Wichtig Bestimmte Versionen von Microsoft Windows haben das Ende des Supports erreicht. Beachten Sie, dass einige Versionen von Windows möglicherweise nach dem neuesten Betriebssystemenddatum unterstützt werden, wenn erweiterte Sicherheitsupdates (ESUs) verfügbar sind. Eine Liste der Produkte, für die wir erweiterte Sicherheitsupdates anbieten, finden Sie unterHäufig gestellte Fragen zum Lebenszyklus – Erweiterte Sicherheitsupdates.

Datum ändern

Beschreibung ändern

1. August 2024

  • Geringfügige Formatierungsänderungen zur Lesbarkeit

  • In der Konfiguration „Konfigurieren der Überprüfung des Attributs Message-Authenticator in allen Access-Request-Paketen auf dem Client“ wurde das Wort „Nachricht“ anstelle von „Paket“ verwendet.

Dienstag, 5. August 2024

  • Link für User Datagram Protocol (UDP) hinzugefügt

  • Link für Netzwerkrichtlinienserver (NETWORK Policy Server, NPS) hinzugefügt

6. August 2024

  • Der Abschnitt „Zusammenfassung“ wurde aktualisiert, um anzugeben, dass diese Änderungen in den Windows-Updates enthalten sind, die am oder nach dem 9. Juli 2024 datiert sind

  • Die Aufzählungspunkte im Abschnitt „Aktion ergreifen“ wurden aktualisiert, um anzugeben, dass wir empfehlen, die Optionen zu aktivieren. Diese Optionen sind standardmäßig deaktiviert.

  • Dem Abschnitt „Von diesem Update hinzugefügte Ereignisse“ wurde eine Notiz hinzugefügt, um anzugeben, dass die Ereignis-IDs dem NPS-Server durch die Windows-Updates vom oder nach dem 9. Juli 2024 hinzugefügt werden.

Inhalt

Zusammenfassung

Die Windows-Updates vom 9. Juli 2024 beheben ein Sicherheitsrisiko im RADIUS-Protokoll (Remote Authentication Dial-In User Service) im Zusammenhang mit MD5- -Kollisionsproblemen. Aufgrund schwacher Integritätsprüfungen in MD5 kann ein Angreifer Pakete manipulieren, um nicht autorisierten Zugriff zu erhalten. MD5-Sicherheitsanfälligkeit macht den auf demUser Datagram Protocol (UDP)basierenden RADIUS-Datenverkehr über das Internet ist unsicher gegenüber Paketfälschung oder -modifikation während des Transits. 

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2024-3596 und im Whitepaper RADIUS- UND MD5-KOLLISIONSANGRIFFE.

HINWEIS Diese Sicherheitsanfälligkeit erfordert physischen Zugriff auf das RADIUS-Netzwerk und den -Netzwerkrichtlinienserver (NETWORK Policy Server, NPS). Kunden, die über gesicherte RADIUS-Netzwerke verfügen, sind daher nicht anfällig. Darüber hinaus gilt die Sicherheitsanfälligkeit nicht, wenn die RADIUS-Kommunikation über VPN erfolgt. 

Handeln Sie

Um Ihre Umgebung zu schützen, wird empfohlen, die folgenden Konfigurationen zu aktivieren. Weitere Informationen finden Sie im Abschnitt Empfehlungen.

  • Legen Sie das AttributMessage-Authenticator in Access-Request-Paketen fest. Stellen Sie sicher, dass alle Access Request-Pakete das Attribut Message-Authenticator enthalten. Standardmäßig ist die Option zum Festlegen des Message-Authenticator-Attributs deaktiviert. Es wird empfohlen, diese Option zu aktivieren.

  • Überprüfen Sie das AttributMessage-Authenticator in Access-Request-Paketen. Erzwingen Sie ggf. die Überprüfung des Attributs Message-Authenticator für Access-Request--Pakete. Access-Request-Pakete ohne dieses Attribut werden nicht verarbeitet. Standardmäßig ist die Option Access-Request-Nachrichten müssen das Nachrichtenauthentifizierungsattributenthalten deaktiviert. Es wird empfohlen, diese Option zu aktivieren.

  • Überprüfen Sie das AttributMessage-Authenticator in Access-Request-Paketen, wenn das AttributProxy-State vorhanden ist. Aktivieren Sie optional die Option limitProxyState, wenn die Validierung des Message-Authenticator-Attributs für jedes Access-Request--Paket nicht ausgeführt werden kann. limitProxyState erzwingt das Löschen von Access-Request-Paketen, die das Proxystatus-Attribut ohne das Message-Authenticator-Attribut enthalten. Standardmäßig ist die Option limitproxystate deaktiviert. Es wird empfohlen, diese Option zu aktivieren.

