |
Olay kaynağı |
NPS |
Olay Kimliği |
4419 |
Olay metni |
RADIUS istemcisinden Proxy-State özniteliği içeren ip/ad>< bir Access-Request iletisi alındı, ancak Message-Authenticator özniteliği içermiyordu. limitProxyState Denetim modunda yapılandırıldığından şu anda isteğe izin verilir. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. |
Bu, ara sunucudaki message-authenticator özniteliği olmadan alınan RADIUS yanıt paketleri için bir Denetim olayıdır. İleti Doğrulayıcı özniteliği için belirtilen RADIUS sunucusunu değiştirmeyi göz önünde bulundurun. requiremsgauth yapılandırması etkinleştirildikten sonra RADIUS paketi bırakılır.
Olay günlüğü |
Sistem |
Olay türü |
Uyarı |
Olay kaynağı |
NPS |
Olay Kimliği |
4420 |
Olay metni |
RADIUS Ara Sunucusu, eksik bir Message-Authenticator özniteliğiyle ip/ad>< sunucudan bir yanıt aldı. requireMsgAuth Denetim modunda yapılandırıldığından şu anda yanıta izin verilir. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. |
Bu olay, önerilen ayarlar yapılandırılmadığında hizmet başlatma sırasında günlüğe kaydedilir. RADIUS ağı güvenli değilse ayarları etkinleştirmeyi göz önünde bulundurun. Güvenli ağlar için bu olaylar yoksayılabilir.
Olay günlüğü |
Sistem |
Olay türü |
Uyarı |
Olay kaynağı |
NPS |
Olay Kimliği |
4421 |
Olay metni |
RequireMsgAuth ve/veya limitProxyState yapılandırması <Disable/Audit> modundadır. Bu ayarlar güvenlik amacıyla Etkinleştirme modunda yapılandırılmalıdır. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. |
Yapılandırma
Bu yapılandırma, NPS Proxy'sinin tüm Access-Request paketlerinde message-authenticator özniteliğini göndermeye başlamasını sağlar. Bu yapılandırmayı etkinleştirmek için aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: NPS Microsoft Yönetim Konsolu'nu (MMC) kullanma
NPS MMC'yi kullanmak için şu adımları izleyin:
-
Sunucuda NPS kullanıcı arabirimini (UI) açın.
-
Uzak Radius Sunucu Grupları'nı açın.
-
Radius Sunucusu'nu seçin.
-
Kimlik Doğrulaması/Muhasebe'ye gidin.
-
İstekte Message-Authenticator özniteliği bulunmalıdır onay kutusunu seçmek için tıklayın.
Yöntem 2: netsh komutunu kullanma
netsh kullanmak için aşağıdaki komutu çalıştırın:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Daha fazla bilgi için bkz. Uzak RADIUS Sunucu Grubu Komutları.
Bu yapılandırma tüm Access-Request paketlerinde message-authenticator özniteliğini gerektirir ve yoksa paketi bırakır.
Yöntem 1: NPS Microsoft Yönetim Konsolu'nu (MMC) kullanma
NPS MMC'yi kullanmak için şu adımları izleyin:
-
Sunucuda NPS kullanıcı arabirimini (UI) açın.
-
Radius İstemcilerini açın.
-
Radius İstemcisi'ne tıklayın.
-
Gelişmiş Ayarlar'a gidin.
-
Access-Request iletilerinin ileti doğrulayıcı özniteliğini içermesi gerekir onay kutusunu seçmek için tıklayın.
Daha fazla bilgi için bkz. RADIUS İstemcilerini Yapılandırma.
Yöntem 2: netsh komutunu kullanma
netsh kullanmak için aşağıdaki komutu çalıştırın:
netsh nps set client name = <client name> requireauthattrib = yes
Daha fazla bilgi için bkz. Uzak RADIUS Sunucu Grubu Komutları.
Bu yapılandırma, NPS sunucusunun Bir Proxy-State özniteliği içeren ancak İleti-Authenticator özniteliği içermeyen olası güvenlik açığı olan Access-Request paketlerini bırakmasına olanak tanır. Bu yapılandırma üç modu destekler:
-
Denetim
-
Etkinleştir
-
Devre dışı bırak
Denetim modunda bir uyarı olayı (Olay Kimliği: 4419) günlüğe kaydedilir, ancak istek yine de işlenir. İstekleri gönderen uyumlu olmayan varlıkları tanımlamak için bu modu kullanın.
Gerektiğinde bir özel durum yapılandırmak, etkinleştirmek ve eklemek için netsh komutunu kullanın.
-
İstemcileri Denetim modunda yapılandırmak için aşağıdaki komutu çalıştırın:
netsh nps set limitproxystate all = "audit"
-
İstemcileri Etkinleştirme modunda yapılandırmak için aşağıdaki komutu çalıştırın:
netsh nps set limitproxystate all = "enable"
-
bir istemciyi limitProxystate doğrulamasının dışında tutmak üzere bir özel durum eklemek için aşağıdaki komutu çalıştırın:
netsh nps set limitproxystate name = <istemci adı> özel durumu = "Evet"
Bu yapılandırma, NPS Proxy'sinin İleti Doğrulayıcı özniteliği olmadan güvenlik açığı olabilecek yanıt iletilerini bırakmasına olanak tanır. Bu yapılandırma üç modu destekler:
-
Denetim
-
Etkinleştir
-
Devre dışı bırak
Denetim modunda bir uyarı olayı (Olay Kimliği: 4420) günlüğe kaydedilir, ancak istek yine de işlenir. Yanıtları gönderen uyumlu olmayan varlıkları tanımlamak için bu modu kullanın.
Gerektiğinde bir özel durum yapılandırmak, etkinleştirmek ve eklemek için netsh komutunu kullanın.
-
Sunucuları Denetim modunda yapılandırmak için aşağıdaki komutu çalıştırın:
requiremsgauth #x1netsh nps set
-
Tüm sunucularda yapılandırmaları etkinleştirmek için aşağıdaki komutu çalıştırın:
netsh nps set requiremsgauth all = "enable"
-
Bir sunucuyu requireauthmsg doğrulamasının dışında tutmak üzere bir özel durum eklemek için aşağıdaki komutu çalıştırın:
netsh nps set requiremsgauth remoteservergroup = <uzak sunucu grubu adı> adresi = <sunucu adresi> özel durum = "evet"
Sık sorulan sorular
İlgili olaylar için NPS modülü olaylarını denetleyin. Etkilenen istemciler/sunucular için özel durumlar veya yapılandırma ayarlamaları eklemeyi göz önünde bulundurun.
Hayır, bu makalede açıklanan yapılandırmalar güvenli olmayan ağlar için önerilir.
Başvurular
Microsoft yazılım güncelleştirmelerini açıklamak için kullanılan standart terminolojinin açıklaması
Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliği hakkında zımni veya başka bir şekilde hiçbir garanti vermeyeceğiz.
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.