Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Önemli Microsoft Windows'un bazı sürümleri desteğin sonuna ulaştı. Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) kullanılabilir olduğunda, windows'un bazı sürümlerinin en son işletim sistemi bitiş tarihinden sonra desteklendiğini unutmayın. ESU sunan ürünlerin listesi için bkz. Yaşam Döngüsü SSS - Genişletilmiş Güvenlik Güncelleştirmeleri.

Tarihi değiştir

Açıklamayı değiştir

1 Ağustos 2024, Ağustos 2024

  • Okunabilirlik için küçük biçimlendirme değişiklikleri

  • "İstemcideki tüm Access-Request paketlerinde message-authenticator özniteliğinin doğrulanmasını yapılandırma" yapılandırmasında, "paket" yerine "ileti" sözcüğü kullanıldı

5 Ağustos 2024, Ağustos 2024

  • Kullanıcı Veri Birimi Protokolü (UDP) için bağlantı eklendi

  • Ağ İlkesi Sunucusu (NPS) için bağlantı eklendi

6 Ağustos 2024, Ağustos 2024

  • "Özet" bölümü, bu değişikliklerin 9 Temmuz 2024 tarihinde veya sonrasındaki Windows güncelleştirmelerine dahil olduğunu gösterecek şekilde güncelleştirildi

  • "Eyleme geç" bölümündeki madde işareti noktaları, seçenekleri açmanızı önerdiğimizi gösterecek şekilde güncelleştirildi. Bu seçenekler varsayılan olarak kapalıdır.

  • Olay Kimliklerinin 9 Temmuz 2024 veya sonrasında tarihli Windows güncelleştirmeleri tarafından NPS sunucusuna eklendiğini belirtmek için "Bu güncelleştirme tarafından eklenen olaylar" bölümüne bir not eklendi

Içeriği

Özet

9 Temmuz 2024 veya sonrasındaki Windows güncelleştirmeleri, MD5 çakışma sorunlarıyla ilgili Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) protokolündeki bir güvenlik açığını giderir. MD5'teki zayıf bütünlük denetimleri nedeniyle, saldırgan yetkisiz erişim elde etmek için paketleri kurcalayabilir. MD5 güvenlik açığı, İnternet üzerinden Kullanıcı Veri Birimi Protokolü (UDP) tabanlı RADIUS trafiğini aktarım sırasında paket sahteciliği veya değişikliğe karşı güvenli olmayan hale getirir. 

Bu güvenlik açığı hakkında daha fazla bilgi için bkz . CVE-2024-3596 ve RADIUS VE MD5 ÇARPIŞMA SALDIRILARI teknik incelemesi.

NOT Bu güvenlik açığı RADIUS ağına ve Ağ İlkesi Sunucusu'na (NPS) fiziksel erişim gerektirir. Bu nedenle, RADIUS ağlarının güvenliğini sağlayan müşteriler savunmasız değildir. Ayrıca, VPN üzerinden RADIUS iletişimi gerçekleştiğinde güvenlik açığı uygulanmaz. 

Eyleme geçme

Ortamınızı korumaya yardımcı olmak için aşağıdaki yapılandırmaları etkinleştirmenizi öneririz. Daha fazla bilgi için Yapılandırmalar bölümüne bakın.

  • Access-Request paketlerinde message-authenticator özniteliğini ayarlayın. Tüm Access-Request paketlerinin message-authenticator özniteliğini içerdiğinden emin olun. Varsayılan olarak, message-authenticator özniteliğini ayarlama seçeneği kapalıdır. Bu seçeneği açmanızı öneririz.

  • Access-Request paketlerinde message-authenticator özniteliğini doğrulayın. Access-Request paketlerinde message-authenticator özniteliğini doğrulamayı zorunlu kılmayı göz önünde bulundurun. Bu öznitelik olmadan Access-Request paketleri işlenmez. Varsayılan olarak, Access-Request iletileri ileti doğrulayıcı özniteliğini içermelidir seçeneği kapalıdır. Bu seçeneği açmanızı öneririz.

  • Proxy-State özniteliği varsa, Access-Request paketlerinde message-authenticator özniteliğini doğrulayın. İsteğe bağlı olarak, her Access-Request paketinde Message-Authenticator özniteliğinin doğrulanması zorunlu kılınmazsa limitProxyState seçeneğini etkinleştirin. limitProxyState, Message-Authenticator özniteliği olmadan Proxy-state özniteliğini içeren Access-Request paketlerinin bırakılmalarını zorunlu kılıyor. Varsayılan olarak limitproxystate seçeneği kapalıdır. Bu seçeneği açmanızı öneririz.