  • Überprüfen Sie das Attribut Message-Authenticator in RADIUS-Antwortpaketen: Access-Accept, Access-Reject und Access-Challenge. Aktivieren Sie die Option requireMsgAuth, um das Löschen der RADIUS-Antwortpakete von Remoteservern ohne das Attribut Message-Authenticator zu erzwingen. Standardmäßig ist die Option requiremsgauth deaktiviert. Es wird empfohlen, diese Option zu aktivieren.

Von diesem Update hinzugefügte Ereignisse

Weitere Informationen finden Sie im Abschnitt Empfehlungen.

Hinweis Diese Ereignis-IDs werden dem NPS-Server durch die Windows-Updates vom oder nach dem 9. Juli 2024 hinzugefügt.

Das Paket Access-Request wurde verworfen, weil es das Attribut Proxy-State enthielt, aber das Attribut Message-Authenticator fehlte. Erwägen Sie, den RADIUS-Client so zu ändern, dass er das Message-Authenticator-Attribut enthält. Alternativ können Sie eine Ausnahme für den RADIUS-Client mithilfe der Konfiguration limitProxyState hinzufügen.

Ereignisprotokoll

System

Ereignistyp

Fehler

Ereignisquelle

NPS-

Ereigniskennung

4418

Ereignistext

Eine Access-Request Nachricht wurde vom RADIUS-Client <ip/name-> empfangen, die ein Proxy-State-Attribut enthält, aber kein Message-Authenticator-Attribut enthielt. Daher wurde die Anforderung gelöscht. Das Message-Authenticator-Attribut ist aus Sicherheitsgründen obligatorisch. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. 

Dies ist ein Überwachungsereignis für Access-Request-Pakete ohne das Attribut Message-Authenticator bei Vorhandensein von Proxy-State. Erwägen Sie, den RADIUS-Client so zu ändern, dass er das Message-Authenticator-Attribut enthält. Das RADIUS-Paket wird verworfen, sobald die Konfiguration limitproxystate aktiviert ist.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

NPS-

Ereigniskennung

4419

Ereignistext

Eine Access-Request Nachricht wurde vom RADIUS-Client <ip/name-> empfangen, die ein Proxy-State-Attribut enthält, aber kein Message-Authenticator-Attribut enthielt. Die Anforderung ist derzeit zulässig, da limitProxyState im Überwachungsmodus konfiguriert ist. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268. 

Dies ist ein Überwachungsereignis für RADIUS-Antwortpakete, die ohne das Message-Authenticator-Attribut am Proxy empfangen werden. Erwägen Sie, den angegebenen RADIUS-Server für das Message-Authenticator-Attribut zu ändern. Das RADIUS-Paket wird gelöscht, sobald die Konfiguration requiremsgauth aktiviert ist.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

NPS-

Ereigniskennung

4420

Ereignistext

Der RADIUS-Proxy hat eine Antwort vom Server <ip/name> mit einem fehlenden Message-Authenticator-Attribut empfangen. Die Antwort ist derzeit zulässig, da requireMsgAuth im Überwachungsmodus konfiguriert ist. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268.

Dieses Ereignis wird während des Dienststarts protokolliert, wenn die empfohlenen Einstellungen nicht konfiguriert sind. Erwägen Sie, die Einstellungen zu aktivieren, wenn das RADIUS-Netzwerk unsicher ist. Bei sicheren Netzwerken können diese Ereignisse ignoriert werden.

Ereignisprotokoll

System

Ereignistyp

Warnung

Ereignisquelle

NPS-

Ereigniskennung

4421

Ereignistext

Die RequireMsgAuth- und/oder limitProxyState-Konfiguration befindet sich im Modus <Disable/Audit>. Diese Einstellungen sollten aus Sicherheitsgründen im Aktivierungsmodus konfiguriert werden. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268.

Konfigurationen

Diese Konfiguration ermöglicht es dem NPS-Proxy, mit dem Senden des Message-Authenticator-Attributs in allen Access-Request-Paketen zu beginnen. Verwenden Sie eine der folgenden Methoden, um diese Konfiguration zu aktivieren.

Methode 1: Verwenden der NPS Microsoft Management Console (MMC)

Führen Sie die folgenden Schritte aus, um die NPS-MMC zu verwenden:

  1. Öffnen Sie die NPS-Benutzeroberfläche (UI) auf dem Server.

  2. Öffnen Sie die Remote-Radius-Servergruppen.

