Σημαντικό Η υποστήριξη για ορισμένες εκδόσεις των Microsoft Windows έχει λήξει. Λάβετε υπόψη ότι ορισμένες εκδόσεις των Windows ενδέχεται να υποστηρίζονται μετά την τελευταία ημερομηνία λήξης του λειτουργικού συστήματος, όταν είναι διαθέσιμες εκτεταμένες ενημερώσεις ασφαλείας (ESU). Ανατρέξτε στο θέμα Συνήθεις ερωτήσεις κύκλου ζωής - Εκτεταμένες ενημερώσεις ασφαλείας για μια λίστα προϊόντων που προσφέρουν ESU.
Περιεχόμενα
Σύνοψη
Αυτή η ενημέρωση αντιμετωπίζει μια ευπάθεια ασφαλείας στο πρωτόκολλο υπηρεσίας απομακρυσμένου ελέγχου ταυτότητας χρηστών κλήσης σύνδεσης (RADIUS) που σχετίζεται με προβλήματα σύγκρουσης MD5 . Λόγω των ελέγχων αδύναμης ακεραιότητας στο MD5, ένας εισβολέας μπορεί να αλλοιώσει πακέτα για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση. Η ευπάθεια MD5 καθιστά την κυκλοφορία RADIUS βάσει πρωτοκόλλου datagram χρήστη (UDP) μέσω Internet μη ασφαλή έναντι πλαστογραφίας πακέτων ή τροποποίησης κατά τη μεταφορά.
Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια, ανατρέξτε στο θέμα CVE-2024-3596 και whitepaper RADIUS AND MD5 COLLISION ATTACKS.
ΣΗΜΕΊΩΣΗ Αυτή η ευπάθεια απαιτεί φυσική πρόσβαση στο δίκτυο RADIUS και στο διακομιστή πολιτικής δικτύου (NPS). Επομένως, οι πελάτες που έχουν εξασφαλίσει δίκτυα RADIUS δεν είναι ευάλωτοι. Επιπλέον, η ευπάθεια δεν ισχύει όταν παρουσιάζεται επικοινωνία RADIUS μέσω VPN.
Ανάληψη δράσης
|
Για να συμβάλετε στην προστασία του περιβάλλοντός σας, συνιστάται να ενεργοποιήσετε τις παρακάτω ρυθμίσεις παραμέτρων. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ρυθμίσεις παραμέτρων .
|
Συμβάντα που προστέθηκαν από αυτήν την ενημέρωση
Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ρυθμίσεις παραμέτρων .
Το πακέτο αίτησης πρόσβασης απορρίφθηκε επειδή περιείχε το χαρακτηριστικό Proxy-State , αλλά δεν διέθετε το χαρακτηριστικό Message-Authenticator . Εξετάστε το ενδεχόμενο να αλλάξετε το πρόγραμμα-πελάτη RADIUS για να συμπεριλάβετε το χαρακτηριστικό Message-Authenticator . Εναλλακτικά, προσθέστε μια εξαίρεση για τον υπολογιστή-πελάτη RADIUS χρησιμοποιώντας το όριο ρύθμισης παραμέτρωνProxyState .
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Σφάλμα |
|
Προέλευση συμβάντος |
NPS |
|
Αναγνωριστικό συμβάντος |
4418 |
|
Κείμενο συμβάντος |
Ελήφθη ένα μήνυμα Access-Request από τον υπολογιστή-πελάτη RADIUS<>διευθύνσεων ip/name που περιέχουν ένα χαρακτηριστικό Proxy-State, αλλά δεν περιλάμβανε χαρακτηριστικό Message-Authenticator. Ως αποτέλεσμα, η αίτηση απορρίφθηκε. Το χαρακτηριστικό Message-Authenticator είναι υποχρεωτικό για λόγους ασφαλείας. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. |
Αυτό είναι ένα συμβάν ελέγχου για πακέτα αίτησης πρόσβασης χωρίς το χαρακτηριστικό Message-Authenticator παρουσία κατάστασης διακομιστή μεσολάβησης. Εξετάστε το ενδεχόμενο να αλλάξετε το πρόγραμμα-πελάτη RADIUS για να συμπεριλάβετε το χαρακτηριστικό Message-Authenticator . Το πακέτο RADIUS θα απορριφθεί μόλις ενεργοποιηθεί η ρύθμιση παραμέτρων limitproxystate .
