Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Vigtigt! Visse versioner af Microsoft Windows har nået slutdatoen for support. Bemærk, at nogle versioner af Windows muligvis understøttes efter den seneste slutdato for operativsystemet, når extended security updates (ESUs) er tilgængelige. Se Ofte stillede spørgsmål om livscyklus – udvidede sikkerhedsopdateringer for en liste over produkter, der tilbyder ESU'er.

Indhold

Sammendrag

Denne opdatering løser en sikkerhedsrisiko i RADIUS-protokollen (Remote Authentication Dial-In User Service), der er relateret til MD5-kollisionsproblemer . På grund af svage integritetskontroller i MD5 kan en hacker pille ved pakker for at få uautoriseret adgang. MD5-sårbarhed gør UDP-baseret RADIUS-trafik (User Datagram Protocol) over internettet usikker mod pakkeforfalskning eller ændring under transport. 

Du kan få mere at vide om denne sårbarhed under CVE-2024-3596 og hvidbogen RADIUS OG MD5 KOLLISIONSANGREB.

SEDDEL Denne sårbarhed kræver fysisk adgang til RADIUS-netværket og NPS (Network Policy Server). Derfor er kunder, der har sikret RADIUS-netværk, ikke sårbare. Desuden gælder sårbarheden ikke, når RADIUS-kommunikation sker via VPN. 

Gør noget

For at beskytte dit miljø anbefaler vi, at du aktiverer følgende konfigurationer. Du kan få mere at vide i afsnittet Konfigurationer .

  • Angiv attributten Message-Authenticator i Access-Request-pakker .

    Sørg for, at alle pakker med adgangsanmodninger indeholder attributten Message-Authenticator .

  • Kontrollér attributten Message-Authenticator i Access-Request-pakker .

    Overvej at gennemtvinge validering af attributten Message-AuthenticatorAccess-Request-pakker . Pakker med adgangsanmodninger uden denne attribut behandles ikke.

  • Kontrollér attributten Message-Authenticator i Access-Request-pakker , hvis attributten Proxy-State findes.

    Valgfrit: Aktivér limitProxyState-konfigurationen , hvis gennemtvingelse af validering af attributten Message-AuthenticatorAccess-Request-pakker ikke kan udføres. Denne konfiguration validerer, at access-request-pakker , der indeholder proxytilstandsattributten , også indeholder attributten Message-Authenticator .

  • Bekræft attributten Message-Authenticator i RADIUS-svarpakker: Access-Accept, Access-Reject og Access-Challenge.

    Aktivér den kræverMsgAuth-konfiguration for at gennemtvinge, at RADIUS-svarpakkerne slippes fra fjernservere, der mangler attributten Message-Authenticator .

Hændelser, der er tilføjet af denne opdatering

Du kan få mere at vide i afsnittet Konfigurationer

Adgangsanmodningspakken blev fjernet, fordi den indeholdt proxytilstandsattributten, men manglede attributten Message-Authenticator. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . Du kan også tilføje en undtagelse for RADIUS-klienten ved hjælp af konfigurationen limitProxyState .

Hændelseslogfil

System

Hændelsestype

Fejl

Hændelseskilde

NPS

Hændelses-id

4418

Hændelsestekst

Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Derfor blev anmodningen afvist. Attributten Message-Authenticator er obligatorisk af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide. 

Dette er en overvågningshændelse for Access-Request-pakker uden attributten Message-Authenticator under tilstedeværelse af proxytilstand. Overvej at ændre RADIUS-klienten, så den indeholder attributten Message-Authenticator . RADIUS-pakken udelades, når konfigurationen af limitproxystate er aktiveret.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4419

Hændelsestekst

Der blev modtaget en Access-Request meddelelse fra RADIUS-klienten <ip/name> , der indeholder en attribut for Proxy-State, men den indeholdt ikke en Message-Authenticator-attribut. Anmodningen er i øjeblikket tilladt, da limitProxyState er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide. 

Dette er en overvågningshændelse for RADIUS-svarpakker, der er modtaget uden attributten Message-Authenticator på proxyen. Overvej at ændre den angivne RADIUS-server for Message-Authenticator-attributten . RADIUS-pakken slippes, når konfigurationen requiremsgauth er aktiveret.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4420

Hændelsestekst

RADIUS-proxyen har modtaget et svar fra server <ip/name> med en manglende attribut for Message-Authenticator. Svar er i øjeblikket tilladt, da det kræver, atMsgAuth er konfigureret i overvågningstilstand. Se https://support.microsoft.com/help/5040268 for at få mere at vide.

