Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

Fontos A Microsoft Windows bizonyos verzióinak támogatása véget ért. Vegye figyelembe, hogy a Windows egyes verziói a legújabb operációsrendszer-befejezési dátum után is támogatottak lehetnek, ha a kiterjesztett biztonsági frissítések (ESU-k) elérhetők. Az ESU-kat kínáló termékek listájáért tekintse meg az életciklussal kapcsolatos gyakori kérdések – kiterjesztett biztonsági frissítések című témakört.

Tartalomjegyzék

Összefoglalás

Ez a frissítés az MD5 ütközési problémáival kapcsolatos távoli hitelesítési betárcsázós szolgáltatás (RADIUS) protokoll biztonsági rését oldja meg. Az MD5 gyenge integritás-ellenőrzései miatt a támadó illetéktelen hozzáférés érdekében illetéktelenül módosíthatja a csomagokat. Az MD5 biztonsági rés miatt a User Datagram Protocol (UDP) alapú RADIUS-forgalom az interneten keresztül nem biztonságos a csomaghamisítás vagy -módosítás ellen az átvitel során. 

A biztonsági résről további információt a CVE-2024-3596 és a RADIUS AND MD5 COLLISION ATTACKS című tanulmányban talál.

JEGYZET Ez a biztonsági rés fizikai hozzáférést igényel a RADIUS-hálózathoz és a hálózati házirend-kiszolgálóhoz (NPS). Ezért azok az ügyfelek, akik biztonságos RADIUS-hálózatokkal rendelkeznek, nem sebezhetők. Emellett a biztonsági rés nem érvényes, ha a RADIUS-kommunikáció VPN-en keresztül történik. 

Művelet végrehajtása

A környezet védelme érdekében javasoljuk, hogy engedélyezze az alábbi konfigurációkat. További információkért lásd a Konfigurációk szakaszt .

  • Állítsa be a Message-Authenticator attribútumot az Access-Request csomagokban.

    Győződjön meg arról, hogy az access-request csomagok tartalmazzák a Message-Authenticator attribútumot.

  • Ellenőrizze a Message-Authenticator attribútumot az Access-Request csomagokban.

    Fontolja meg a Message-Authenticator attribútum érvényesítésének kikényszerítését az Access-Request csomagokon. Az access-request csomagok ezen attribútum nélkül nem lesznek feldolgozva.

  • Ellenőrizze a Message-Authenticator attribútumot az Access-Request csomagokban, ha a Proxy-State attribútum jelen van.

    Nem kötelező: Engedélyezze a limitProxyState konfigurációt, ha a Message-Authenticator attribútum érvényesítése nem hajtható végre az Access-Request csomagokon. Ez a konfiguráció ellenőrzi, hogy a Proxy-State attribútumot tartalmazó Access-Request csomagok tartalmazzák-e a Message-Authenticator attribútumot is.

  • Ellenőrizze a Message-Authenticator attribútumot a RADIUS-válaszcsomagokban: Access-Accept, Access-Reject és Access-Challenge.

    Engedélyezze a requireMsgAuth konfigurációt a RADIUS-válaszcsomagok eltávolításának kényszerítéséhez olyan távoli kiszolgálókról, amelyek nem rendelkeznek a Message-Authenticator attribútummal.

A frissítés által hozzáadott események

További információkért lásd a Konfigurációk szakaszt

Az Access-Request csomag el lett dobva, mert tartalmazza a Proxy-State attribútumot, de nem rendelkezik a Message-Authenticator attribútummal. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. Vagy adjon hozzá egy kivételt a RADIUS-ügyfélhez a limitProxyState konfiguráció használatával.

Eseménynapló

Rendszer

Esemény típusa

Hiba

Esemény forrása

NPS

Eseményazonosító

4418

Esemény szövege

Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. Ennek eredményeképpen a kérés el lett dobva. A Message-Authenticator attribútum biztonsági okokból kötelező. További információ: https://support.microsoft.com/help/5040268. 

Ez egy naplózási esemény az Access-Request csomagokhoz az Message-Authenticator attribútum nélkül proxyállapot jelenlétében. Fontolja meg a RADIUS-ügyfél módosítását úgy, hogy tartalmazza a Message-Authenticator attribútumot. A RADIUS-csomag eldobása a limitproxystate konfiguráció engedélyezése után történik.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4419

Esemény szövege

Access-Request üzenet érkezett a RADIUS-ügyféltől ,<ip/name> tartalmazott egy Proxy-State attribútumot, de nem tartalmazott Message-Authenticator attribútumot. A kérés jelenleg engedélyezve van, mivel a limitProxyState naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268. 

Ez egy naplózási esemény a proxynál a Message-Authenticator attribútum nélkül fogadott RADIUS-válaszcsomagok esetében. Fontolja meg a Message-Authenticator attribútum megadott RADIUS-kiszolgálójának módosítását. A RADIUS-csomag eldobása a requiremsgauth konfiguráció engedélyezése után történik.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4420

Esemény szövege

A RADIUS-proxy egy hiányzó Message-Authenticator attribútummal rendelkező IP-/név-><kapott választ. A válasz jelenleg engedélyezett, mivel a requireMsgAuth naplózási módban van konfigurálva. További információ: https://support.microsoft.com/help/5040268.

Ezt az eseményt a szolgáltatás indításakor naplózza a rendszer, ha az ajánlott beállítások nincsenek konfigurálva. Fontolja meg a beállítások engedélyezését, ha a RADIUS-hálózat nem biztonságos. A biztonságos hálózatok esetében ezek az események figyelmen kívül hagyhatók.

Eseménynapló

Rendszer

Esemény típusa

Figyelmeztetés

Esemény forrása

NPS

Eseményazonosító

4421

Esemény szövege

A RequireMsgAuth és/vagy a limitProxyState konfiguráció <Disable/Audit> módban van. Ezeket a beállításokat biztonsági okokból Engedélyezés módban kell konfigurálni. További információ: https://support.microsoft.com/help/5040268.

Konfigurációk

Ezzel a konfigurációval az NPS-proxy megkezdheti a Message-Authenticator attribútum küldését az összes Access-Request csomagban. A konfiguráció engedélyezéséhez használja az alábbi módszerek egyikét.

1. módszer: Az NPS Microsoft Management Console (MMC) használata

Az NPS MMC használatához kövesse az alábbi lépéseket:

  1. Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.

  2. Nyissa meg a távoli Radius-kiszolgálócsoportokat.

  3. Válassza a Radius-kiszolgáló lehetőséget.

  4. Lépjen a Hitelesítés/Könyvelés területre.

  5. Jelölje be a A kérelemnek tartalmaznia kell a Message-Authenticator attribútum jelölőnégyzetet.

2. módszer: A netsh parancs használata

A netsh használatához futtassa a következő parancsot:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

További információ: Távoli RADIUS-kiszolgálócsoport parancsai.

Ehhez a konfigurációhoz a Message-Authenticator attribútumra van szükség az összes Access-Request üzenetben, és ha hiányzik, elveti a csomagot.

1. módszer: Az NPS Microsoft Management Console (MMC) használata

Az NPS MMC használatához kövesse az alábbi lépéseket:

  1. Nyissa meg az NPS felhasználói felületét (UI) a kiszolgálón.

  2. Nyissa meg a Radius-ügyfeleket.

  3. Válassza a Radius-ügyfél lehetőséget.

  4. Lépjen a Speciális beállítások területre.

  5. Ide kattintva jelölje be az Access-Request üzeneteknek tartalmazniuk kell az message-authenticator attribútumot jelölőnégyzetet.

További információ: RADIUS-ügyfelek konfigurálása.

2. módszer: A netsh parancs használata

A netsh használatához futtassa a következő parancsot:

netsh nps set client name = <client name> requireauthattrib = yes

További információ: Távoli RADIUS-kiszolgálócsoport parancsai.

Ez a konfiguráció lehetővé teszi, hogy az NPS-kiszolgáló elvetse a potenciálisan sebezhető hozzáférési kérelmeket tartalmazó csomagokat, amelyek proxy-state attribútumot tartalmaznak, de nem tartalmaznak Message-Authenticator attribútumot. Ez a konfiguráció három módot támogat:

  • Naplózás

  • Engedélyezés

  • Letiltás

Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4419), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a kéréseket küldő nem megfelelő entitásokat.

A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.

  1. Az ügyfelek naplózási módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set limitproxystate all = "audit"

  2. Az ügyfelek Engedélyezési módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set limitproxystate all = "enable" 

  3. Ha kivételt szeretne hozzáadni, hogy kizárjon egy ügyfelet a limitProxystate ellenőrzésből, futtassa a következő parancsot:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Ez a konfiguráció lehetővé teszi, hogy az NPS-proxy a Message-Authenticator attribútum nélkül elvetje a potenciálisan sebezhető válaszüzeneteket. Ez a konfiguráció három módot támogat:

  • Naplózás

  • Engedélyezés

  • Letiltás

Naplózási módban a rendszer naplóz egy figyelmeztető eseményt (eseményazonosító: 4420), de a kérés feldolgozása továbbra is folyamatban van. Ezzel a móddal azonosíthatja a válaszokat küldő nem megfelelő entitásokat.

A netsh paranccsal szükség szerint konfigurálhat, engedélyezhet és adhat hozzá kivételt.

  1. A kiszolgálók naplózási módban való konfigurálásához futtassa a következő parancsot:

    netsh nps set requiremsgauthall = "audit"

  2. Az összes kiszolgáló konfigurációjának engedélyezéséhez futtassa a következő parancsot:

    netsh nps set limitproxystate all = "enable"

  3. Ha kivételt szeretne hozzáadni egy kiszolgálónak a requireauthmsg érvényesítéséből való kizárásához, futtassa a következő parancsot:

    netsh nps set requiremsgauth remoteservergroup = <távoli kiszolgálócsoport neve> cím = <kiszolgáló címe> kivétel = "igen"

Gyakori kérdések

Ellenőrizze, hogy az NPS-modul eseményei kapcsolódó eseményeket keresnek-e. Vegye fontolóra kivételek vagy konfigurációs beállítások hozzáadását az érintett ügyfelekhez/kiszolgálókhoz.

Nem, a cikkben ismertetett konfigurációk nem biztonságos hálózatokhoz ajánlottak. 

Referenciák

A Microsoft szoftverfrissítéseinek leírására használt szabványos terminológia leírása

A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×