Quan trọng Một số phiên bản Microsoft Windows nhất định đã hết thời hạn hỗ trợ. Lưu ý rằng một số phiên bản Windows có thể được hỗ trợ sau ngày kết thúc HĐH mới nhất khi các Bản cập nhật Bảo mật Mở rộng (ESU) khả dụng. Xem Câu hỏi Thường Gặp về Vòng đời - Bản cập nhật Bảo mật Mở rộng để biết danh sách các sản phẩm cung cấp ESU.
Thay đổi ngày |
Thay đổi mô tả |
Ngày 1 tháng 8 năm 2024 |
|
Ngày 5 tháng 8 năm 2024 |
|
Ngày 6 tháng 8 năm 2024 |
|
Nội dung
Tóm tắt
Các bản cập nhật Windows được cập nhật ngày hoặc sau ngày 9 tháng 7 năm 2024 khắc phục lỗ hổng bảo mật trong giao thức Dịch vụ Người dùng Quay số Vào Xác thực Từ xa (RADIUS) liên quan đến sự cố va chạm MD5 . Do kiểm tra tính toàn vẹn yếu trong MD5, kẻ tấn công có thể giả mạo các gói tin để có được quyền truy cập trái phép. Lỗ hổng MD5 khiến cho giao thức Gói dữ liệu Người dùng (UDP) dựa trên lưu lượng RADIUS qua Internet không an toàn chống lại sự giả mạo hoặc sửa đổi gói tin trong quá trình chuyển tuyến.
Để biết thêm thông tin về lỗ hổng này, hãy xem CVE-2024-3596 và BÁN KÍNH SÁCH TRẮNG VÀ TẤN CÔNG VA CHẠM MD5.
GHI Lỗ hổng này yêu cầu truy cập vật lý vào mạng RADIUS và Máy chủ Chính sách Mạng (NPS). Do đó, khách hàng có mạng RADIUS được bảo vệ không dễ bị tổn thương. Ngoài ra, lỗ hổng không áp dụng khi giao tiếp RADIUS xảy ra qua VPN.
Thực hiện hành động
Để giúp bảo vệ môi trường của bạn, chúng tôi khuyên bạn nên bật các cấu hình sau đây. Để biết thêm thông tin, hãy xem phần Cấu hình.
|
Các sự kiện được thêm vào bản cập nhật này
Để biết thêm thông tin, hãy xem phần Cấu hình.
Lưu ý Các ID Sự kiện này được thêm vào máy chủ NPS bằng các bản cập nhật Windows được cập nhật vào hoặc sau ngày 9 tháng 7 năm 2024.
Gói Access-Request bị loại bỏ vì chứa thuộc tính Trạng thái Proxy nhưng thiếu thuộc tính Message-Authenticator . Cân nhắc việc thay đổi máy khách RADIUS để bao gồm thuộc tính Message-Authenticator . Hoặc, ngoài ra, thêm một ngoại lệ cho máy khách RADIUS bằng cách sử dụng cấu hình limitProxyState .
Nhật ký sự kiện |
Hệ thống |
Loại sự kiện |
Lỗi |
Nguồn sự kiện |
NPS |
ID Sự kiện |
4418 |
Văn bản sự kiện |
Thư Access-Request nhận được từ máy khách RADIUS <ip/name> chứa thuộc tính Proxy-State nhưng không bao gồm thuộc tính Message-Authenticator. Do đó, yêu cầu đã bị bỏ. Thuộc tính Message-Authenticator bắt buộc cho mục đích bảo mật. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. |
Đây là một sự kiện kiểm tra cho các gói Access-Request mà không có thuộc tính Message-Authenticator trong trạng thái hiện diện của Proxy-State. Cân nhắc việc thay đổi máy khách RADIUS để bao gồm thuộc tính Message-Authenticator . Gói RADIUS sẽ bị bỏ sót sau khi cấu hình limitproxystate được bật.
Nhật ký sự kiện |
Hệ thống |
Loại sự kiện |
Cảnh báo |
Nguồn sự kiện |
NPS |
ID Sự kiện |
4419 |
Văn bản sự kiện |
Thư Access-Request nhận được từ máy khách RADIUS <ip/name> chứa thuộc tính Proxy-State nhưng không bao gồm thuộc tính Message-Authenticator. Yêu cầu hiện được cho phép vì limitProxyState được đặt cấu hình trong chế độ Kiểm tra. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. |
Đây là một sự kiện Kiểm tra đối với các gói phản hồi RADIUS nhận được mà không có thuộc tính Message-Authenticator tại proxy. Cân nhắc việc thay đổi máy chủ RADIUS được chỉ định cho thuộc tính Message-Authenticator . Gói RADIUS sẽ bị bỏ sót sau khi bật cấu hình requiremsgauth .
Nhật ký sự kiện |
Hệ thống |
Loại sự kiện |
Cảnh báo |
Nguồn sự kiện |
NPS |
ID Sự kiện |
4420 |
Văn bản sự kiện |
Radius Proxy đã nhận được phản hồi từ máy <có tên/ip/> bị thiếu thuộc Message-Authenticator của mình. Phản hồi hiện được cho phép vì requireMsgAuth được đặt cấu hình trong chế độ Kiểm tra. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. |
Sự kiện này được ghi nhật ký trong quá trình bắt đầu dịch vụ khi các cài đặt được đề xuất không được đặt cấu hình. Cân nhắc bật cài đặt nếu mạng RADIUS không an toàn. Đối với mạng an toàn, bạn có thể bỏ qua các sự kiện này.
