Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Important Certaines versions de Microsoft Windows ont atteint la fin de leur support. Notez que certaines versions de Windows peuvent être prises en charge au-delà de la date de fin du dernier système d'exploitation lorsque des mises à jour de sécurité étendues (ESU) sont disponibles. Consultez FAQ cycle de vie – Mises à jour de sécurité étendues pour une liste des produits proposant des mises à jour de sécurité étendues.

Contents

Résumé

Cette mise à jour corrige une faille de sécurité dans le protocole RADIUS ( Service d'authentification à distance des utilisateurs) liée à des problèmes de collision MD5. En raison de la faiblesse des contrôles d'intégrité de MD5, un pirate peut altérer les paquets pour obtenir un accès non autorisé. La vulnérabilité MD5 rend le trafic RADIUS basé sur le protocole UDP (User Datagram Protocol) sur Internet non sécurisé contre la falsification ou la modification des paquets pendant le transit. 

Pour plus d'informations sur cette vulnérabilité, voir CVE-2024-3596 et le livre blanc Attaques de collision RADIUS ET MD5.

REMARQUE Cette vulnérabilité nécessite un accès physique au réseau RADIUS et au serveur de stratégie réseau (NPS). Par conséquent, les clients qui ont sécurisé leurs réseaux RADIUS ne sont pas vulnérables. En outre, la vulnérabilité ne s'applique pas lorsque la communication RADIUS s'effectue par l'intermédiaire d'un réseau privé virtuel. 

Procédure à suivre

Pour protéger votre environnement, nous vous recommandons d'activer les configurations suivantes. Pour plus d'informations, voir la section Configurations.

  • Définir l'attribut Message-Authenticator dans les paquets Access-Request.

    Assurez-vous que tous les paquets Access-Request incluent l'attribut Message-Authenticator.

  • Vérifier l'attribut Message-Authenticator dans les paquets Access-Request.

    Considérer l'application de la validation de l'attribut Message-Authenticator sur les paquets Access-Request. PaquetsAccess-Request ans cet attribut ne seront pas traités.

  • Vérifier l'attribut Message-Authenticator dans les paquets Access-Request si l'attribut Proxy-State est présent.

    Facultatif : Activez la configuration limitProxyState si la validation de l'attribut Message-Authenticator sur les paquets Access-Request ne peut pas être effectuée. Cette configuration permet de valider que les paquets Access-Request contenant l'attribut Proxy-State contiennent également l'attribut Message-Authenticator.

  • Vérifier l'attribut Message-Authenticator dans les paquets de réponse RADIUS : Access-Accept , Access-Reject et Access-Challenge.

    Activez la configuration requireMsgAuth pour imposer l'abandon des paquets de réponses RADIUS provenant de serveurs distants qui ne possèdent pas l'attribut Message-Authenticator.

Événements ajoutés par cette mise à jour

Pour plus d'informations, voir la section Configurations

Le paquet Access-Request a été abandonné parce qu'il contenait l'attribut Proxy-State mais pas l'attribut Message-Authenticator. Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Vous pouvez également ajouter une exception pour le client RADIUS en utilisant la configuration limitProxyState.

Journal des événements

Système

Type d’événement

Error

Source de l’événement

NPS

ID d’événement

4418

Texte de l'événement

Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. Par conséquent, la demande a été abandonnée. L'attribut Message-Authenticator est obligatoire à des fins de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. 

Il s'agit d'un événement d'audit pour les paquets Access-Request sans l'attribut Message-Authenticator en présence de Proxy-State . Envisagez de modifier le client RADIUS pour inclure l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration limitproxystate sera activée.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4419

Texte de l'événement

Un message Access-Request a été reçu du client RADIUS <ip/name> contenant un attribut Proxy-State, mais il n'incluait pas d'attribut Message-Authenticator. La demande est actuellement autorisée puisque le limitProxyState est configuré en mode Audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus. 

Il s'agit d'un événement d'audit pour les paquets de réponse RADIUS reçus sans l'attribut Message-Authenticator au niveau du proxy. Considérez la possibilité de changer le serveur RADIUS spécifié pour l'attribut Message-Authenticator. Le paquet RADIUS sera abandonné une fois que la configuration requiremsgauth sera activée.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4420

Texte de l'événement

Le proxy RADIUS a reçu une réponse du serveur <ip/name> avec un attribut Message-Authenticator manquant. La réponse est actuellement autorisée puisque requireMsgAuth est configuré en mode audit. Voir https://support.microsoft.com/help/5040268 pour en savoir plus.

