Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows 10, version 1607, all editions Windows Server 2016 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows Server 2022 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Quan trọng Một số phiên bản Microsoft Windows nhất định đã hết thời hạn hỗ trợ. Lưu ý rằng một số phiên bản Windows có thể được hỗ trợ sau ngày kết thúc HĐH mới nhất khi các Bản cập nhật Bảo mật Mở rộng (ESU) khả dụng. Xem Câu hỏi Thường Gặp về Vòng đời - Bản cập nhật Bảo mật Mở rộng để biết danh sách các sản phẩm cung cấp ESU.

Thay đổi ngày

Thay đổi mô tả

Ngày 1 tháng 8 năm 2024

  • Những thay đổi nhỏ về định dạng cho tính dễ đọc

  • Trong cấu hình "Cấu hình xác minh của thuộc tính Message-Authenticator trong tất cả các gói Access-Request trên máy khách", từ "thông báo" được sử dụng thay vì "packet"

Ngày 5 tháng 8 năm 2024

  • Đã thêm liên kết cho Giao thức Biểu đồ dữ liệu Người dùng (UDP)

  • Đã thêm liên kết cho Máy chủ Chính sách Mạng (NPS)

Ngày 6 tháng 8 năm 2024

  • Đã cập nhật mục "Tóm tắt" để cho biết những thay đổi này được bao gồm trong các bản cập nhật Windows ngày hoặc sau ngày 9 tháng 7 năm 2024

  • Đã cập nhật các dấu đầu dòng trong mục "Thực hiện hành động" để cho biết chúng tôi khuyên bạn nên bật các tùy chọn. Các tùy chọn này được tắt theo mặc định.

  • Đã thêm ghi chú vào mục "Các sự kiện được thêm vào trong bản cập nhật này" để cho biết ID Sự kiện được thêm vào máy chủ NPS bằng các bản cập nhật Windows được cập nhật vào hoặc sau ngày 9 tháng 7 năm 2024

Nội dung

Tóm tắt

Các bản cập nhật Windows được cập nhật ngày hoặc sau ngày 9 tháng 7 năm 2024 khắc phục lỗ hổng bảo mật trong giao thức Dịch vụ Người dùng Quay số Vào Xác thực Từ xa (RADIUS) liên quan đến sự cố va chạm MD5 . Do kiểm tra tính toàn vẹn yếu trong MD5, kẻ tấn công có thể giả mạo các gói tin để có được quyền truy cập trái phép. Lỗ hổng MD5 khiến cho giao thức Gói dữ liệu Người dùng (UDP) dựa trên lưu lượng RADIUS qua Internet không an toàn chống lại sự giả mạo hoặc sửa đổi gói tin trong quá trình chuyển tuyến. 

Để biết thêm thông tin về lỗ hổng này, hãy xem CVE-2024-3596 và BÁN KÍNH SÁCH TRẮNG VÀ TẤN CÔNG VA CHẠM MD5.

GHI Lỗ hổng này yêu cầu truy cập vật lý vào mạng RADIUS và Máy chủ Chính sách Mạng (NPS). Do đó, khách hàng có mạng RADIUS được bảo vệ không dễ bị tổn thương. Ngoài ra, lỗ hổng không áp dụng khi giao tiếp RADIUS xảy ra qua VPN. 

Thực hiện hành động

Để giúp bảo vệ môi trường của bạn, chúng tôi khuyên bạn nên bật các cấu hình sau đây. Để biết thêm thông tin, hãy xem phần Cấu hình.

  • Đặt thuộc tính Message-Authenticator trong gói Access-Request . Đảm bảo tất cả các gói Access-Request đều bao gồm thuộc tính Message-Authenticator . Theo mặc định, tùy chọn để đặt thuộc tính Message-Authenticator bị tắt. Chúng tôi khuyên bạn nên bật tùy chọn này.

  • Xác minh thuộc tính Message-Authenticator trong gói Access-Request . Cân nhắc việc thực thi xác thực thuộc tính Message-Authenticator trên gói Access-Request . Các gói Yêu cầu Truy nhập mà không có thuộc tính này sẽ không được xử lý. Theo mặc định, thư Yêu cầu Truy nhập phải chứa tùy chọn thuộc tính message-authenticator bị tắt. Chúng tôi khuyên bạn nên bật tùy chọn này.

  • Xác nhận thuộc tính Message-Authenticator trong gói Access-Request nếu có thuộc tính Trạng thái Proxy . Hoặc bạn có thể bật tùy chọn limitProxyState nếu thực thi xác thực thuộc tính Message-Authenticator trên mọi gói Access-Request không thể được thực hiện. limitProxyState bắt buộc thả gói Access-Request có chứa thuộc tính Trạng thái proxy mà không có thuộc tính Message-Authenticator . Theo mặc định, tùy chọn limitproxystate bị tắt. Chúng tôi khuyên bạn nên bật tùy chọn này.

  • Xác minh thuộc tính Message-Authenticator trong gói phản hồi RADIUS: Access-Accept, Access-RejectAccess-Challenge. Cho phép tùy chọn requireMsgAuth để bắt buộc bỏ các gói phản hồi RADIUS từ máy chủ từ xa mà không có thuộc tính Message-Authenticator . Theo mặc định, tùy chọn requiremsgauth được tắt. Chúng tôi khuyên bạn nên bật tùy chọn này.

Các sự kiện được thêm vào bản cập nhật này

Để biết thêm thông tin, hãy xem phần Cấu hình.

Lưu ý Các ID Sự kiện này được thêm vào máy chủ NPS bằng các bản cập nhật Windows được cập nhật vào hoặc sau ngày 9 tháng 7 năm 2024.

Gói Access-Request bị loại bỏ vì chứa thuộc tính Trạng thái Proxy nhưng thiếu thuộc tính Message-Authenticator . Cân nhắc việc thay đổi máy khách RADIUS để bao gồm thuộc tính Message-Authenticator . Hoặc, ngoài ra, thêm một ngoại lệ cho máy khách RADIUS bằng cách sử dụng cấu hình limitProxyState .

Nhật ký sự kiện

Hệ thống

Loại sự kiện

Lỗi

Nguồn sự kiện

NPS

ID Sự kiện

4418

Văn bản sự kiện

Thư Access-Request nhận được từ máy khách RADIUS <ip/name> chứa thuộc tính Proxy-State nhưng không bao gồm thuộc tính Message-Authenticator. Do đó, yêu cầu đã bị bỏ. Thuộc tính Message-Authenticator bắt buộc cho mục đích bảo mật. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. 

Đây là một sự kiện kiểm tra cho các gói Access-Request mà không có thuộc tính Message-Authenticator trong trạng thái hiện diện của Proxy-State. Cân nhắc việc thay đổi máy khách RADIUS để bao gồm thuộc tính Message-Authenticator . Gói RADIUS sẽ bị bỏ sót sau khi cấu hình limitproxystate được bật.

Nhật ký sự kiện

Hệ thống

Loại sự kiện

Cảnh báo

Nguồn sự kiện

NPS

ID Sự kiện

4419

Văn bản sự kiện

Thư Access-Request nhận được từ máy khách RADIUS <ip/name> chứa thuộc tính Proxy-State nhưng không bao gồm thuộc tính Message-Authenticator. Yêu cầu hiện được cho phép vì limitProxyState được đặt cấu hình trong chế độ Kiểm tra. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. 

Đây là một sự kiện Kiểm tra đối với các gói phản hồi RADIUS nhận được mà không có thuộc tính Message-Authenticator tại proxy. Cân nhắc việc thay đổi máy chủ RADIUS được chỉ định cho thuộc tính Message-Authenticator . Gói RADIUS sẽ bị bỏ sót sau khi bật cấu hình requiremsgauth .

Nhật ký sự kiện

Hệ thống

Loại sự kiện

Cảnh báo

Nguồn sự kiện

NPS

ID Sự kiện

4420

Văn bản sự kiện

Radius Proxy đã nhận được phản hồi từ máy <có tên/ip/> bị thiếu thuộc Message-Authenticator của mình. Phản hồi hiện được cho phép vì requireMsgAuth được đặt cấu hình trong chế độ Kiểm tra. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm.

Sự kiện này được ghi nhật ký trong quá trình bắt đầu dịch vụ khi các cài đặt được đề xuất không được đặt cấu hình. Cân nhắc bật cài đặt nếu mạng RADIUS không an toàn. Đối với mạng an toàn, bạn có thể bỏ qua các sự kiện này.

Nhật ký sự kiện

Hệ thống

Loại sự kiện

Cảnh báo

Nguồn sự kiện

NPS

ID Sự kiện

4421

Văn bản sự kiện

Yêu cầu Cấu hìnhMsgAuth và/hoặc limitProxyState đang ở<tắt/Kiểm> động. Nên đặt cấu hình các cài đặt này trong chế độ Bật cho mục đích bảo mật. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm.

Cấu hình

Cấu hình này cho phép Proxy NPS bắt đầu gửi thuộc tính Message-Authenticator trong tất cả các gói Access-Request . Để bật cấu hình này, hãy sử dụng một trong các phương pháp sau.