Hændelsen logføres under tjenestestart, når de anbefalede indstillinger ikke er konfigureret. Overvej at aktivere indstillingerne, hvis RADIUS-netværket er usikkert. For sikre netværk kan disse hændelser ignoreres.

Hændelseslogfil

System

Hændelsestype

Advarsel

Hændelseskilde

NPS

Hændelses-id

4421

Hændelsestekst

RequireMsgAuth and/or limitProxyState configuration is in <Disable/Audit> mode. Disse indstillinger skal konfigureres i Aktivér tilstand af sikkerhedsmæssige årsager. Se https://support.microsoft.com/help/5040268 for at få mere at vide.

Konfigurationer

Denne konfiguration gør det muligt for NPS-proxyen at begynde at sende attributten Message-Authenticator i alle Access-Request-pakker . Hvis du vil aktivere denne konfiguration, skal du bruge en af følgende metoder.

Metode 1: Brug NPS Microsoft Management Console (MMC)

Hvis du vil bruge NPS MMC, skal du følge disse trin:

  1. Åbn NPS-brugergrænsefladen på serveren.

  2. Åbn de eksterne Radius-servergrupper.

  3. Vælg Radius-server.

  4. Gå til Godkendelse/revision.

  5. Klik for at markere afkrydsningsfeltet Anmodningen skal indeholde Message-Authenticator attributten .

Metode 2: Brug kommandoen netsh

Kør følgende kommando for at bruge netsh:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.

Denne konfiguration kræver attributten Message-Authenticator i alle Access-Request-meddelelser og slipper pakken, hvis den ikke er til stede.

Metode 1: Brug NPS Microsoft Management Console (MMC)

Hvis du vil bruge NPS MMC, skal du følge disse trin:

  1. Åbn NPS-brugergrænsefladen på serveren.

  2. Åbn Radius-klienter.

  3. Vælg Radius-klient.

  4. Gå til Avancerede indstillinger.

  5. Klik for at markere afkrydsningsfeltet Anmodninger om adgang skal indeholde attributten message-authenticator .

Du kan få mere at vide under Konfigurere RADIUS-klienter.

Metode 2: Brug kommandoen netsh

Kør følgende kommando for at bruge netsh:

netsh nps set client name = <client name> requireauthattrib = yes

Du kan få mere at vide under Kommandoer til fjern-RADIUS-servergrupper.

Denne konfiguration gør det muligt for NPS-serveren at slippe potentielle sårbare Access-Request-pakker , der indeholder en proxytilstandsattribut , men ikke indeholder en Message-Authenticator-attribut . Denne konfiguration understøtter tre tilstande:

  • Overvågning

  • Aktivér

  • Deaktiver

I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4419), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender anmodningerne.

Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.

  1. Hvis du vil konfigurere klienter i overvågningstilstand , skal du køre følgende kommando:

    netsh nps set limitproxystate all = "audit"

  2. Hvis du vil konfigurere klienter i aktiveringstilstand , skal du køre følgende kommando:

    netsh nps set limitproxystate all = "enable" 

  3. Hvis du vil tilføje en undtagelse for at udelukke en klient fra limitProxystate-validering , skal du køre følgende kommando:

    netsh nps set limitproxystate name = <klientnavn> undtagelse = "Ja" 

Denne konfiguration gør det muligt for NPS-proxy at slippe potentielt sårbare svarmeddelelser uden attributten Message-Authenticator . Denne konfiguration understøtter tre tilstande:

  • Overvågning

  • Aktivér

  • Deaktiver

I overvågningstilstand logføres en advarselshændelse (hændelses-id: 4420), men anmodningen behandles stadig. Brug denne tilstand til at identificere de ikke-kompatible enheder, der sender svarene.

Brug kommandoen netsh til at konfigurere, aktivere og tilføje en undtagelse efter behov.

  1. Hvis du vil konfigurere servere i overvågningstilstand, skal du køre følgende kommando:

    netsh nps set kræverall = "audit"

  2. Kør følgende kommando for at aktivere konfigurationer for alle servere:

    netsh nps set limitproxystate all = "enable"

  3. Hvis du vil tilføje en undtagelse for at udelukke en server fra requireauthmsg-validering, skal du køre følgende kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Ofte stillede spørgsmål

Kontrollér NPS-modulhændelser for relaterede hændelser. Overvej at tilføje undtagelser eller konfigurationsjusteringer for berørte klienter/servere.

Nej, de konfigurationer, der beskrives i denne artikel, anbefales til usikre netværk. 

Referencer

Beskrivelse af den standardterminologi, der bruges til at beskrive Microsoft-softwareopdateringer

De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×