  • RADIUS yanıt paketlerinde message-authenticator özniteliğini doğrulayın: Access-Accept, Access-Reject ve Access-Challenge. Message-Authenticator özniteliği olmadan uzak sunuculardan RADIUS yanıt paketlerinin bırakılma işlemini zorunlu kılmak için requireMsgAuth seçeneğini etkinleştirin. Varsayılan olarak requiremsgauth seçeneği kapalıdır. Bu seçeneği açmanızı öneririz.

Bu güncelleştirme tarafından eklenen olaylar

Daha fazla bilgi için Yapılandırmalar bölümüne bakın.

Not Bu Olay Kimlikleri, 9 Temmuz 2024 tarihinde veya sonrasında tarihlenen Windows güncelleştirmeleri tarafından NPS sunucusuna eklenir.

Access-Request paketi Proxy-State özniteliğini içerdiğinden ancak İleti-Authenticator özniteliği eksik olduğundan bırakıldı. RADIUS istemcisini İleti Doğrulayıcı özniteliğini içerecek şekilde değiştirmeyi göz önünde bulundurun. Alternatif olarak, limitProxyState yapılandırmasını kullanarak RADIUS istemcisi için bir özel durum da ekleyebilirsiniz.

Olay günlüğü

Sistem

Olay türü

Hata

Olay kaynağı

NPS

Olay Kimliği

4418

Olay metni

RADIUS istemcisinden Proxy-State özniteliği içeren ip/ad>< bir Access-Request iletisi alındı, ancak Message-Authenticator özniteliği içermiyordu. Sonuç olarak istek bırakıldı. Message-Authenticator özniteliği güvenlik amacıyla zorunludur. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. 

Bu, Proxy-State varlığında İleti Doğrulayıcı özniteliği olmayan Access-Request paketleri için bir denetim olayıdır. RADIUS istemcisini İleti Doğrulayıcı özniteliğini içerecek şekilde değiştirmeyi göz önünde bulundurun. Limitproxystate yapılandırması etkinleştirildikten sonra RADIUS paketi bırakılır.

Olay günlüğü

Sistem

Olay türü

Uyarı

Olay kaynağı

NPS

Olay Kimliği

4419

Olay metni

RADIUS istemcisinden Proxy-State özniteliği içeren ip/ad>< bir Access-Request iletisi alındı, ancak Message-Authenticator özniteliği içermiyordu. limitProxyState Denetim modunda yapılandırıldığından şu anda isteğe izin verilir. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268. 

Bu, ara sunucudaki message-authenticator özniteliği olmadan alınan RADIUS yanıt paketleri için bir Denetim olayıdır. İleti Doğrulayıcı özniteliği için belirtilen RADIUS sunucusunu değiştirmeyi göz önünde bulundurun. requiremsgauth yapılandırması etkinleştirildikten sonra RADIUS paketi bırakılır.

Olay günlüğü

Sistem

Olay türü

Uyarı

Olay kaynağı

NPS

Olay Kimliği

4420

Olay metni

RADIUS Ara Sunucusu, eksik bir Message-Authenticator özniteliğiyle ip/ad>< sunucudan bir yanıt aldı. requireMsgAuth Denetim modunda yapılandırıldığından şu anda yanıta izin verilir. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268.

Bu olay, önerilen ayarlar yapılandırılmadığında hizmet başlatma sırasında günlüğe kaydedilir. RADIUS ağı güvenli değilse ayarları etkinleştirmeyi göz önünde bulundurun. Güvenli ağlar için bu olaylar yoksayılabilir.

Olay günlüğü

Sistem

Olay türü

Uyarı

Olay kaynağı

NPS

Olay Kimliği

4421

Olay metni

RequireMsgAuth ve/veya limitProxyState yapılandırması <Disable/Audit> modundadır. Bu ayarlar güvenlik amacıyla Etkinleştirme modunda yapılandırılmalıdır. Daha fazla bilgi edinmek için bkz. https://support.microsoft.com/help/5040268.

Yapılandırma

Bu yapılandırma, NPS Proxy'sinin tüm Access-Request paketlerinde message-authenticator özniteliğini göndermeye başlamasını sağlar. Bu yapılandırmayı etkinleştirmek için aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: NPS Microsoft Yönetim Konsolu'nu (MMC) kullanma

NPS MMC'yi kullanmak için şu adımları izleyin:

  1. Sunucuda NPS kullanıcı arabirimini (UI) açın.

  2. Uzak Radius Sunucu Grupları'nı açın.

  3. Radius Sunucusu'nu seçin.

  4. Kimlik Doğrulaması/Muhasebe'ye gidin.

  5. İstekte Message-Authenticator özniteliği bulunmalıdır onay kutusunu seçmek için tıklayın.

