Vaћno Određene verzije operativnog sistema Microsoft Windows dostigle su kraj podrške. Imajte na umu da neke verzije operativnog sistema Windows mogu biti podržane posle datuma završetka najnovijih operativnih sistema kada proširene bezbednosne ispravke (ESU) postanu dostupne. Pogledajte najčešća pitanja o životnom ciklusu – proširene bezbednosne ispravke za listu proizvoda koji nude ESU.
Promeni datum |
Promeni opis |
1. avgust 2024. |
|
5. avgust 2024. |
|
6. avgust 2024. |
|
Sadržaj
Rezime
Ispravke operativnog sistema Windows datirane 9. jula 2024. ili posle 9. jula 2024. odnose se na bezbednosnu ranjivost u protokolu korisničke usluge daljinske potvrde identiteta (RADIUS) povezanog sa problemima sa MD5 upoređivanjem. Zbog slabih provera integriteta u MD5, napadač može neovlašćeno da menja pakete kako bi dobio neovlašćen pristup. MD5 ranjivost čini saobraćaj radiUS zasnovan na user Datagram Protocol (UDP) preko interneta koji nije bezbedan u odnosu na autorstvo paketa ili izmenu tokom tranzita.
Više informacija o ovoj ranjivosti potražite u člancima CVE-2024-3596 i BELI PAPER RADIJUS I MD5 NAPADI SUDARA.
NOTA Ova ranjivost zahteva fizički pristup RADIUS mreži i serveru mrežnih smernica (NPS). Zbog toga klijenti koji su obezbedili RADIUS mreže nisu ranjivi. Pored toga, ranjivost se ne primenjuje kada se radiUS komunikacija odvija preko VPN-a.
Preduzimanje radnje
Da biste zaštitili okruženje, preporučujemo da omogućite sledeće konfiguracije. Dodatne informacije potražite u odeljku Konfiguracije .
|
Događaji koje ova ispravka dodaje
Dodatne informacije potražite u odeljku Konfiguracije .
Napomena Ove ID-ove događaja NPS server dodaju Windows ispravke od 9. jula 2024. ili posle njih.
Paket zahteva za pristup je izbačen zato što je sadržao atribut Proxy-State , ali nije sadržao atribut Message-Authenticator . Razmotrite promenu RADIUS klijenta tako da uključi atribut Message-Authenticator . Druga mogućnost je da dodate izuzetak za RADIUS klijent pomoću konfiguracije limitProxyState .
Evidencija događaja |
Sistem |
Tip događaja |
Greška |
Izvor događaja |
NPS |
ID događaja |
4418 |
Tekst događaja |
Poruka Access-Request primljena od RADIUS klijenta <ip/ime> koji sadrži Proxy-State atribut, ali nije sadržala Message-Authenticator atribut. Kao rezultat toga, zahtev je odbačen. Atribut Message-Authenticator je obavezan u bezbednosne svrhe. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. |
Ovo je događaj nadzora za pakete zahteva za pristup bez atributa Message-Authenticator u prisustvu proxy-State. Razmotrite promenu RADIUS klijenta tako da uključi atribut Message-Authenticator . RadiUS paket će biti izbačen kada se omogući konfiguracija limitproxystate .
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4419 |
Tekst događaja |
Poruka Access-Request primljena od RADIUS klijenta <ip/ime> koji sadrži Proxy-State atribut, ali nije sadržala Message-Authenticator atribut. Zahtev je trenutno dozvoljen jer je svojstvo limitProxyState konfigurisano u režimu nadzora. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. |
Ovo je događaj nadzora za pakete radiUS odgovora primljene bez atributa Message-Authenticator na proxy serveru. Razmotrite promenu navedenog RADIUS servera za atribut Message-Authenticator . RadiUS paket će biti izbačen kada se omogući konfiguracija zahtevanog argumenta.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4420 |
Tekst događaja |
RadiUS proxy je primio odgovor od servera <ip/ime> sa atributom koji Message-Authenticator. Odgovor je trenutno dozvoljen jer je requireMsgAuth konfigurisan u režimu nadzora. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. |
Ovaj događaj se evidentira tokom pokretanja usluge kada preporučene postavke nisu konfigurisane. Razmotrite omogućavanje postavki ako RADIUS mreža nije bezbedna. Ovi događaji mogu da se zanemaruju za bezbedne mreže.
Evidencija događaja |
Sistem |
Tip događaja |
Upozorenje |
Izvor događaja |
NPS |
ID događaja |
4421 |
Tekst događaja |
RequireMsgAuth i/ili limitProxyState konfiguracija je u<režimu onemogućavanja/> nadzora. Ove postavke bi trebalo konfigurisati u režimu omogućavanja u bezbednosne svrhe. Pogledajte https://support.microsoft.com/help/5040268 biste saznali više. |
Konfiguracija
Ova konfiguracija omogućava NPS proxy serveru da počne da šalje atribut Message-Authenticator u svim paketima zahteva za pristup. Da biste omogućili ovu konfiguraciju, koristite jedan od sledećih metoda.
