Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Penting Versi Microsoft Windows tertentu telah mencapai akhir dukungan. Perhatikan bahwa beberapa versi Windows mungkin didukung melewati tanggal akhir OS terbaru ketika Pembaruan Keamanan Diperpanjang (ESUs, Extended Security Updates) tersedia. Lihat FAQ Siklus Hidup - Pembaruan Keamanan Diperpanjang untuk daftar produk yang menawarkan ESUs.

Isi

Rangkuman

Pembaruan ini mengatasi kerentanan keamanan dalam protokol Layanan Pengguna Dial-In Autentikasi Jarak Jauh (RADIUS) yang terkait dengan masalah tabrakan MD5 . Karena pemeriksaan integritas yang lemah di MD5, penyerang mungkin mengutak-atik paket untuk mendapatkan akses yang tidak sah. Kerentanan MD5 membuat lalu lintas RADIUS berbasis User Datagram Protocol (UDP) melalui internet tidak aman terhadap pemalsuan paket atau modifikasi selama transit. 

Untuk informasi selengkapnya tentang kerentanan ini, lihat CVE-2024-3596 dan whitepaper RADIUS AND MD5 COLLISION ATTACKS.

NOTA Kerentanan ini memerlukan akses fisik ke jaringan RADIUS dan Network Policy Server (NPS). Oleh karena itu, pelanggan yang telah mengamankan jaringan RADIUS tidak rentan. Selain itu, kerentanan tidak berlaku ketika komunikasi RADIUS terjadi melalui VPN. 

Ambil tindakan

Untuk membantu melindungi lingkungan Anda, sebaiknya aktifkan konfigurasi berikut. Untuk informasi selengkapnya, lihat bagian Konfigurasi .

  • Atur atribut Message-Authenticator dalam paket Access-Request .

    Pastikan semua paket Permintaan Akses menyertakan atribut Message-Authenticator .

  • Verifikasi atribut Message-Authenticator dalam paket Access-Request .

    Pertimbangkan untuk memberlakukan validasi atribut Message-Authenticator pada paket Permintaan Akses . Paket Permintaan Akses tanpa atribut ini tidak akan diproses.

  • Verifikasi atribut Message-Authenticator dalam paket Access-Request jika atribut Proksi-State ada.

    Opsional: Aktifkan konfigurasi limitProxyState jika memberlakukan validasi atribut Message-Authenticator pada paket Access-Request tidak dapat dilakukan. Konfigurasi ini akan memvalidasi bahwa paket Permintaan Akses yang berisi atribut Proksi-Status juga berisi atribut Message-Authenticator .

  • Verifikasi atribut Message-Authenticator dalam paket respons RADIUS: Access-Accept, Access-Reject , dan Access-Challenge.

    Aktifkan konfigurasi requireMsgAuth untuk memberlakukan penghapusan paket respons RADIUS dari server jarak jauh yang tidak memiliki atribut Message-Authenticator .

Acara yang ditambahkan oleh pembaruan ini

Untuk informasi selengkapnya, lihat bagian Konfigurasi

Paket Permintaan Akses dijatuhkan karena berisi atribut Proksi-Status tetapi tidak memiliki atribut Message-Authenticator . Pertimbangkan untuk mengubah klien RADIUS agar menyertakan atribut Message-Authenticator . Atau, alternatifnya, tambahkan pengecualian untuk klien RADIUS dengan menggunakan konfigurasi limitProxyState .

Log kejadian

Sistem

Tipe kejadian

Kesalahan

Sumber kejadian

NPS

ID Kejadian

4418

Teks acara

Pesan Access-Request diterima dari klien RADIUS <ip/name> yang berisi atribut Proxy-State, tetapi tidak menyertakan atribut Message-Authenticator. Akibatnya, permintaan tersebut dijatuhkan. Atribut Message-Authenticator wajib untuk tujuan keamanan. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya. 

Ini adalah kejadian audit untuk paket Permintaan Akses tanpa atribut Message-Authenticator di hadapan Proksi-State. Pertimbangkan untuk mengubah klien RADIUS agar menyertakan atribut Message-Authenticator . Paket RADIUS akan dibuang setelah konfigurasi limitproxystate diaktifkan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4419

Teks acara

Pesan Access-Request diterima dari klien RADIUS <ip/name> yang berisi atribut Proxy-State, tetapi tidak menyertakan atribut Message-Authenticator. Permintaan saat ini diperbolehkan karena limitProxyState dikonfigurasi dalam mode Audit. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya. 

Ini adalah kejadian Audit untuk paket respons RADIUS yang diterima tanpa atribut Message-Authenticator di proksi. Pertimbangkan untuk mengubah server RADIUS tertentu untuk atribut Message-Authenticator . Paket RADIUS akan dijatuhkan setelah konfigurasi requiremsgauth diaktifkan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4420

Teks acara

Proksi RADIUS menerima respons dari server <ip/nama> dengan atribut Message-Authenticator yang hilang. Respons saat ini diperbolehkan karena requireMsgAuth dikonfigurasi dalam mode Audit. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya.

Kejadian ini dicatat selama layanan dimulai ketika pengaturan yang disarankan tidak dikonfigurasi. Pertimbangkan untuk mengaktifkan pengaturan jika jaringan RADIUS tidak aman. Untuk jaringan aman, aktivitas ini bisa diabaikan.

Log kejadian

Sistem

Tipe kejadian

Peringatan

Sumber kejadian

NPS

ID Kejadian

4421

Teks acara

RequireMsgAuth dan/atau limitProxyState konfigurasi berada dalam mode<Disable/Audit> . Pengaturan ini harus dikonfigurasi dalam mode Aktifkan untuk tujuan keamanan. Lihat https://support.microsoft.com/help/5040268 untuk mempelajari selengkapnya.

Konfigurasi

Konfigurasi ini memungkinkan Proksi NPS untuk mulai mengirim atribut Message-Authenticator di semua paket Access-Request . Untuk mengaktifkan konfigurasi ini, gunakan salah satu metode berikut.

Metode 1: Gunakan Konsol Manajemen Microsoft NPS (MMC)

Untuk menggunakan NPS MMC, ikuti langkah-langkah ini:

  1. Buka antarmuka pengguna (UI) NPS di server.

  2. Buka Grup Server Radius jarak jauh.

  3. Pilih Radius Server.

  4. Masuk ke Autentikasi/Akuntansi.

  5. Klik untuk memilih kotak centang Permintaan harus berisi atribut Message-Authenticator .

Metode 2: Gunakan perintah netsh

Untuk menggunakan netsh, jalankan perintah berikut:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Untuk informasi selengkapnya, lihat Perintah Grup Server RADIUS Jarak Jauh.

Konfigurasi ini memerlukan atribut Message-Authenticator di semua pesan Access-Request dan menjatuhkan paket jika tidak ada.

Metode 1: Gunakan Konsol Manajemen Microsoft NPS (MMC)

Untuk menggunakan NPS MMC, ikuti langkah-langkah ini:

  1. Buka antarmuka pengguna (UI) NPS di server.

  2. Buka Klien Radius.

  3. Pilih Klien Radius.

  4. Masuk ke Pengaturan Lanjutan.

  5. Klik untuk memilih kotak centang Pesan Permintaan-Akses harus berisi atribut message-authenticator .

Untuk informasi selengkapnya, lihat Mengonfigurasi Klien RADIUS.

Metode 2: Gunakan perintah netsh

Untuk menggunakan netsh, jalankan perintah berikut:

netsh nps set client name = <client name> requireauthattrib = yes

Untuk informasi selengkapnya, lihat Perintah Grup Server RADIUS Jarak Jauh.

Konfigurasi ini memungkinkan server NPS untuk menjatuhkan paket Permintaan Akses yang rentan potensial yang berisi atribut Proksi-Status , tetapi tidak menyertakan atribut Message-Authenticator . Konfigurasi ini mendukung tiga mode:

  • Audit

  • Mengaktifkan

  • Menonaktifkan

Dalam mode Audit , kejadian peringatan (ID Kejadian: 4419) dicatat, tetapi permintaan masih diproses. Gunakan mode ini untuk mengidentifikasi entitas yang tidak memenuhi syarat yang mengirimkan permintaan.

Gunakan perintah netsh untuk mengonfigurasi, mengaktifkan, dan menambahkan pengecualian sesuai kebutuhan.

  1. Untuk mengonfigurasi klien dalam mode Audit , jalankan perintah berikut:

    netsh nps set limitproxystate all = "audit"

  2. Untuk mengonfigurasi klien dalam mode Aktifkan, jalankan perintah berikut:

    netsh nps set limitproxystate all = "enable" 

  3. Untuk menambahkan pengecualian untuk mengecualikan klien dari validasi limitProxystate , jalankan perintah berikut:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Konfigurasi ini memungkinkan Proksi NPS untuk menjatuhkan pesan respons yang berpotensi rentan tanpa atribut Message-Authenticator . Konfigurasi ini mendukung tiga mode:

  • Audit

  • Mengaktifkan

  • Menonaktifkan

Dalam mode Audit, kejadian peringatan (ID Kejadian: 4420) dicatat, tetapi permintaan masih diproses. Gunakan mode ini untuk mengidentifikasi entitas yang tidak memenuhi syarat yang mengirimkan respons.

Gunakan perintah netsh untuk mengonfigurasi, mengaktifkan, dan menambahkan pengecualian sesuai kebutuhan.

  1. Untuk mengonfigurasi server dalam mode Audit, jalankan perintah berikut:

    netsh nps set memerlukanall = "audit"

  2. Untuk mengaktifkan konfigurasi untuk semua server, jalankan perintah berikut:

    netsh nps set limitproxystate all = "enable"

  3. Untuk menambahkan pengecualian untuk mengecualikan server dari validasi requireauthmsg, jalankan perintah berikut:

    netsh nps set requiremsgauth remoteservergroup = <nama grup server jarak jauh> alamat = <alamat server> pengecualian = "ya"

Pertanyaan umum

Periksa kejadian modul NPS untuk kejadian terkait. Pertimbangkan untuk menambahkan pengecualian atau penyesuaian konfigurasi untuk klien/server yang terpengaruh.

Tidak, konfigurasi yang dibahas dalam artikel ini direkomendasikan untuk jaringan yang tidak aman. 

Referensi

Deskripsi terminologi standar yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft

Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan yang bukan merupakan bagian dari Microsoft. Kami tidak memberikan jaminan, tersirat atau tersurat, tentang kinerja atau keandalan produk ini.

Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×