Yöntem 2: netsh komutunu kullanma

netsh kullanmak için aşağıdaki komutu çalıştırın:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Daha fazla bilgi için bkz. Uzak RADIUS Sunucu Grubu Komutları.

Bu yapılandırma tüm Access-Request paketlerinde message-authenticator özniteliğini gerektirir ve yoksa paketi bırakır.

Yöntem 1: NPS Microsoft Yönetim Konsolu'nu (MMC) kullanma

NPS MMC'yi kullanmak için şu adımları izleyin:

  1. Sunucuda NPS kullanıcı arabirimini (UI) açın.

  2. Radius İstemcilerini açın.

  3. Radius İstemcisi'ne tıklayın.

  4. Gelişmiş Ayarlar'a gidin.

  5. Access-Request iletilerinin ileti doğrulayıcı özniteliğini içermesi gerekir onay kutusunu seçmek için tıklayın.

Daha fazla bilgi için bkz. RADIUS İstemcilerini Yapılandırma.

Yöntem 2: netsh komutunu kullanma

netsh kullanmak için aşağıdaki komutu çalıştırın:

netsh nps set client name = <client name> requireauthattrib = yes

Daha fazla bilgi için bkz. Uzak RADIUS Sunucu Grubu Komutları.

Bu yapılandırma, NPS sunucusunun Bir Proxy-State özniteliği içeren ancak İleti-Authenticator özniteliği içermeyen olası güvenlik açığı olan Access-Request paketlerini bırakmasına olanak tanır. Bu yapılandırma üç modu destekler:

  • Denetim

  • Etkinleştir

  • Devre dışı bırak

Denetim modunda bir uyarı olayı (Olay Kimliği: 4419) günlüğe kaydedilir, ancak istek yine de işlenir. İstekleri gönderen uyumlu olmayan varlıkları tanımlamak için bu modu kullanın.

Gerektiğinde bir özel durum yapılandırmak, etkinleştirmek ve eklemek için netsh komutunu kullanın.

  1. İstemcileri Denetim modunda yapılandırmak için aşağıdaki komutu çalıştırın:

    netsh nps set limitproxystate all = "audit"

  2. İstemcileri Etkinleştirme modunda yapılandırmak için aşağıdaki komutu çalıştırın:

    netsh nps set limitproxystate all = "enable" 

  3. bir istemciyi limitProxystate doğrulamasının dışında tutmak üzere bir özel durum eklemek için aşağıdaki komutu çalıştırın:

    netsh nps set limitproxystate name = <istemci adı> özel durumu = "Evet" 

Bu yapılandırma, NPS Proxy'sinin İleti Doğrulayıcı özniteliği olmadan güvenlik açığı olabilecek yanıt iletilerini bırakmasına olanak tanır. Bu yapılandırma üç modu destekler:

  • Denetim

  • Etkinleştir

  • Devre dışı bırak

Denetim modunda bir uyarı olayı (Olay Kimliği: 4420) günlüğe kaydedilir, ancak istek yine de işlenir. Yanıtları gönderen uyumlu olmayan varlıkları tanımlamak için bu modu kullanın.

Gerektiğinde bir özel durum yapılandırmak, etkinleştirmek ve eklemek için netsh komutunu kullanın.

  1. Sunucuları Denetim modunda yapılandırmak için aşağıdaki komutu çalıştırın:

    requiremsgauth #x1netsh nps set

  2. Tüm sunucularda yapılandırmaları etkinleştirmek için aşağıdaki komutu çalıştırın:

    netsh nps set requiremsgauth all = "enable"

  3. Bir sunucuyu requireauthmsg doğrulamasının dışında tutmak üzere bir özel durum eklemek için aşağıdaki komutu çalıştırın:

    netsh nps set requiremsgauth remoteservergroup = <uzak sunucu grubu adı> adresi = <sunucu adresi> özel durum = "evet"

Sık sorulan sorular

İlgili olaylar için NPS modülü olaylarını denetleyin. Etkilenen istemciler/sunucular için özel durumlar veya yapılandırma ayarlamaları eklemeyi göz önünde bulundurun.

Hayır, bu makalede açıklanan yapılandırmalar güvenli olmayan ağlar için önerilir. 

Başvurular

Microsoft yazılım güncelleştirmelerini açıklamak için kullanılan standart terminolojinin açıklaması

Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliği hakkında zımni veya başka bir şekilde hiçbir garanti vermeyeceğiz.

Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.