Nhật ký sự kiện |
Hệ thống |
Loại sự kiện |
Cảnh báo |
Nguồn sự kiện |
NPS |
ID Sự kiện |
4421 |
Văn bản sự kiện |
Yêu cầu Cấu hìnhMsgAuth và/hoặc limitProxyState đang ở<tắt/Kiểm> động. Nên đặt cấu hình các cài đặt này trong chế độ Bật cho mục đích bảo mật. Hãy xem https://support.microsoft.com/help/5040268 để tìm hiểu thêm. |
Cấu hình
Cấu hình này cho phép Proxy NPS bắt đầu gửi thuộc tính Message-Authenticator trong tất cả các gói Access-Request . Để bật cấu hình này, hãy sử dụng một trong các phương pháp sau.
Phương pháp 1: Sử dụng NPS Microsoft Management Console (MMC)
Để sử dụng NPS MMC, hãy làm theo các bước sau:
-
Mở giao diện người dùng (UI) NPS trên máy chủ.
-
Mở Nhóm Máy chủ Radius từ xa.
-
Chọn Máy chủ Bán kính.
-
Đi tới Xác thực/Kế toán.
-
Bấm để chọn hộp kiểm Yêu cầu phải chứa Message-Authenticator tính mới.
Phương pháp 2: Sử dụng lệnh netsh
Để sử dụng netsh, hãy chạy lệnh sau:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Để biết thêm thông tin, hãy xem Lệnh Nhóm Máy chủ RADIUS Từ xa.
Cấu hình này yêu cầu thuộc tính Message-Authenticator trong tất cả các gói Access-Request và bỏ gói nếu không có.
Phương pháp 1: Sử dụng NPS Microsoft Management Console (MMC)
Để sử dụng NPS MMC, hãy làm theo các bước sau:
-
Mở giao diện người dùng (UI) NPS trên máy chủ.
-
Mở Radius Clients.
-
Chọn Máy khách Bán kính.
-
Đi tới Cài đặt Nâng cao.
-
Bấm để chọn hộp kiểm Thuộc tính trình xác thực tin nhắn để chọn thư Yêu cầu Truy nhập.
Để biết thêm thông tin, hãy xem Đặt cấu hình Máy khách RADIUS.
Phương pháp 2: Sử dụng lệnh netsh
Để sử dụng netsh, hãy chạy lệnh sau:
netsh nps set client name = <client name> requireauthattrib = yes
Để biết thêm thông tin, hãy xem Lệnh Nhóm Máy chủ RADIUS Từ xa.
Cấu hình này cho phép máy chủ NPS thả các gói Access-Request tiềm năng dễ bị tấn công có chứa thuộc tính Trạng thái Proxy nhưng không bao gồm thuộc tính Message-Authenticator . Cấu hình này hỗ trợ ba chế độ:
-
Kiểm tra
-
Bật
-
Tắt
Trong chế độ Kiểm tra, một sự kiện cảnh báo (ID Sự kiện: 4419) đã được ghi nhật ký nhưng yêu cầu vẫn được xử lý. Sử dụng chế độ này để xác định các thực thể không tuân thủ gửi yêu cầu.
Sử dụng lệnh netsh để đặt cấu hình, bật và thêm ngoại lệ nếu cần.
-
Để đặt cấu hình máy khách trong chế độ Kiểm tra, hãy chạy lệnh sau đây:
netsh nps set limitproxystate all = "audit"
-
Để cấu hình máy khách trong chế độ Bật, hãy chạy lệnh sau đây:
netsh nps set limitproxystate all = "enable"
-
Để thêm ngoại lệ để loại trừ máy khách khỏi xác thực limitProxystate , hãy chạy lệnh sau đây:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Cấu hình này cho phép Proxy NPS thả thư phản hồi có khả năng bị tấn công mà không có thuộc tính Message-Authenticator . Cấu hình này hỗ trợ ba chế độ:
-
Kiểm tra
-
Bật
-
Tắt
Trong chế độ Kiểm tra, một sự kiện cảnh báo (ID Sự kiện: 4420) đã được ghi nhật ký nhưng yêu cầu vẫn được xử lý. Sử dụng chế độ này để xác định các thực thể không tuân thủ gửi phản hồi.
Sử dụng lệnh netsh để đặt cấu hình, bật và thêm ngoại lệ nếu cần.
-
Để đặt cấu hình máy chủ trong chế độ Kiểm tra, hãy chạy lệnh sau đây:
netsh nps set yêu cầuall = "audit"
-
Để bật cấu hình cho tất cả các máy chủ, hãy chạy lệnh sau:
netsh nps set requiremsgauth all = "enable"
-
Để thêm ngoại lệ để loại trừ máy chủ khỏi requireauthmsg validation, hãy chạy lệnh sau đây:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Câu hỏi thường gặp
Kiểm tra các sự kiện mô-đun NPS để biết các sự kiện liên quan. Cân nhắc việc thêm ngoại lệ hoặc điều chỉnh cấu hình cho máy khách/máy chủ bị ảnh hưởng.
Không, các cấu hình được thảo luận trong bài viết này được đề xuất cho các mạng không bảo mật.
Tham khảo
Mô tả về thuật ngữ tiêu chuẩn được sử dụng để mô tả các bản cập nhật phần mềm của Microsoft
Các sản phẩm bên thứ ba mà bài viết này đề cập được sản xuất bởi các công ty độc lập với Microsoft. Chúng tôi không đảm bảo, dù là ngụ ý hay theo bất kỳ cách nào khác, về hiệu suất hoặc mức độ tin cậy của các sản phẩm này.
Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.