Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Увага! Деякі версії Microsoft Windows досягли кінця підтримки. Зверніть увагу, що деякі версії Windows можуть підтримуватися після останньої дати завершення ос, коли будуть доступні розширені оновлення системи безпеки (подовжені оновлення системи безпеки). Перегляньте запитання й відповіді про життєвий цикл: розширені оновлення системи безпеки для списку продуктів, що пропонують подовжені оновлення системи безпеки.

Змінити дату

Змінити опис

1 серпня 2024 р.

  • Незначні зміни форматування для зручності читання

  • У конфігурації "Настроювання перевірки атрибута Message-Authenticator в усіх пакетах запитів на доступ у клієнті" слово "message" було використано замість "пакет"

5 серпня 2024 р.

  • Додано посилання для протоколу користувацьких гістограм (UDP)

  • Додано посилання для сервера мережевої політики (NPS)

6 серпня 2024 р.

  • Оновлено розділ "Зведення", у який зазначено, що ці зміни включено до оновлень Windows, випущених 9 липня 2024 р. або пізніше

  • Оновлено маркери в розділі "Вжити заходів", щоб позначити, що параметри ввімкнуто. Ці параметри за замовчуванням вимкнуто.

  • Додано нотатку до розділу "Події, додані цим оновленням", щоб указати, що ідентифікатори подій додаються на сервер NPS оновленнями Windows від 9 липня 2024 р. або пізніше

Вміст

Зведення

Оновлення Windows, датовані 9 липня 2024 р. або пізніше, вирішують вразливість системи безпеки в протоколі REMOTE Authentication Dial-In User Service (RADIUS), пов'язаному з проблемами зіткнення MD5 . Через слабку перевірку цілісності в MD5 зловмисник може підробити пакети, щоб отримати несанкціонований доступ. Уразливість MD5 робить трафік RADIUS на основі протоколу даних користувача (UDP) через Інтернет незахищеним від підробок пакетів або змінення під час пересилання. 

Докладні відомості про цю вразливість див. в статті CVE-2024-3596, а також АТАКИ НА КОЛІСНИК І MD5.

ПРИМІТКА Ця вразливість потребує фізичного доступу до мережі RADIUS і сервера мережевої політики (NPS). Таким чином, клієнти, які забезпечили мережі RADIUS, не вразливі. Крім того, вразливість не застосовується, коли radius зв'язку відбувається через VPN. 

Вжити заходів

Щоб захистити середовище, радимо ввімкнути наведені нижче конфігурації. Докладні відомості див. в розділі "Конфігурації ".

  • Установіть атрибут Message-Authenticator у пакетах запитів на доступ . Переконайтеся, що всі пакети запитів на доступ містять атрибут Message-Authenticator . За замовчуванням параметр встановлення атрибута Message-Authenticator вимкнуто. Радимо ввімкнути цей параметр.

  • Перевірте атрибут Message-Authenticator у пакетах запитів на доступ . Радимо застосувати перевірку атрибута Message-Authenticator у пакетах запитів на доступ . Пакети запитів на доступ без цього атрибута не оброблятимуться. За замовчуванням у повідомленнях із запитом на доступ має бути параметр атрибута message-authenticator вимкнуто. Радимо ввімкнути цей параметр.

  • Перевірте атрибут Message-Authenticator у пакетах запитів на доступ , якщо атрибут proxy-state присутній. За потреби увімкніть параметр limitProxyState , якщо не можна виконати перевірку атрибута Message-Authenticator для кожного пакета запитів на доступ . LimitProxyState примусово видаляє пакети запитів на доступ , що містять атрибут proxy-state без атрибута Message-Authenticator . За замовчуванням параметр limitproxystate вимкнуто. Радимо ввімкнути цей параметр.

  • Перевірте атрибут Message-Authenticator у пакетах відповіді RADIUS: Access-Accept, Access-Reject і Access-Challenge. Увімкніть параметр requireMsgAuth , щоб примусово скидати пакети відповіді RADIUS із віддалених серверів без атрибута Message-Authenticator . За замовчуванням параметр requiremsgauth вимкнуто. Радимо ввімкнути цей параметр.

Події, додані цим оновленням

Докладні відомості див. в розділі "Конфігурації ".

Нотатка Ці ідентифікатори подій додаються на сервер NPS оновленнями Windows від 9 липня 2024 р. або пізніше.

Пакет запитів на доступ пропущено, оскільки він містив атрибут Proxy-State , але не має атрибута Message-Authenticator . Радимо змінити клієнт RADIUS, щоб включити атрибут Message-Authenticator . Або додайте виняток для клієнта RADIUS за допомогою конфігурації limitProxyState .

Журнал подій

Система

Тип події

Помилка

Джерело події

NPS

Ідентифікатор події

4418

Текст події

Повідомлення Access-Request отримано від клієнта RADIUS <ip/name> , що містить атрибут Proxy-State, але не містить атрибут Message-Authenticator. Як наслідок, запит було пропущено. Атрибут Message-Authenticator обов'язковий для цілей безпеки. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. 

Це подія аудиту для пакетів запитів на доступ без атрибута Message-Authenticator за наявності проксі-сервера. Радимо змінити клієнт RADIUS, щоб включити атрибут Message-Authenticator . Пакет RADIUS буде скинуто після ввімкнення конфігурації limitproxystate .

Журнал подій

Система

Тип події

Попередження

Джерело події

NPS

Ідентифікатор події

4419

Текст події

Повідомлення Access-Request отримано від клієнта RADIUS <ip/name> , що містить атрибут Proxy-State, але не містить атрибут Message-Authenticator. Запит наразі дозволено, оскільки limitProxyState настроєно в режимі аудиту. Докладні відомості див. в статті https://support.microsoft.com/help/5040268. 

Це подія перевірки для пакетів відповідей RADIUS, отриманих без атрибута Message-Authenticator на проксі-сервері . Радимо змінити вказаний сервер RADIUS для атрибута Message-Authenticator . Пакет RADIUS буде скинуто після ввімкнення конфігурації requiremsgauth .

Журнал подій

Система

Тип події

Попередження

Джерело події

NPS

Ідентифікатор події

4420

Текст події

Проксі-сервер RADIUS отримав відповідь від> IP-адреси <сервера з відсутнім атрибутом Message-Authenticator. Відповідь наразі дозволена, оскільки параметр requireMsgAuth настроєно в режимі аудиту. Докладні відомості див. в статті https://support.microsoft.com/help/5040268.

Ця подія записується під час запуску служби, коли рекомендовані параметри не настроєно. Радимо ввімкнути параметри, якщо мережа RADIUS незахищена. Для захищених мереж ці події можна ігнорувати.

Журнал подій

Система

Тип події

Попередження

Джерело події

NPS

Ідентифікатор події

4421

Текст події

Конфігурація RequireMsgAuth і/або limitProxyState перебуває в режимі <Disable/Audit> . Ці параметри слід настроїти в режимі ввімкнення для цілей безпеки. Докладні відомості див. в статті https://support.microsoft.com/help/5040268.

Конфігурації

Ця конфігурація дає змогу проксі-серверУ NPS почати надсилати атрибут Message-Authenticator в усіх пакетах запитів на доступ . Щоб увімкнути цю конфігурацію, скористайтеся одним із наведених нижче способів.

Спосіб 1. Використання консолі керування MMC NPS

Щоб використовувати MMC NPS, виконайте такі дії:

  1. Відкрийте інтерфейс користувача NPS на сервері.

  2. Відкрийте віддалені групи серверів Radius Server.

  3. Виберіть Radius Server.

  4. Перейдіть до розділу Автентифікація/облік.

  5. Клацніть, щоб встановити прапорець Запит має містити атрибут Message-Authenticator .

Спосіб 2. Використання команди netsh

Щоб скористатися netsh, виконайте таку команду:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Докладні відомості див. в статті Команди групи віддаленого сервера RADIUS Server.

Для цієї конфігурації потрібен атрибут Message-Authenticator в усіх пакетах запитів на доступ і скидає пакет, якщо він відсутній.

Спосіб 1. Використання консолі керування MMC NPS

Щоб використовувати MMC NPS, виконайте такі дії:

  1. Відкрийте інтерфейс користувача NPS на сервері.

  2. Відкрийте клієнти Radius.

  3. Виберіть Клієнт Radius.

  4. Перейдіть до розділу Додаткові настройки.

  5. Установіть прапорець Запит на доступ до повідомлень має містити атрибут message-authenticator .

Докладні відомості див. в статті Настроювання клієнтів RADIUS.

Спосіб 2. Використання команди netsh

Щоб скористатися netsh, виконайте таку команду:

netsh nps set client name = <client name> requireauthattrib = yes

Докладні відомості див. в статті Команди групи віддаленого сервера RADIUS Server.

Ця конфігурація дає змогу серверу NPS випускати потенційні вразливі пакети запитів на доступ , які містять атрибут Proxy-State , але не включають атрибут Message-Authenticator . Ця конфігурація підтримує три режими:

  • Аудит

  • "Увімкнути"

  • "Вимкнути"

У режимі аудиту реєструється подія з попередженням (ідентифікатор події: 4419), але запит усе одно обробляється. Використовуйте цей режим для визначення несумісних сутностей, які надсилають запити.

Скористайтеся командою netsh , щоб налаштувати, увімкнути та додати виняток за потреби.

  1. Щоб настроїти клієнти в режимі аудиту , виконайте таку команду:

    netsh nps set limitproxystate all = "audit"

  2. Щоб настроїти клієнти в режимі увімкнення , виконайте таку команду:

    netsh nps set limitproxystate all = "enable" 

  3. Щоб додати виняток, щоб виключити клієнта з перевірки limitProxystate , виконайте таку команду:

    netsh nps set limitproxystate name = <ім'я клієнта> виняток = "Так" 

Ця конфігурація дає змогу проксі-серверу NPS скидати потенційно вразливі повідомлення відповіді без атрибута Message-Authenticator . Ця конфігурація підтримує три режими:

  • Аудит

  • "Увімкнути"

  • "Вимкнути"

У режимі аудиту реєструється подія з попередженням (ідентифікатор події: 4420), але запит усе одно обробляється. Використовуйте цей режим для визначення несумісних сутностей, які надсилають відповіді.

Скористайтеся командою netsh, щоб налаштувати, увімкнути та додати виняток за потреби.

  1. Щоб настроїти сервери в режимі аудиту, виконайте таку команду:

    netsh nps set #x1

  2. Щоб увімкнути конфігурації для всіх серверів, виконайте таку команду:

    netsh nps set requiremsgauth all = "enable"

  3. Щоб додати виняток для виключення сервера з перевірки requireauthmsg, виконайте таку команду:

    netsh nps set requiremsgauth remoteservergroup = <ім'я групи віддаленого сервера> адреса = адреса сервера<> виняток = "так"

Запитання й відповіді

Перевірте події модуля NPS на наявність пов'язаних подій. Радимо додати винятки або налаштування конфігурації для відповідних клієнтів або серверів.

Ні, конфігурації, описані в цій статті, рекомендовано для незахищених мереж. 

Посилання

Опис стандартної термінології, яка використовується для опису оновлень програмного забезпечення Microsoft

Описані в цій статті продукти сторонніх виробників створюються компаніями, які не залежать від корпорації Майкрософт. Ми не надаємо жодних гарантій( непрямих або інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам знайти технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точності цієї контактної інформації третьої сторони.

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.