Phương pháp 1: Sử dụng NPS Microsoft Management Console (MMC)

Để sử dụng NPS MMC, hãy làm theo các bước sau:

  1. Mở giao diện người dùng (UI) NPS trên máy chủ.

  2. Mở Nhóm Máy chủ Radius từ xa.

  3. Chọn Máy chủ Bán kính.

  4. Đi tới Xác thực/Kế toán.

  5. Bấm để chọn hộp kiểm Yêu cầu phải chứa Message-Authenticator tính mới.

Phương pháp 2: Sử dụng lệnh netsh

Để sử dụng netsh, hãy chạy lệnh sau:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Để biết thêm thông tin, hãy xem Lệnh Nhóm Máy chủ RADIUS Từ xa.

Cấu hình này yêu cầu thuộc tính Message-Authenticator trong tất cả các gói Access-Request và bỏ gói nếu không có.

Phương pháp 1: Sử dụng NPS Microsoft Management Console (MMC)

Để sử dụng NPS MMC, hãy làm theo các bước sau:

  1. Mở giao diện người dùng (UI) NPS trên máy chủ.

  2. Mở Radius Clients.

  3. Chọn Máy khách Bán kính.

  4. Đi tới Cài đặt Nâng cao.

  5. Bấm để chọn hộp kiểm Thuộc tính trình xác thực tin nhắn để chọn thư Yêu cầu Truy nhập.

Để biết thêm thông tin, hãy xem Đặt cấu hình Máy khách RADIUS.

Phương pháp 2: Sử dụng lệnh netsh

Để sử dụng netsh, hãy chạy lệnh sau:

netsh nps set client name = <client name> requireauthattrib = yes

Để biết thêm thông tin, hãy xem Lệnh Nhóm Máy chủ RADIUS Từ xa.

Cấu hình này cho phép máy chủ NPS thả các gói Access-Request tiềm năng dễ bị tấn công có chứa thuộc tính Trạng thái Proxy nhưng không bao gồm thuộc tính Message-Authenticator . Cấu hình này hỗ trợ ba chế độ:

  • Kiểm tra

  • Bật

  • Tắt

Trong chế độ Kiểm tra, một sự kiện cảnh báo (ID Sự kiện: 4419) đã được ghi nhật ký nhưng yêu cầu vẫn được xử lý. Sử dụng chế độ này để xác định các thực thể không tuân thủ gửi yêu cầu.

Sử dụng lệnh netsh để đặt cấu hình, bật và thêm ngoại lệ nếu cần.

  1. Để đặt cấu hình máy khách trong chế độ Kiểm tra, hãy chạy lệnh sau đây:

    netsh nps set limitproxystate all = "audit"

  2. Để cấu hình máy khách trong chế độ Bật, hãy chạy lệnh sau đây:

    netsh nps set limitproxystate all = "enable" 

  3. Để thêm ngoại lệ để loại trừ máy khách khỏi xác thực limitProxystate , hãy chạy lệnh sau đây:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Cấu hình này cho phép Proxy NPS thả thư phản hồi có khả năng bị tấn công mà không có thuộc tính Message-Authenticator . Cấu hình này hỗ trợ ba chế độ:

  • Kiểm tra

  • Bật

  • Tắt

Trong chế độ Kiểm tra, một sự kiện cảnh báo (ID Sự kiện: 4420) đã được ghi nhật ký nhưng yêu cầu vẫn được xử lý. Sử dụng chế độ này để xác định các thực thể không tuân thủ gửi phản hồi.

Sử dụng lệnh netsh để đặt cấu hình, bật và thêm ngoại lệ nếu cần.

  1. Để đặt cấu hình máy chủ trong chế độ Kiểm tra, hãy chạy lệnh sau đây:

    netsh nps set yêu cầuall = "audit"

  2. Để bật cấu hình cho tất cả các máy chủ, hãy chạy lệnh sau:

    netsh nps set requiremsgauth all = "enable"

  3. Để thêm ngoại lệ để loại trừ máy chủ khỏi requireauthmsg validation, hãy chạy lệnh sau đây:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Câu hỏi thường gặp

Kiểm tra các sự kiện mô-đun NPS để biết các sự kiện liên quan. Cân nhắc việc thêm ngoại lệ hoặc điều chỉnh cấu hình cho máy khách/máy chủ bị ảnh hưởng.

Không, các cấu hình được thảo luận trong bài viết này được đề xuất cho các mạng không bảo mật. 

Tham khảo

Mô tả về thuật ngữ tiêu chuẩn được sử dụng để mô tả các bản cập nhật phần mềm của Microsoft

Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.