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
NPS |
|
Αναγνωριστικό συμβάντος |
4419 |
|
Κείμενο συμβάντος |
Ελήφθη ένα μήνυμα Access-Request από τον υπολογιστή-πελάτη RADIUS<>διευθύνσεων ip/name που περιέχουν ένα χαρακτηριστικό Proxy-State, αλλά δεν περιλάμβανε χαρακτηριστικό Message-Authenticator. Επί του παρόντος, η αίτηση επιτρέπεται, καθώς το όριοProxyState έχει ρυθμιστεί σε λειτουργία ελέγχου. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. |
Αυτό είναι ένα συμβάν ελέγχου για πακέτα απόκρισης RADIUS που λαμβάνονται χωρίς το χαρακτηριστικό Message-Authenticator στο διακομιστή μεσολάβησης. Εξετάστε το ενδεχόμενο να αλλάξετε τον καθορισμένο διακομιστή RADIUS για το χαρακτηριστικό Message-Authenticator . Το πακέτο RADIUS θα απορριφθεί μόλις ενεργοποιηθεί η ρύθμιση παραμέτρων requiremsgauth .
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
NPS |
|
Αναγνωριστικό συμβάντος |
4420 |
|
Κείμενο συμβάντος |
Ο διακομιστής μεσολάβησης RADIUS έλαβε μια απάντηση από <ip/όνομα διακομιστή> με ένα χαρακτηριστικό Message-Authenticator που λείπει. Προς το παρόν, επιτρέπεται η απόκριση, καθώς οι παράμετροι του requireMsgAuth ρυθμίζονται σε κατάσταση λειτουργίας ελέγχου. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. |
Αυτό το συμβάν καταγράφεται κατά την έναρξη της υπηρεσίας όταν δεν έχουν ρυθμιστεί οι προτεινόμενες ρυθμίσεις. Εξετάστε το ενδεχόμενο να ενεργοποιήσετε τις ρυθμίσεις, αν το δίκτυο RADIUS δεν είναι ασφαλές. Για ασφαλή δίκτυα, αυτά τα συμβάντα μπορούν να αγνοηθούν.
|
Αρχείο καταγραφής συμβάντων |
Σύστημα |
|
Τύπος συμβάντος |
Προειδοποίηση |
|
Προέλευση συμβάντος |
NPS |
|
Αναγνωριστικό συμβάντος |
4421 |
|
Κείμενο συμβάντος |
RequireMsgAuth or/or limitProxyState configuration is in <Disable/Audit> mode. Αυτές οι ρυθμίσεις θα πρέπει να ρυθμιστούν σε Λειτουργία ενεργοποίησης για λόγους ασφαλείας. Ανατρέξτε στο θέμα https://support.microsoft.com/help/5040268 για να μάθετε περισσότερα. |
Ρυθμίσεις παραμέτρων
Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή μεσολάβησης NPS να ξεκινήσει την αποστολή του χαρακτηριστικού Message-Authenticator σε όλα τα πακέτα αίτησης πρόσβασης . Για να ενεργοποιήσετε αυτήν τη ρύθμιση παραμέτρων, χρησιμοποιήστε μία από τις παρακάτω μεθόδους.
Μέθοδος 1: Χρήση της κονσόλας διαχείρισης της Microsoft NPS (MMC)
Για να χρησιμοποιήσετε την NPS MMC, ακολουθήστε τα εξής βήματα:
-
Ανοίξτε το περιβάλλον εργασίας χρήστη (UI) NPS στο διακομιστή.
-
Ανοίξτε τις απομακρυσμένες ομάδες διακομιστή Radius.
-
Επιλέξτε Διακομιστής radius.
-
Μεταβείτε στην περιοχή Έλεγχος ταυτότητας/Λογιστική.
-
Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Η αίτηση πρέπει να περιέχει το πλαίσιο ελέγχου χαρακτηριστικού Message-Authenticator .
Μέθοδος 2: Χρήση της εντολής netsh
Για να χρησιμοποιήσετε netsh, εκτελέστε την ακόλουθη εντολή:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εντολές ομάδας απομακρυσμένου διακομιστή RADIUS.
Αυτή η ρύθμιση παραμέτρων απαιτεί το χαρακτηριστικό Message-Authenticator σε όλα τα μηνύματα αίτησης πρόσβασης και απορρίπτει το πακέτο, εάν απουσιάζει.
Μέθοδος 1: Χρήση της κονσόλας διαχείρισης της Microsoft NPS (MMC)
Για να χρησιμοποιήσετε την NPS MMC, ακολουθήστε τα εξής βήματα:
-
Ανοίξτε το περιβάλλον εργασίας χρήστη (UI) NPS στο διακομιστή.
-
Ανοίξτε τα προγράμματα-πελάτες του Radius.
-
Επιλέξτε Πρόγραμμα-πελάτης Radius.
-
Μεταβείτε στις Ρυθμίσεις για προχωρημένους.
-
Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Τα μηνύματα αίτησης πρόσβασης πρέπει να περιέχουν το πλαίσιο ελέγχου χαρακτηριστικού ελέγχου ταυτότητας μηνύματος .
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων πελατών RADIUS.
