Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Vaћno Određene verzije operativnog sistema Microsoft Windows dostigle su kraj podrške. Imajte na umu da neke verzije operativnog sistema Windows mogu biti podržane posle datuma završetka najnovijih operativnih sistema kada proširene bezbednosne ispravke (ESU) postanu dostupne. Pogledajte najčešća pitanja o životnom ciklusu – proširene bezbednosne ispravke za listu proizvoda koji nude ESU.

Promeni datum

Promeni opis

1. avgust 2024.

  • Manje promene oblikovanja za čitljivost

  • U konfiguraciji "Konfigurisanje verifikacije atributa Message-Authenticator u svim access-Request paketima na klijentu", reč "message" je korišćena umesto "paketa"

5. avgust 2024.

  • Dodata veza za User Datagram Protocol (UDP)

  • Dodata veza za server mrežnih smernica (NPS)

6. avgust 2024.

  • Ažuriran je odeljak "Rezime" da bi se ukazalo na to da su ove promene uključene u Windows ispravke od 9. jula 2024. godine ili posle njih

  • Ažurirane su znakovi za nabrajanje u odeljku "Preduzimanje radnje" da bi ukazalo na to da preporučujemo da uključite opcije. Ove opcije su podrazumevano isključene.

  • Dodata je napomena u odeljak "Događaji koje dodaje ova ispravka" da bi ukazalo na to da ID-ove događaja dodaju na NPS server putem Windows ispravki od 9. jula 2024. godine.

Sadržaj

Rezime

Ispravke operativnog sistema Windows datirane 9. jula 2024. ili posle 9. jula 2024. odnose se na bezbednosnu ranjivost u protokolu korisničke usluge daljinske potvrde identiteta (RADIUS) povezanog sa problemima sa MD5 upoređivanjem. Zbog slabih provera integriteta u MD5, napadač može neovlašćeno da menja pakete kako bi dobio neovlašćen pristup. MD5 ranjivost čini saobraćaj radiUS zasnovan na user Datagram Protocol (UDP) preko interneta koji nije bezbedan u odnosu na autorstvo paketa ili izmenu tokom tranzita. 

Više informacija o ovoj ranjivosti potražite u člancima CVE-2024-3596 i BELI PAPER RADIJUS I MD5 NAPADI SUDARA.

NOTA Ova ranjivost zahteva fizički pristup RADIUS mreži i serveru mrežnih smernica (NPS). Zbog toga klijenti koji su obezbedili RADIUS mreže nisu ranjivi. Pored toga, ranjivost se ne primenjuje kada se radiUS komunikacija odvija preko VPN-a. 

Preduzimanje radnje

Da biste zaštitili okruženje, preporučujemo da omogućite sledeće konfiguracije. Dodatne informacije potražite u odeljku Konfiguracije .

  • Podesite atribut Message-Authenticator u paketima Access-Request . Uverite se da svi paketi zahteva za pristup uključuju atribut Message-Authenticator . Opcija za podešavanje atributa Message-Authenticator podrazumevano je isključena. Preporučujemo da uključite ovu opciju.

  • Verifikujte atribut "Message-Authenticator" u paketima zahteva za pristup. Razmotrite nametanje provere valjanosti atributa "Message-Authenticator"na paketima zahteva za pristup. Paketi zahteva za pristup bez ovog atributa neće biti obrađeni. Poruke zahteva za pristup podrazumevano moraju da sadrže opciju atributa "atribut potvrde verodostojnosti poruka" je isključena. Preporučujemo da uključite ovu opciju.

  • Potvrdite atribut "Message-Authenticator " u paketima Access-Request ako je prisutan atribut "Proxy-State ". Opcionalno, omogućite opciju limitProxyState ako nije moguće izvršiti nametanje provere valjanosti atributa Message-Authenticator na svakom paketu zahteva za pristup. limitProxyState nameće otpuštanje paketa Access-Request koji sadrže atribut "Proxy-state " bez atributa Message-Authenticator . Opcija limitproxystate podrazumevano je isključena. Preporučujemo da uključite ovu opciju.

  • Potvrdite atribut Message-Authenticator u RADIUS paketima odgovora: Access-Accept, Access-Reject i Access-Challenge. Omogućite opciju requireMsgAuth da biste nametnuli otpuštanje paketa radiUS odgovora sa udaljenih servera bez atributa Message-Authenticator . Opcija requiremsgauth je podrazumevano isključena. Preporučujemo da uključite ovu opciju.

Događaji koje ova ispravka dodaje

Dodatne informacije potražite u odeljku Konfiguracije .

Napomena Ove ID-ove događaja NPS server dodaju Windows ispravke od 9. jula 2024. ili posle njih.

Paket zahteva za pristup je izbačen zato što je sadržao atribut Proxy-State , ali nije sadržao atribut Message-Authenticator . Razmotrite promenu RADIUS klijenta tako da uključi atribut Message-Authenticator . Druga mogućnost je da dodate izuzetak za RADIUS klijent pomoću konfiguracije limitProxyState .

Evidencija događaja

Sistem

Tip događaja

Greška

Izvor događaja

NPS

ID događaja

4418

Tekst događaja

Poruka Access-Request primljena od RADIUS klijenta <ip/ime> koji sadrži Proxy-State atribut, ali nije sadržala Message-Authenticator atribut. Kao rezultat toga, zahtev je odbačen. Atribut Message-Authenticator je obavezan u bezbednosne svrhe. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. 

Ovo je događaj nadzora za pakete zahteva za pristup bez atributa Message-Authenticator u prisustvu proxy-State. Razmotrite promenu RADIUS klijenta tako da uključi atribut Message-Authenticator . RadiUS paket će biti izbačen kada se omogući konfiguracija limitproxystate .

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4419

Tekst događaja

Poruka Access-Request primljena od RADIUS klijenta <ip/ime> koji sadrži Proxy-State atribut, ali nije sadržala Message-Authenticator atribut. Zahtev je trenutno dozvoljen jer je svojstvo limitProxyState konfigurisano u režimu nadzora. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. 

Ovo je događaj nadzora za pakete radiUS odgovora primljene bez atributa Message-Authenticator na proxy serveru. Razmotrite promenu navedenog RADIUS servera za atribut Message-Authenticator . RadiUS paket će biti izbačen kada se omogući konfiguracija zahtevanog argumenta.

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4420

Tekst događaja

RadiUS proxy je primio odgovor od servera <ip/ime> sa atributom koji Message-Authenticator. Odgovor je trenutno dozvoljen jer je requireMsgAuth konfigurisan u režimu nadzora. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više.

Ovaj događaj se evidentira tokom pokretanja usluge kada preporučene postavke nisu konfigurisane. Razmotrite omogućavanje postavki ako RADIUS mreža nije bezbedna. Ovi događaji mogu da se zanemaruju za bezbedne mreže.

Evidencija događaja

Sistem

Tip događaja

Upozorenje

Izvor događaja

NPS

ID događaja

4421

Tekst događaja

RequireMsgAuth i/ili limitProxyState konfiguracija je u<režimu onemogućavanja/> nadzora. Ove postavke bi trebalo konfigurisati u režimu omogućavanja u bezbednosne svrhe. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više.

Konfiguracija

Ova konfiguracija omogućava NPS proxy serveru da počne da šalje atribut Message-Authenticator u svim paketima zahteva za pristup. Da biste omogućili ovu konfiguraciju, koristite jedan od sledećih metoda.

1. metod: Koristite NPS Microsoft Management Console (MMC)

Da biste koristili NPS MMC, pratite ove korake:

  1. Otvorite NPS korisnički interfejs (UI) na serveru.

  2. Otvorite udaljene grupe servera Radius.

  3. Izaberite stavku Radius Server.

  4. Idite na Potvrdu identiteta/računovodst.

  5. Kliknite da biste izabrali polje za potvrdu Zahtev mora da sadrži Message-Authenticator atribut .

2. metod: Korišćenje komande "Netsh"

Da biste koristili netsh, pokrenite sledeću komandu:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Više informacija potražite u članku Komande grupe udaljenog RADIUS servera.

Ova konfiguracija zahteva atribut Message-Authenticator u svim paketima zahteva za pristup i otpušta paket ako je odsuta.

1. metod: Koristite NPS Microsoft Management Console (MMC)

Da biste koristili NPS MMC, pratite ove korake:

  1. Otvorite NPS korisnički interfejs (UI) na serveru.

  2. Otvorite klijente radijusa.

  3. Izaberite stavku Radius Client.

  4. Idite na napredne postavke.

  5. Kliknite da biste potvrdili izbor u polju za potvrdu Poruke zahteva za pristup moraju da sadrže atribut "potvrda identiteta poruke".

Više informacija potražite u članku Konfigurisanje RADIUS klijenata.

2. metod: Korišćenje komande "Netsh"

Da biste koristili netsh, pokrenite sledeću komandu:

netsh nps set client name = <client name> requireauthattrib = yes

Više informacija potražite u članku Komande grupe udaljenog RADIUS servera.

Ova konfiguracija omogućava NPS serveru da otpusti potencijalno ranjive pakete zahteva za pristup koji sadrže atribut Proxy-State, ali ne uključe atribut Message-Authenticator. Ova konfiguracija podržava tri režima:

  • Nadgledanja

  • Omogući

  • Onemogući

U režimu nadzora evidentira se događaj upozorenja (ID događaja: 4419), ali se zahtev i dalje obrađuje. Koristite ovaj režim da biste identifikovali entitete koji nisu usaglašeni sa slanjem zahteva.

Koristite komandu netsh da biste konfigurisali, omogućili i dodali izuzetak po potrebi.

  1. Da biste konfigurisali klijente u režimu nadzora, pokrenite sledeću komandu:

    netsh nps set limitproxystate all = "audit"

  2. Da biste konfigurisali klijente u režimu omogućavanja, pokrenite sledeću komandu:

    netsh nps set limitproxystate all = "enable" 

  3. Da biste dodali izuzetak za izuzimanje klijenta iz provere valjanosti limitaProxystate, pokrenite sledeću komandu:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Ova konfiguracija omogućava NPS proxy serveru da otpusti potencijalno ranjive poruke odgovora bez atributa "Message-Authenticator ". Ova konfiguracija podržava tri režima:

  • Nadgledanja

  • Omogući

  • Onemogući

U režimu nadzora evidentira se događaj upozorenja (ID događaja: 4420), ali se zahtev i dalje obrađuje. Koristite ovaj režim da biste identifikovali entitete koji nisu usaglašen sa slanjem odgovora.

Koristite komandu netsh da biste konfigurisali, omogućili i dodali izuzetak po potrebi.

  1. Da biste konfigurisali servere u režimu nadzora, pokrenite sledeću komandu:

    netsh nps set je potreban dodatniall = "audit"

  2. Da biste omogućili konfiguracije za sve servere, pokrenite sledeću komandu:

    netsh nps set requiremsgauth all = "enable"

  3. Da biste dodali izuzetak za izuzimanje servera iz requireauthmsg provere valjanosti, pokrenite sledeću komandu:

    netsh nps set requiremsgauth remoteservergroup =<ime grupe udaljenog servera> adresa = <adresa servera> izuzetak = "yes"

Najčešća pitanja

Proverite događaje NPS modula za srodne događaje. Razmotrite dodavanje izuzetaka ili prilagođavanja konfiguracije za ugrožene klijente/servere.

Ne, konfiguracije o čemu je diskutujmo u ovom članku preporučuju se za nebezvezene mreže. 

Reference

Opis standardne terminologije koja se koristi za opisivanja Microsoft softverskih ispravki

Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda.

Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.