Cet événement est enregistré lors du démarrage du service lorsque les paramètres recommandés ne sont pas configurés. Considérez l'activation des paramètres si le réseau RADIUS n'est pas sécurisé. Pour les réseaux sécurisés, ces événements peuvent être ignorés.

Journal des événements

Système

Type d’événement

Avertissement

Source de l’événement

NPS

ID d’événement

4421

Texte de l'événement

La configuration RequireMsgAuth et/ou limitProxyState est en mode <Disable/Audit>. Ces paramètres doivent être configurés en mode Actif pour des raisons de sécurité. Voir https://support.microsoft.com/help/5040268 pour en savoir plus.

Configurations

Cette configuration permet au proxy NPS de commencer à envoyer l'attribut Message-Authenticator dans tous les paquets Access-Request. Pour activer cette configuration, utilisez l'une des méthodes suivantes.

Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP

Pour utiliser la MMC NPS, procédez comme suit :

  1. Ouvrez l'interface utilisateur NPS sur le serveur.

  2. Ouvrez les groupes de serveurs Radius distants .

  3. Sélectionnez Radius Server .

  4. Accédez à Authentification/Comptabilité.

  5. Cliquez pour cocher la case La demande doit contenir l'attribut Message-Authenticator.

Méthode 2 : Utiliser la commande netsh

Pour utiliser netsh , exécutez la commande suivante :

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .

Cette configuration exige l'attribut Message-Authenticator dans tous les messages Access-Request et laisse tomber le paquet en cas d'absence.

Méthode 1 : Utiliser la console de gestion Microsoft (MMC) des SNP

Pour utiliser la MMC NPS, procédez comme suit :

  1. Ouvrez l'interface utilisateur NPS sur le serveur.

  2. Ouvrir les clients Radius .

  3. Sélectionnez Client Radius.

  4. Accédez à Paramètres avancés.

  5. Cliquez pour cocher la case Les messages de demande Access-Request doivent contenir l'attribut message-authenticator.

Pour plus d'informations, voir Configuration des clients RADIUS .

Méthode 2 : Utiliser la commande netsh

Pour utiliser netsh , exécutez la commande suivante :

netsh nps set client name = <client name> requireauthattrib = yes

Pour plus d'informations, voir Commandes de groupe de serveurs RADIUS distants .

Cette configuration permet au serveur NPS d'abandonner les paquets Access-Request potentiellement vulnérables qui contiennent un attribut Proxy-State, mais pas d'attribut Message-Authenticator. Cette configuration prend en charge trois modes :

  • Audit

  • Activer

  • Désactiver

En mode audit, un événement d'avertissement (ID d'événement : 4419) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les requêtes.

Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.

  1. Pour configurer les clients en mode audit, exécutez la commande suivante :

    netsh nps set limitproxystate all = « audit »

  2. Pour configurer les clients en mode Activé, exécutez la commande suivante :

    netsh nps set limitproxystate all = « enable » 

  3. Pour ajouter une exception afin d'exclure un client de la validation limitProxystate, exécutez la commande suivante :

    netsh nps set limitproxystate nom = <nom du client> exception = « Oui » 

Cette configuration permet à NPS Proxy de laisser tomber les messages de réponse potentiellement vulnérables sans l'attribut Message-Authenticator. Cette configuration prend en charge trois modes :

  • Audit

  • Activer

  • Désactiver

En mode audit, un événement d'avertissement (ID d'événement : 4420) est enregistré, mais la demande est toujours traitée. Utilisez ce mode pour identifier les entités non conformes qui envoient les réponses.

Utilisez la commande netsh pour configurer, activer et ajouter une exception si nécessaire.

  1. Pour configurer les serveurs en mode audit, exécutez la commande suivante :

    netsh nps set requiremsgauthall = "audit"

  2. Pour activer les configurations pour tous les serveurs, exécutez la commande suivante :

    netsh nps set limitproxystate all = "enable"

  3. Pour ajouter une exception afin d'exclure un serveur de la validation requireauthmsg, exécutez la commande suivante :

    netsh nps set requiremsgauth remoteservergroup = <nom du groupe du serveur distant> adresse = <adresse du serveur> exception = « yes »

Forum aux questions

Vérifiez les événements du module NPS pour les événements connexes. Considérez l'ajout d'exceptions ou d'ajustements de configuration pour les clients/serveurs concernés.

Non, les configurations présentées dans cet article sont recommandées pour les réseaux non sécurisés. 

Références

Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×