1. metod: Koristite NPS Microsoft Management Console (MMC)
Da biste koristili NPS MMC, pratite ove korake:
-
Otvorite NPS korisnički interfejs (UI) na serveru.
-
Otvorite udaljene grupe servera Radius.
-
Izaberite stavku Radius Server.
-
Idite na Potvrdu identiteta/računovodst.
-
Kliknite da biste izabrali polje za potvrdu Zahtev mora da sadrži Message-Authenticator atribut .
2. metod: Korišćenje komande "Netsh"
Da biste koristili netsh, pokrenite sledeću komandu:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Više informacija potražite u članku Komande grupe udaljenog RADIUS servera.
Ova konfiguracija zahteva atribut Message-Authenticator u svim paketima zahteva za pristup i otpušta paket ako je odsuta.
1. metod: Koristite NPS Microsoft Management Console (MMC)
Da biste koristili NPS MMC, pratite ove korake:
-
Otvorite NPS korisnički interfejs (UI) na serveru.
-
Otvorite klijente radijusa.
-
Izaberite stavku Radius Client.
-
Idite na napredne postavke.
-
Kliknite da biste potvrdili izbor u polju za potvrdu Poruke zahteva za pristup moraju da sadrže atribut "potvrda identiteta poruke".
Više informacija potražite u članku Konfigurisanje RADIUS klijenata.
2. metod: Korišćenje komande "Netsh"
Da biste koristili netsh, pokrenite sledeću komandu:
netsh nps set client name = <client name> requireauthattrib = yes
Više informacija potražite u članku Komande grupe udaljenog RADIUS servera.
Ova konfiguracija omogućava NPS serveru da otpusti potencijalno ranjive pakete zahteva za pristup koji sadrže atribut Proxy-State, ali ne uključe atribut Message-Authenticator. Ova konfiguracija podržava tri režima:
-
Nadgledanja
-
Omogući
-
Onemogući
U režimu nadzora evidentira se događaj upozorenja (ID događaja: 4419), ali se zahtev i dalje obrađuje. Koristite ovaj režim da biste identifikovali entitete koji nisu usaglašeni sa slanjem zahteva.
Koristite komandu netsh da biste konfigurisali, omogućili i dodali izuzetak po potrebi.
-
Da biste konfigurisali klijente u režimu nadzora, pokrenite sledeću komandu:
netsh nps set limitproxystate all = "audit"
-
Da biste konfigurisali klijente u režimu omogućavanja, pokrenite sledeću komandu:
netsh nps set limitproxystate all = "enable"
-
Da biste dodali izuzetak za izuzimanje klijenta iz provere valjanosti limitaProxystate, pokrenite sledeću komandu:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Ova konfiguracija omogućava NPS proxy serveru da otpusti potencijalno ranjive poruke odgovora bez atributa "Message-Authenticator ". Ova konfiguracija podržava tri režima:
-
Nadgledanja
-
Omogući
-
Onemogući
U režimu nadzora evidentira se događaj upozorenja (ID događaja: 4420), ali se zahtev i dalje obrađuje. Koristite ovaj režim da biste identifikovali entitete koji nisu usaglašen sa slanjem odgovora.
Koristite komandu netsh da biste konfigurisali, omogućili i dodali izuzetak po potrebi.
-
Da biste konfigurisali servere u režimu nadzora, pokrenite sledeću komandu:
netsh nps set je potreban dodatniall = "audit"
-
Da biste omogućili konfiguracije za sve servere, pokrenite sledeću komandu:
netsh nps set requiremsgauth all = "enable"
-
Da biste dodali izuzetak za izuzimanje servera iz requireauthmsg provere valjanosti, pokrenite sledeću komandu:
netsh nps set requiremsgauth remoteservergroup =<ime grupe udaljenog servera> adresa = <adresa servera> izuzetak = "yes"
Najčešća pitanja
Proverite događaje NPS modula za srodne događaje. Razmotrite dodavanje izuzetaka ili prilagođavanja konfiguracije za ugrožene klijente/servere.
Ne, konfiguracije o čemu je diskutujmo u ovom članku preporučuju se za nebezvezene mreže.
Reference
Opis standardne terminologije koja se koristi za opisivanja Microsoft softverskih ispravki
Proizvodi nezavisnih proizvođača o kojima se govori u ovom članku proizvode kompanije koje su nezavisne od korporacije Microsoft. Ne pružamo nikakvu garanciju, podrazumevanu ni bilo koju drugi, u vezi sa performansama ili pouzdanošću ovih proizvoda.
Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.