  3. Wählen Sie Radius-Server aus.

  4. Wechseln Sie zu Authentifizierung/Buchhaltung.

  5. Klicken Sie hier, um das Kontrollkästchen Die Anforderung muss das Message-Authenticator-Attribut enthalten auszuwählen.

Methode 2: Verwenden des Netsh-Befehls

Führen Sie den folgenden Befehl aus, um netshzu verwenden:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Weitere Informationen finden Sie unter Remote RADIUS-Servergruppenbefehle.

Diese Konfiguration erfordert das Attribut Message-Authenticator in allen Access-Request-Paketen und verwirft das Paket, wenn es nicht vorhanden ist.

Methode 1: Verwenden der NPS Microsoft Management Console (MMC)

Führen Sie die folgenden Schritte aus, um die NPS-MMC zu verwenden:

  1. Öffnen Sie die NPS-Benutzeroberfläche (UI) auf dem Server.

  2. Öffnen Sie Radius-Clients.

  3. Wählen Sie Radius-Client aus.

  4. Wechseln Sie zu Erweiterte Einstellungen.

  5. Klicken Sie hier, um das Kontrollkästchen Access-Request-Nachrichten müssen das Attribut message-authenticator enthalten auszuwählen.

Weitere Informationen finden Sie unter Konfigurieren von RADIUS-Clients.

Methode 2: Netsh-Befehl verwenden

Führen Sie den folgenden Befehl aus, um netshzu verwenden:

netsh nps set client name = <client name> requireauthattrib = yes

Weitere Informationen finden Sie unter Remote RADIUS-Servergruppenbefehle.

Diese Konfiguration ermöglicht es dem NPS-Server, potenziell anfällige Access-Request--Pakete zu verwerfen, die ein Proxy-State--Attribut enthalten, aber kein Message-Authenticator-Attribut enthalten. Diese Konfiguration unterstützt drei Modi:

  • Audit

  • Aktivieren

  • Deaktivieren

Im ModusÜberwachung wird ein Warnereignis (Ereignis-ID: 4419) protokolliert, aber die Anforderung wird weiterhin verarbeitet. Verwenden Sie diesen Modus, um die nicht konformen Entitäten zu identifizieren, die die Anforderungen senden.

Verwenden Sie den Netsh-Befehl, um bei Bedarf eine Ausnahme zu konfigurieren, zu aktivieren und hinzuzufügen.

  1. Führen Sie den folgenden Befehl aus, um Clients im Modus Überwachung zu konfigurieren:

    netsh nps set limitproxystate all = "audit"

  2. Führen Sie den folgenden Befehl aus, um Clients im Modus Aktivieren zu konfigurieren:

    netsh nps set limitproxystate all = "enable" 

  3. Führen Sie den folgenden Befehl aus, um eine Ausnahme hinzuzufügen, um einen Client von der limitProxystate-Überprüfung auszuschließen:

    netsh nps set limitproxystate name = <Clientname> Ausnahme = „Ja“ 

Diese Konfiguration ermöglicht es dem NPS-Proxy, potenziell anfällige Antwortnachrichten ohne das Message-Authenticator-Attribut zu verwerfen. Diese Konfiguration unterstützt drei Modi:

  • Audit

  • Aktivieren

  • Deaktivieren

Im Modus Überwachung wird ein Warnereignis (Ereignis-ID: 4420) protokolliert, aber die Anforderung wird weiterhin verarbeitet. Verwenden Sie diesen Modus, um die nicht konformen Entitäten zu identifizieren, die die Antworten senden.

Verwenden Sie den Netshl-Befehl, um bei Bedarf eine Ausnahme zu konfigurieren, zu aktivieren und hinzuzufügen.

  1. Führen Sie den folgenden Befehl aus, um Server im Modus Überwachung zu konfigurieren:

    netsh nps set requiremsgauthall = "audit"

  2. Führen Sie den folgenden Befehl aus, um Konfigurationen für alle Server zu aktivieren:

    netsh nps set requirems alle = "enable"

  3. Um eine Ausnahme hinzuzufügen, um einen Server von der requireauthmsg-Überprüfung auszuschließen, führen Sie den folgenden Befehl aus:

    netsh nps set requiremstop remoteservergroup = <Name der Remote-Servergruppe> Adresse = <Serveradresse> Ausnahme = „ja“

Häufig gestellte Fragen

Überprüfen Sie NPS-Modulereignisse auf verwandte Ereignisse. Erwägen Sie das Hinzufügen von Ausnahmen oder Konfigurationsanpassungen für betroffene Clients/Server.

Nein, die in diesem Artikel beschriebenen Konfigurationen werden für ungesicherte Netzwerke empfohlen. 

References

Erläuterung der bei Microsoft-Softwareupdates verwendeten Standardbegriffe

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider