Увага! Деякі версії Microsoft Windows досягли кінця підтримки. Зверніть увагу, що деякі версії Windows можуть підтримуватися після останньої дати завершення ос, коли будуть доступні розширені оновлення системи безпеки (подовжені оновлення системи безпеки). Перегляньте запитання й відповіді про життєвий цикл: розширені оновлення системи безпеки для списку продуктів, що пропонують подовжені оновлення системи безпеки.
Змінити дату |
Змінити опис |
1 серпня 2024 р. |
|
5 серпня 2024 р. |
|
6 серпня 2024 р. |
|
Вміст
Зведення
Оновлення Windows, датовані 9 липня 2024 р. або пізніше, вирішують вразливість системи безпеки в протоколі REMOTE Authentication Dial-In User Service (RADIUS), пов'язаному з проблемами зіткнення MD5 . Через слабку перевірку цілісності в MD5 зловмисник може підробити пакети, щоб отримати несанкціонований доступ. Уразливість MD5 робить трафік RADIUS на основі протоколу даних користувача (UDP) через Інтернет незахищеним від підробок пакетів або змінення під час пересилання.
Докладні відомості про цю вразливість див. в статті CVE-2024-3596, а також АТАКИ НА КОЛІСНИК І MD5.
ПРИМІТКА Ця вразливість потребує фізичного доступу до мережі RADIUS і сервера мережевої політики (NPS). Таким чином, клієнти, які забезпечили мережі RADIUS, не вразливі. Крім того, вразливість не застосовується, коли radius зв'язку відбувається через VPN.
Вжити заходів
Щоб захистити середовище, радимо ввімкнути наведені нижче конфігурації. Докладні відомості див. в розділі "Конфігурації ".
|
Події, додані цим оновленням
Докладні відомості див. в розділі "Конфігурації ".
Нотатка Ці ідентифікатори подій додаються на сервер NPS оновленнями Windows від 9 липня 2024 р. або пізніше.
Пакет запитів на доступ пропущено, оскільки він містив атрибут Proxy-State , але не має атрибута Message-Authenticator . Радимо змінити клієнт RADIUS, щоб включити атрибут Message-Authenticator . Або додайте виняток для клієнта RADIUS за допомогою конфігурації limitProxyState .
Журнал подій |
Система |
Тип події |
Помилка |
Джерело події |
NPS |
Ідентифікатор події |
4418 |
Текст події |
Повідомлення Access-Request отримано від клієнта RADIUS <ip/name> , що містить атрибут Proxy-State, але не містить атрибут Message-Authenticator. Як наслідок, запит було пропущено. Атрибут Message-Authenticator обов'язковий для цілей безпеки. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. |
Це подія аудиту для пакетів запитів на доступ без атрибута Message-Authenticator за наявності проксі-сервера. Радимо змінити клієнт RADIUS, щоб включити атрибут Message-Authenticator . Пакет RADIUS буде скинуто після ввімкнення конфігурації limitproxystate .
Журнал подій |
Система |
Тип події |
Попередження |
Джерело події |
NPS |
Ідентифікатор події |
4419 |
Текст події |
Повідомлення Access-Request отримано від клієнта RADIUS <ip/name> , що містить атрибут Proxy-State, але не містить атрибут Message-Authenticator. Запит наразі дозволено, оскільки limitProxyState настроєно в режимі аудиту. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. |
Це подія перевірки для пакетів відповідей RADIUS, отриманих без атрибута Message-Authenticator на проксі-сервері . Радимо змінити вказаний сервер RADIUS для атрибута Message-Authenticator . Пакет RADIUS буде скинуто після ввімкнення конфігурації requiremsgauth .
Журнал подій |
Система |
Тип події |
Попередження |
Джерело події |
NPS |
Ідентифікатор події |
4420 |
Текст події |
Проксі-сервер RADIUS отримав відповідь від> IP-адреси <сервера з відсутнім атрибутом Message-Authenticator. Відповідь наразі дозволена, оскільки параметр requireMsgAuth настроєно в режимі аудиту. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. |
Ця подія записується під час запуску служби, коли рекомендовані параметри не настроєно. Радимо ввімкнути параметри, якщо мережа RADIUS незахищена. Для захищених мереж ці події можна ігнорувати.
Журнал подій |
Система |
Тип події |
Попередження |
Джерело події |
NPS |
Ідентифікатор події |
4421 |
Текст події |
Конфігурація RequireMsgAuth і/або limitProxyState перебуває в режимі <Disable/Audit> . Ці параметри слід настроїти в режимі ввімкнення для цілей безпеки. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. |
Конфігурації
Ця конфігурація дає змогу проксі-серверУ NPS почати надсилати атрибут Message-Authenticator в усіх пакетах запитів на доступ . Щоб увімкнути цю конфігурацію, скористайтеся одним із наведених нижче способів.
Спосіб 1. Використання консолі керування MMC NPS
Щоб використовувати MMC NPS, виконайте такі дії:
-
Відкрийте інтерфейс користувача NPS на сервері.
-
Відкрийте віддалені групи серверів Radius Server.
-
Виберіть Radius Server.
-
Перейдіть до розділу Автентифікація/облік.
-
Клацніть, щоб встановити прапорець Запит має містити атрибут Message-Authenticator .
Спосіб 2. Використання команди netsh
Щоб скористатися netsh, виконайте таку команду:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Докладні відомості див. в статті Команди групи віддаленого сервера RADIUS Server.
Для цієї конфігурації потрібен атрибут Message-Authenticator в усіх пакетах запитів на доступ і скидає пакет, якщо він відсутній.
Спосіб 1. Використання консолі керування MMC NPS
Щоб використовувати MMC NPS, виконайте такі дії:
-
Відкрийте інтерфейс користувача NPS на сервері.
-
Відкрийте клієнти Radius.
-
Виберіть Клієнт Radius.
-
Перейдіть до розділу Додаткові настройки.
-
Установіть прапорець Запит на доступ до повідомлень має містити атрибут message-authenticator .
Докладні відомості див. в статті Настроювання клієнтів RADIUS.
Спосіб 2. Використання команди netsh
Щоб скористатися netsh, виконайте таку команду:
netsh nps set client name = <client name> requireauthattrib = yes
Докладні відомості див. в статті Команди групи віддаленого сервера RADIUS Server.
Ця конфігурація дає змогу серверу NPS випускати потенційні вразливі пакети запитів на доступ , які містять атрибут Proxy-State , але не включають атрибут Message-Authenticator . Ця конфігурація підтримує три режими:
-
Аудит
-
"Увімкнути"
-
"Вимкнути"
У режимі аудиту реєструється подія з попередженням (ідентифікатор події: 4419), але запит усе одно обробляється. Використовуйте цей режим для визначення несумісних сутностей, які надсилають запити.
Скористайтеся командою netsh , щоб налаштувати, увімкнути та додати виняток за потреби.
-
Щоб настроїти клієнти в режимі аудиту , виконайте таку команду:
netsh nps set limitproxystate all = "audit"
-
Щоб настроїти клієнти в режимі увімкнення , виконайте таку команду:
netsh nps set limitproxystate all = "enable"
-
Щоб додати виняток, щоб виключити клієнта з перевірки limitProxystate , виконайте таку команду:
netsh nps set limitproxystate name = <ім'я клієнта> виняток = "Так"
Ця конфігурація дає змогу проксі-серверу NPS скидати потенційно вразливі повідомлення відповіді без атрибута Message-Authenticator . Ця конфігурація підтримує три режими:
-
Аудит
-
"Увімкнути"
-
"Вимкнути"
У режимі аудиту реєструється подія з попередженням (ідентифікатор події: 4420), але запит усе одно обробляється. Використовуйте цей режим для визначення несумісних сутностей, які надсилають відповіді.
Скористайтеся командою netsh, щоб налаштувати, увімкнути та додати виняток за потреби.
-
Щоб настроїти сервери в режимі аудиту, виконайте таку команду:
netsh nps set #x1
-
Щоб увімкнути конфігурації для всіх серверів, виконайте таку команду:
netsh nps set requiremsgauth all = "enable"
-
Щоб додати виняток для виключення сервера з перевірки requireauthmsg, виконайте таку команду:
netsh nps set requiremsgauth remoteservergroup = <ім'я групи віддаленого сервера> адреса = адреса сервера<> виняток = "так"
Запитання й відповіді
Перевірте події модуля NPS на наявність пов'язаних подій. Радимо додати винятки або налаштування конфігурації для відповідних клієнтів або серверів.
Ні, конфігурації, описані в цій статті, рекомендовано для незахищених мереж.
Посилання
Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.
Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.