Μέθοδος 2: Χρήση της εντολής netsh
Για να χρησιμοποιήσετε netsh, εκτελέστε την ακόλουθη εντολή:
netsh nps set client name = <client name> requireauthattrib = yes
Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Εντολές ομάδας απομακρυσμένου διακομιστή RADIUS.
Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή NPS να απορρίπτει πιθανά ευάλωτα πακέτα αίτησης πρόσβασης που περιέχουν ένα χαρακτηριστικό proxy-State , αλλά δεν περιλαμβάνουν χαρακτηριστικό Message-Authenticator . Αυτή η ρύθμιση παραμέτρων υποστηρίζει τρεις λειτουργίες:
-
Έλεγχος
-
Ενεργοποίηση
-
Απενεργοποίηση
Στη λειτουργία ελέγχου , καταγράφεται ένα συμβάν προειδοποίησης (Αναγνωριστικό συμβάντος: 4419), αλλά η αίτηση εξακολουθεί να υποβάλλεται σε επεξεργασία. Χρησιμοποιήστε αυτήν τη λειτουργία για να προσδιορίσετε τις μη συμβατές οντότητες που αποστέλλουν τις αιτήσεις.
Χρησιμοποιήστε την εντολή netsh για να ρυθμίσετε τις παραμέτρους, να ενεργοποιήσετε και να προσθέσετε μια εξαίρεση, ανάλογα με τις ανάγκες.
-
Για να ρυθμίσετε τις παραμέτρους των πελατών σε κατάσταση λειτουργίας ελέγχου , εκτελέστε την ακόλουθη εντολή:
netsh nps set limitproxystate all = "audit"
-
Για να ρυθμίσετε τις παραμέτρους των πελατών στη λειτουργία ενεργοποίησης , εκτελέστε την ακόλουθη εντολή:
netsh nps set limitproxystate all = "enable"
-
Για να προσθέσετε μια εξαίρεση για να εξαιρέσετε έναν υπολογιστή-πελάτη από την επικύρωση limitProxystate , εκτελέστε την ακόλουθη εντολή:
netsh nps set limitproxystate name = <όνομα πελάτη> εξαίρεση = "Yes"
Αυτή η ρύθμιση παραμέτρων επιτρέπει στο διακομιστή μεσολάβησης NPS να αποσύρει πιθανώς ευάλωτα μηνύματα απόκρισης χωρίς το χαρακτηριστικό Message-Authenticator . Αυτή η ρύθμιση παραμέτρων υποστηρίζει τρεις λειτουργίες:
-
Έλεγχος
-
Ενεργοποίηση
-
Απενεργοποίηση
Στη λειτουργία ελέγχου, καταγράφεται ένα συμβάν προειδοποίησης (Αναγνωριστικό συμβάντος: 4420), αλλά η αίτηση εξακολουθεί να υποβάλλεται σε επεξεργασία. Χρησιμοποιήστε αυτήν τη λειτουργία για να προσδιορίσετε τις μη συμβατές οντότητες που αποστέλλουν τις απαντήσεις.
Χρησιμοποιήστε την εντολή netsh για να ρυθμίσετε τις παραμέτρους, να ενεργοποιήσετε και να προσθέσετε μια εξαίρεση, ανάλογα με τις ανάγκες.
-
Για να ρυθμίσετε τις παραμέτρους των διακομιστών σε λειτουργία ελέγχου, εκτελέστε την ακόλουθη εντολή:
netsh nps set απαιτείταιmsgauthall = "audit"
-
Για να ενεργοποιήσετε τις ρυθμίσεις παραμέτρων για όλους τους διακομιστές, εκτελέστε την ακόλουθη εντολή:
netsh nps set limitproxystate all = "enable"
-
Για να προσθέσετε μια εξαίρεση για να εξαιρέσετε ένα διακομιστή από την επικύρωση requireauthmsg, εκτελέστε την ακόλουθη εντολή:
netsh nps set requiremsgauth remoteservergroup = <όνομα ομάδας απομακρυσμένου διακομιστή> address = <διεύθυνση διακομιστή> εξαίρεση = "yes"
Συνήθεις ερωτήσεις
Ελέγξτε τα συμβάντα λειτουργικής μονάδας NPS για σχετικά συμβάντα. Εξετάστε το ενδεχόμενο να προσθέσετε εξαιρέσεις ή προσαρμογές ρύθμισης παραμέτρων για τους επηρεαζόμενους υπολογιστές-πελάτες/διακομιστές.
Όχι, οι ρυθμίσεις παραμέτρων που αναφέρονται σε αυτό το άρθρο συνιστώνται για μη ασφαλή δίκτυα.
Αναφορές
Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από τη Microsoft. Δεν παρεχόμαστε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση ή την αξιοπιστία αυτών των προϊόντων.
Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.
