Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Важно Някои версии на Microsoft Windows достигнаха края на поддръжката. Имайте предвид, че някои версии на Windows може да се поддържат след последната крайна дата на ОС, когато са налични разширени актуализации на защитата (ESU). Вижте ЧЗВ за жизнения цикъл – разширени актуализации на защитата за списък на продуктите, които предлагат ESU.

Съдържанието

Резюме

Тази актуализация обръща внимание на уязвимост на защитата в протокола за отдалечена услуга за външно избиране за външно избиране (RADIUS), свързана с проблеми с конфликта на MD5 . Поради проверките за слаба цялост в MD5 атакуващият може да промени злонамерено пакети, за да получи неупълномощен достъп. Уязвимостта В MD5 прави потребителския radius трафик по интернет базиран на User Datagram Protocol (UDP) несигурен срещу подправяне на пакети или промяна по време на транспортиране. 

За повече информация относно тази уязвимост вижте CVE-2024-3596 и лакът RADIUS И MD5 АТАКИ С КОНФЛИКТИ.

БЕЛЕЖКА Тази уязвимост изисква физически достъп до мрежата RADIUS и сървъра за мрежови правила (NPS). Затова клиенти, които са защитени RADIUS мрежи не са уязвими. Освен това уязвимостта не се отнася, когато RADIUS комуникация възниква през VPN. 

Предприемане на действие

За да защитите вашата среда, ви препоръчваме да разрешите следните конфигурации. За повече информация вижте раздела Конфигурации .

  • Задайте атрибута Message-Authenticator в пакети на Access-Request .

    Уверете се, че всички пакети на Access-Request включват атрибута Message-Authenticator .

  • Проверете атрибута Message-Authenticator в пакетите на Access-Request .

    Помислете за налагане на проверка на атрибута Message-Authenticator на пакети на Access-Request . Пакетите с искания за достъп без този атрибут няма да бъдат обработени.

  • Проверете атрибута Message-Authenticator в пакети на Access-Request , ако атрибутът Proxy-State е наличен.

    По желание: Разрешете конфигурацията limitProxyState , ако не може да се извърши проверка на атрибута Message-Authenticator на пакети на Access-Request . Тази конфигурация ще провери дали пакетите на Access-Request , съдържащи атрибута Proxy-State , също съдържат атрибута Message-Authenticator .

  • Проверете атрибута Message-Authenticator в RADIUS пакети за отговор: Access-Accept, Access-Reject и Access-Challenge.

    Разрешете конфигурацията requireMsgAuth , за да наложите прекратяване на radius пакети за отговор от отдалечени сървъри, които нямат атрибут Message-Authenticator .

Събития, добавени от тази актуализация

За повече информация вижте раздела Конфигурации

Пакетът за искане на достъп е прекратен, защото съдържа атрибута Proxy-State , но му липсва атрибут Message-Authenticator . Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . Или добавете изключение за RADIUS клиент с помощта на конфигурацията limitProxyState .

Регистър на събитията

Система

Тип събитие

Грешка

Източник на събитие

Недоставяне

ИД на събитие

4418

Текст на събитие

Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. В резултат на това искането е отхвърлено. Атрибутът Message-Authenticator е задължителен за целите на сигурността. Вижте https://support.microsoft.com/help/5040268, за да научите повече. 

Това е събитие за проверка за пакети с искания за достъп без атрибута Message-Authenticator в присъствието на Proxy-State. Помислете за промяна на RADIUS клиента да включва атрибута Message-Authenticator . RADIUS пакет ще бъде прекратен, след като е разрешена конфигурацията на limitproxystate .

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4419

Текст на събитие

Получено е Access-Request съобщение от radius клиент <ip/name> , съдържащ атрибут Proxy-State, но той не включва атрибут Message-Authenticator. Искането в момента е разрешено, тъй като limitProxyState е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече. 

Това е събитие за проверка за RADIUS пакети за отговор, получени без атрибута Message-Authenticator на прокси сървъра. Помислете за промяна на зададения RADIUS сървър за атрибута Message-Authenticator . RADIUS пакет ще бъдат пуснати, след като е разрешена конфигурацията requiremsgauth .

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4420

Текст на събитие

Radius прокси сървърът получи отговор от сървър <ip/name> с липсващ атрибут Message-Authenticator. В момента е разрешен отговор, тъй като requireMsgAuth е конфигуриран в режим на проверка. Вижте https://support.microsoft.com/help/5040268, за да научите повече.

Това събитие се регистрира по време на стартирането на услугата, когато препоръчителните настройки не са конфигурирани. Помислете дали да не разрешите настройките, ако мрежата RADIUS не е незащитена. За защитени мрежи тези събития могат да бъдат игнорирани.

Регистър на събитията

Система

Тип събитие

Предупреждение

Източник на събитие

Недоставяне

ИД на събитие

4421

Текст на събитие

Конфигурацията requireMsgAuth и/или limitProxyState е в режим<забраняване/проверка> . Тези настройки трябва да бъдат конфигурирани в режим на разрешаване от съображения за сигурност. Вижте https://support.microsoft.com/help/5040268, за да научите повече.

Конфигурации

Тази конфигурация позволява на NPS прокси сървър да започне да изпраща атрибута Message-Authenticator във всички пакети на Access-Request . За да разрешите тази конфигурация, използвайте един от следните методи.

Метод 1: Използване на NPS Microsoft Management Console (MMC)

За да използвате NPS MMC, изпълнете следните стъпки:

  1. Отворете потребителския интерфейс (ПИ) на NPS на сървъра.

  2. Отворете отдалечените групи на сървъра за Radius.

  3. Изберете Radius Server.

  4. Отидете на Удостоверяване/счетоводство.

  5. Щракнете, за да изберете квадратчето за отметка Искането трябва да съдържа Message-Authenticator атрибут .

Метод 2: Използване на командата netsh

За да използвате netsh, изпълнете следната команда:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

За повече информация вж. Команди за групата на отдалечения RADIUS сървър.

Тази конфигурация изисква атрибута Message-Authenticator във всички съобщения на Access-Request и изпуска пакета, ако липсва.

Метод 1: Използване на NPS Microsoft Management Console (MMC)

За да използвате NPS MMC, изпълнете следните стъпки:

  1. Отворете потребителския интерфейс (ПИ) на NPS на сървъра.

  2. Отваряне на radius клиенти.

  3. Изберете Radius Client.

  4. Отидете в Разширени настройки.

  5. Щракнете, за да изберете квадратчето за отметка съобщенията на Access-Request трябва да съдържат атрибута message-authenticator .

За повече информация вижте Конфигуриране на RADIUS клиенти.

Метод 2: Използване на командата netsh

За да използвате netsh, изпълнете следната команда:

netsh nps set client name = <client name> requireauthattrib = yes

За повече информация вж. Команди за групата на отдалечения RADIUS сървър.

Тази конфигурация позволява на NPS сървъра да откаже потенциални уязвими пакети на Access-Request , които съдържат атрибут Proxy-State , но не включват атрибут Message-Authenticator . Тази конфигурация поддържа три режима:

  • Проверка

  • „Разрешаване“

  • „Дезактивиране“

В режим на проверка се записва предупредително събитие (ИД на събитие: 4419), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи заявките.

Използвайте командата netsh , за да конфигурирате, разрешите и добавите изключение, ако е необходимо.

  1. За да конфигурирате клиенти в режим на проверка , изпълнете следната команда:

    netsh nps set limitproxystate all = "audit"

  2. За да конфигурирате клиенти в режим на разрешаване , изпълнете следната команда:

    netsh nps set limitproxystate all = "enable" 

  3. За да добавите изключение за изключване на клиент от проверката limitProxystate , изпълнете следната команда:

    netsh nps set limitproxystate име = <име на клиент> изключение = "Да" 

Тази конфигурация позволява на NPS прокси сървър да отпадне потенциално уязвимите съобщения за отговор без атрибута Message-Authenticator . Тази конфигурация поддържа три режима:

  • Проверка

  • „Разрешаване“

  • „Дезактивиране“

В режим на проверка се записва предупредително събитие (ИД на събитие: 4420), но искането все още се обработва. Използвайте този режим, за да идентифицирате несъвместимите обекти, изпращащи отговорите.

Използвайте командата netsh, за да конфигурирате, разрешите и добавите изключение, ако е необходимо.

  1. За да конфигурирате сървъри в режим на проверка, изпълнете следната команда:

    netsh nps set изискватall = "audit"

  2. За да разрешите конфигурации за всички сървъри, изпълнете следната команда:

    netsh nps set limitproxystate all = "enable"

  3. За да добавите изключение за изключване на сървър от requireauthmsg проверка, изпълнете следната команда:

    netsh nps set requiremsgauth remoteservergroup = <име на отдалечен сървър група> адрес = <адрес на сървър> изключение = "да"

Често задавани въпроси

Проверете събитията от NPS модула за свързани събития. Помислете за добавяне на изключения или корекции на конфигурацията за засегнати клиенти/сървъри.

Не, конфигурациите, разгледани в тази статия, се препоръчват за незащитени мрежи. 

Справочни материали

Описание на стандартната терминология, която се използва за описване на актуализациите на софтуера на Microsoft

Продуктите на трети лица, които са упоменати в тази статия, се произвеждат от фирми, които са независими от Microsoft. Не предоставяме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да Ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка с трети лица.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×