Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Penting Versi Microsoft Windows tertentu telah mencapai akhir dukungan. Perhatikan bahwa beberapa versi Windows mungkin didukung melewati tanggal akhir OS terbaru ketika Pembaruan Keamanan Diperpanjang (ESUs, Extended Security Updates) tersedia. Lihat FAQ Siklus Hidup - Pembaruan Keamanan Diperpanjang untuk daftar produk yang menawarkan ESUs.

Ubah tanggal

Ubah deskripsi

1 Agustus 2024

  • Perubahan pemformatan minor untuk keterbacaan

  • Dalam konfigurasi "Mengonfigurasi verifikasi atribut Message-Authenticator di semua paket Permintaan Akses di klien", kata "pesan" digunakan sebagai ganti "paket"

5 Agustus 2024

  • Tautan ditambahkan untuk User Datagram Protocol (UDP)

  • Tautan ditambahkan untuk Network Policy Server (NPS)

6 Agustus 2024

  • Memperbarui bagian "Ringkasan" untuk menunjukkan perubahan ini disertakan dalam pembaruan Windows yang tertanggal pada atau setelah 9 Juli 2024

  • Perbarui poin bullet di bagian "Ambil tindakan" untuk mengindikasikan bahwa kami menyarankan untuk mengaktifkan opsi. Opsi ini dinonaktifkan secara default.

  • Menambahkan catatan ke bagian "Acara yang ditambahkan oleh pembaruan ini" untuk menunjukkan ID Kejadian ditambahkan ke server NPS oleh pembaruan Windows pada atau setelah 9 Juli 2024

Isi

Rangkuman

Pembaruan Windows tertanggal pada atau setelah 9 Juli 2024 mengatasi kerentanan keamanan dalam protokol Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) yang terkait dengan masalah tabrakan MD5 . Karena pemeriksaan integritas yang lemah di MD5, penyerang mungkin mengutak-atik paket untuk mendapatkan akses yang tidak sah. Kerentanan MD5 membuat lalu lintas RADIUS berbasis User Datagram Protocol (UDP) melalui internet tidak aman terhadap pemalsuan paket atau modifikasi selama transit. 

Untuk informasi selengkapnya tentang kerentanan ini, lihat CVE-2024-3596 dan whitepaper RADIUS AND MD5 COLLISION ATTACKS.

NOTA Kerentanan ini memerlukan akses fisik ke jaringan RADIUS dan Network Policy Server (NPS). Oleh karena itu, pelanggan yang telah mengamankan jaringan RADIUS tidak rentan. Selain itu, kerentanan tidak berlaku ketika komunikasi RADIUS terjadi melalui VPN. 

Ambil tindakan

Untuk membantu melindungi lingkungan Anda, sebaiknya aktifkan konfigurasi berikut. Untuk informasi selengkapnya, lihat bagian Konfigurasi .

  • Atur atribut Message-Authenticator dalam paket Access-Request . Pastikan semua paket Permintaan Akses menyertakan atribut Message-Authenticator . Secara default, opsi untuk mengatur atribut Message-Authenticator dinonaktifkan. Sebaiknya aktifkan opsi ini.

  • Verifikasi atribut Message-Authenticator dalam paket Access-Request . Pertimbangkan untuk memberlakukan validasi atribut Message-Authenticator pada paket Permintaan Akses . Paket Permintaan Akses tanpa atribut ini tidak akan diproses. Secara default, pesan Permintaan Akses harus berisi opsi atribut message-authenticator dinonaktifkan. Sebaiknya aktifkan opsi ini.

  • Verifikasi atribut Message-Authenticator dalam paket Access-Request jika atribut Proksi-State ada. Secara opsional, aktifkan opsi limitProxyState jika memberlakukan validasi atribut Message-Authenticator pada setiap paket Access-Request tidak dapat dilakukan. limitProxyState memberlakukan pengiriman paket Access-Request yang berisi atribut Proksi-state tanpa atribut Message-Authenticator . Secara default, opsi limitproxystate dinonaktifkan. Sebaiknya aktifkan opsi ini.

  • Verifikasi atribut Message-Authenticator dalam paket respons RADIUS: Access-Accept, Access-Reject , dan Access-Challenge. Aktifkan opsi requireMsgAuth untuk memberlakukan penghapusan paket respons RADIUS dari server jarak jauh tanpa atribut Message-Authenticator . Secara default, opsi requiremsgauth dinonaktifkan. Sebaiknya aktifkan opsi ini.

Acara yang ditambahkan oleh pembaruan ini

Untuk informasi selengkapnya, lihat bagian Konfigurasi .

Catatan ID Kejadian ini ditambahkan ke server NPS oleh pembaruan Windows tanggal atau setelah 9 Juli 2024.

Paket Permintaan Akses dijatuhkan karena berisi atribut Proksi-Status tetapi tidak memiliki atribut Message-Authenticator . Pertimbangkan untuk mengubah klien RADIUS agar menyertakan atribut Message-Authenticator . Atau, alternatifnya, tambahkan pengecualian untuk klien RADIUS dengan menggunakan konfigurasi limitProxyState .

Log kejadian

Sistem

Tipe kejadian

Kesalahan

Sumber kejadian

NPS

ID Kejadian

4418

Teks acara

Pesan Access-Request diterima dari klien RADIUS <ip/name> yang berisi atribut Proxy-State, tetapi tidak menyertakan atribut Message-Authenticator. Akibatnya, permintaan tersebut dijatuhkan. Atribut Message-Authenticator wajib untuk tujuan keamanan. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya. 

Ini adalah kejadian audit untuk paket Permintaan Akses tanpa atribut Message-Authenticator di hadapan Proksi-State. Pertimbangkan untuk mengubah klien RADIUS agar menyertakan atribut Message-Authenticator . Paket RADIUS akan dibuang setelah konfigurasi limitproxystate diaktifkan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4419

Teks acara

Pesan Access-Request diterima dari klien RADIUS <ip/name> yang berisi atribut Proxy-State, tetapi tidak menyertakan atribut Message-Authenticator. Permintaan saat ini diperbolehkan karena limitProxyState dikonfigurasi dalam mode Audit. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya. 

Ini adalah kejadian Audit untuk paket respons RADIUS yang diterima tanpa atribut Message-Authenticator di proksi. Pertimbangkan untuk mengubah server RADIUS tertentu untuk atribut Message-Authenticator . Paket RADIUS akan dijatuhkan setelah konfigurasi requiremsgauth diaktifkan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4420

Teks acara

Proksi RADIUS menerima respons dari server <ip/nama> dengan atribut Message-Authenticator yang hilang. Respons saat ini diperbolehkan karena requireMsgAuth dikonfigurasi dalam mode Audit. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya.

Kejadian ini dicatat selama layanan dimulai ketika pengaturan yang disarankan tidak dikonfigurasi. Pertimbangkan untuk mengaktifkan pengaturan jika jaringan RADIUS tidak aman. Untuk jaringan aman, aktivitas ini bisa diabaikan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4421

Teks acara

RequireMsgAuth dan/atau limitProxyState konfigurasi berada dalam mode<Disable/Audit> . Pengaturan ini harus dikonfigurasi dalam mode Aktifkan untuk tujuan keamanan. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya.

Konfigurasi

Konfigurasi ini memungkinkan Proksi NPS untuk mulai mengirim atribut Message-Authenticator di semua paket Access-Request . Untuk mengaktifkan konfigurasi ini, gunakan salah satu metode berikut.

Metode 1: Gunakan Konsol Manajemen Microsoft NPS (MMC)

Untuk menggunakan NPS MMC, ikuti langkah-langkah ini:

  1. Buka antarmuka pengguna (UI) NPS di server.

  2. Buka Grup Server Radius jarak jauh.

  3. Pilih Radius Server.

  4. Masuk ke Autentikasi/Akuntansi.

  5. Klik untuk memilih kotak centang Permintaan harus berisi atribut Message-Authenticator .

Metode 2: Gunakan perintah netsh

Untuk menggunakan netsh, jalankan perintah berikut:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Untuk informasi selengkapnya, lihat Perintah Grup Server RADIUS Jarak Jauh.

Konfigurasi ini memerlukan atribut Message-Authenticator di semua paket Access-Request dan menjatuhkan paket jika tidak ada.

Metode 1: Gunakan Konsol Manajemen Microsoft NPS (MMC)

Untuk menggunakan NPS MMC, ikuti langkah-langkah ini:

  1. Buka antarmuka pengguna (UI) NPS di server.

  2. Buka Klien Radius.

  3. Pilih Klien Radius.

  4. Masuk ke Pengaturan Lanjutan.

  5. Klik untuk memilih kotak centang Pesan Permintaan-Akses harus berisi atribut message-authenticator .

Untuk informasi selengkapnya, lihat Mengonfigurasi Klien RADIUS.

Metode 2: Gunakan perintah netsh

Untuk menggunakan netsh, jalankan perintah berikut:

netsh nps set client name = <client name> requireauthattrib = yes

Untuk informasi selengkapnya, lihat Perintah Grup Server RADIUS Jarak Jauh.

Konfigurasi ini memungkinkan server NPS untuk menjatuhkan paket Permintaan Akses yang rentan potensial yang berisi atribut Proksi-Status , tetapi tidak menyertakan atribut Message-Authenticator . Konfigurasi ini mendukung tiga mode:

  • Audit

  • Mengaktifkan

  • Menonaktifkan

Dalam mode Audit , kejadian peringatan (ID Kejadian: 4419) dicatat, tetapi permintaan masih diproses. Gunakan mode ini untuk mengidentifikasi entitas yang tidak memenuhi syarat yang mengirimkan permintaan.

Gunakan perintah netsh untuk mengonfigurasi, mengaktifkan, dan menambahkan pengecualian sesuai kebutuhan.

  1. Untuk mengonfigurasi klien dalam mode Audit , jalankan perintah berikut:

    netsh nps set limitproxystate all = "audit"

  2. Untuk mengonfigurasi klien dalam mode Aktifkan, jalankan perintah berikut:

    netsh nps set limitproxystate all = "enable" 

  3. Untuk menambahkan pengecualian untuk mengecualikan klien dari validasi limitProxystate , jalankan perintah berikut:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Konfigurasi ini memungkinkan Proksi NPS untuk menjatuhkan pesan respons yang berpotensi rentan tanpa atribut Message-Authenticator . Konfigurasi ini mendukung tiga mode:

  • Audit

  • Mengaktifkan

  • Menonaktifkan

Dalam mode Audit, kejadian peringatan (ID Kejadian: 4420) dicatat, tetapi permintaan masih diproses. Gunakan mode ini untuk mengidentifikasi entitas yang tidak memenuhi syarat yang mengirimkan respons.

Gunakan perintah netsh untuk mengonfigurasi, mengaktifkan, dan menambahkan pengecualian sesuai kebutuhan.

  1. Untuk mengonfigurasi server dalam mode Audit, jalankan perintah berikut:

    netsh nps set memerlukanall = "audit"

  2. Untuk mengaktifkan konfigurasi untuk semua server, jalankan perintah berikut:

    netsh nps set requiremsgauth semua = "enable"

  3. Untuk menambahkan pengecualian untuk mengecualikan server dari validasi requireauthmsg, jalankan perintah berikut:

    netsh nps set requiremsgauth remoteservergroup = <nama grup server jarak jauh> alamat = <alamat server> pengecualian = "ya"

Pertanyaan umum

Periksa kejadian modul NPS untuk kejadian terkait. Pertimbangkan untuk menambahkan pengecualian atau penyesuaian konfigurasi untuk klien/server yang terpengaruh.

Tidak, konfigurasi yang dibahas dalam artikel ini direkomendasikan untuk jaringan yang tidak aman. 

Referensi

Deskripsi terminologi standar yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft

Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan yang bukan merupakan bagian dari Microsoft. Kami tidak memberikan jaminan, tersirat atau tersurat, tentang kinerja atau keandalan produk ini.

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider