Importante Alcune versioni di Microsoft Windows hanno raggiunto la fine del supporto. Alcune versioni di Windows potrebbero essere supportate oltre l'ultima data di fine del sistema operativo quando sono disponibili aggiornamenti della sicurezza estesa. Vedi le domande frequenti sul ciclo di vita - Aggiornamenti della sicurezza estesa per un elenco di prodotti che offrono aggiornamenti della sicurezza estesa.

Modifica data

Modificare la descrizione

1 agosto 2024

  • Modifiche minori alla formattazione per la leggibilità

  • Nella configurazione "Configure verification of the Message-Authenticator attribute in all Access-Request packets on the client" è stata usata la parola "message" al posto di "packet"

5 agosto 2024

  • Collegamento aggiunto per UDP (User Datagram Protocol)

  • Collegamento aggiunto per server dei criteri di rete

6 agosto 2024

  • Aggiornata la sezione "Riepilogo" per indicare che queste modifiche sono incluse negli aggiornamenti di Windows con data 9 luglio 2024 o successiva

  • Aggiornato i punti elenco nella sezione "Intervenire" per indicare che è consigliabile attivare le opzioni. Queste opzioni sono disattivate per impostazione predefinita.

  • Aggiunta di una nota alla sezione "Eventi aggiunti da questo aggiornamento" per indicare che gli ID evento vengono aggiunti al server dei criteri di rete dagli aggiornamenti di Windows datati 9 luglio 2024 o successivamente

Contenuto

Riassunto

Gli aggiornamenti di Windows rilasciati dopo il 9 luglio 2024 riguardano una vulnerabilità di sicurezza nel protocollo RADIUS (Remote Authentication Dial-In User Service) relativo ai problemi di collisione con MD5 . A causa di controlli di integrità deboli in MD5, un utente malintenzionato potrebbe manomettere i pacchetti per ottenere accesso non autorizzato. La vulnerabilità MD5 rende il traffico RADIUS basato sul protocollo UDP (User Datagram Protocol) su Internet non sicuro contro la contraffazione o la modifica di pacchetti durante il transito. 

Per ulteriori informazioni su questa vulnerabilità, vedi CVE-2024-3596 e il white paper RADIUS AND MD5 COLLISION ATTACKS.

NOTA Questa vulnerabilità richiede l'accesso fisico alla rete RADIUS e al server dei criteri di rete.This vulnerability requires physical access to the RADIUS network and the Network Policy Server (NPS). Di conseguenza, i clienti che hanno protetto le reti RADIUS non sono vulnerabili. Inoltre, la vulnerabilità non si applica quando si verifica la comunicazione RADIUS tramite VPN. 

Agire

Per proteggere l'ambiente, è consigliabile abilitare le configurazioni seguenti. Per ulteriori informazioni, vedere la sezione Configurazioni .

  • Impostare l'attributo Message-Authenticator nei pacchetti Access-Request . Assicurarsi che tutti i pacchetti Access-Request includano l'attributo Message-Authenticator . Per impostazione predefinita, l'opzione per impostare l'attributo Message-Authenticator è disattivata. È consigliabile attivare questa opzione.

  • Verificare l'attributo Message-Authenticator nei pacchetti Access-Request . È consigliabile applicare la convalida dell'attributo Message-Authenticator nei pacchetti Access-Request . I pacchetti access-request senza questo attributo non verranno elaborati. Per impostazione predefinita, i messaggi di richiesta di accesso devono contenere l'opzione dell'attributo message-authenticator è disattivata. È consigliabile attivare questa opzione.

  • Verificare l'attributo Message-Authenticator nei pacchetti Access-Request se è presente l'attributo Proxy-State . Facoltativamente, abilitare l'opzione limitProxyState se non è possibile eseguire la convalida dell'attributo Message-Authenticator su ogni pacchetto Access-Request . limitProxyState applica l'eliminazione dei pacchetti Access-Request contenenti l'attributo Proxy-state senza l'attributo Message-Authenticator . Per impostazione predefinita, l'opzione limitproxystate è disattivata. È consigliabile attivare questa opzione.

  • Verificare l'attributo Message-Authenticator nei pacchetti di risposta RADIUS: Access-Accept, Access-Reject e Access-Challenge. Abilita l'opzione requireMsgAuth per applicare l'eliminazione dei pacchetti di risposta RADIUS dai server remoti senza l'attributo Message-Authenticator . Per impostazione predefinita, l'opzione requiremsgauth è disattivata. È consigliabile attivare questa opzione.

Eventi aggiunti da questo aggiornamento

Per ulteriori informazioni, vedere la sezione Configurazioni .

Nota Questi ID evento vengono aggiunti al server dei criteri di rete tramite gli aggiornamenti di Windows con data 9 luglio 2024 o successiva.

Il pacchetto Access-Request è stato eliminato perché conteneva l'attributo Proxy-State ma mancava l'attributo Message-Authenticator . È consigliabile modificare il client RADIUS per includere l'attributo Message-Authenticator . In alternativa, aggiungere un'eccezione per il client RADIUS utilizzando la configurazione limitProxyState .

Registro eventi

Sistema

Tipo di evento

Errore

Origine evento

Criteri di mancato recapito

ID evento

4418

Testo evento

Un messaggio di Access-Request è stato ricevuto dal client RADIUS <>ip/name contenente un attributo Proxy-State, ma non include un attributo Message-Authenticator. Di conseguenza, la richiesta è stata eliminata. L'attributo Message-Authenticator è obbligatorio ai fini della sicurezza. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. 

Si tratta di un evento di controllo per i pacchetti Access-Request senza l'attributo Message-Authenticator in presenza di Proxy-State. È consigliabile modificare il client RADIUS per includere l'attributo Message-Authenticator . Il pacchetto RADIUS verrà eliminato una volta abilitata la configurazione limitproxystate .

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Criteri di mancato recapito

ID evento

4419

Testo evento

Un messaggio di Access-Request è stato ricevuto dal client RADIUS <>ip/name contenente un attributo Proxy-State, ma non include un attributo Message-Authenticator. La richiesta è attualmente consentita perché limitProxyState è configurato in modalità di controllo. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. 

Si tratta di un evento di controllo per i pacchetti di risposta RADIUS ricevuti senza l'attributo Message-Authenticator presso il proxy. È consigliabile modificare il server RADIUS specificato per l'attributo Message-Authenticator . Il pacchetto RADIUS verrà eliminato una volta abilitata la configurazione di requiremsgauth.The RADIUS packet will be dropped once the requiremsgauth configuration is enabled.

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Criteri di mancato recapito

ID evento

4420

Testo evento

Il proxy RADIUS ha ricevuto una risposta dal server <>ip/name con un attributo di Message-Authenticator mancante. La risposta è attualmente consentita perché la richiestaMsgAuth è configurata in modalità di controllo. Per altre informazioni, vedi https://support.microsoft.com/help/5040268.

Questo evento viene registrato durante l'avvio del servizio quando le impostazioni consigliate non sono configurate. Valutare l'abilitazione delle impostazioni se la rete RADIUS non è protetta. Per le reti sicure, questi eventi possono essere ignorati.

Registro eventi

Sistema

Tipo di evento

Attenzione

Origine evento

Criteri di mancato recapito

ID evento

4421

Testo evento

La configurazione RequireMsgAuth e/o limitProxyState è in modalità di disabilitazione/controllo>< . Queste impostazioni devono essere configurate in modalità di abilitazione per motivi di sicurezza. Per altre informazioni, vedi https://support.microsoft.com/help/5040268.

Configurazioni

Questa configurazione consente al proxy NPS di iniziare a inviare l'attributo Message-Authenticator in tutti i pacchetti Di richiesta di accesso . Per abilitare questa configurazione, usare uno dei metodi seguenti.

Metodo 1: utilizzare NPS Microsoft Management Console (MMC)

Per usare il mmc NPS, attieniti alla seguente procedura:

  1. Aprire l'interfaccia utente di Server dei criteri di rete sul server.

  2. Apri i gruppi remoti di server Radius.

  3. Selezionare Server radius.

  4. Passare a Autenticazione/Contabilità.

  5. Fare clic per selezionare la casella di controllo La richiesta deve contenere il Message-Authenticator attributo .

Metodo 2: Usare il comando netsh

Per usare netsh, eseguire il comando seguente:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Per ulteriori informazioni, vedere Remote RADIUS Server Group Commands.

Questa configurazione richiede l'attributo Message-Authenticator in tutti i pacchetti di richiesta di accesso e elimina il pacchetto in caso di assenza.

Metodo 1: utilizzare NPS Microsoft Management Console (MMC)

Per usare il mmc NPS, attieniti alla seguente procedura:

  1. Aprire l'interfaccia utente di Server dei criteri di rete sul server.

  2. Aprire i client Radius.

  3. Seleziona Client radius.

  4. Vai a Impostazioni avanzate.

  5. Fare clic per selezionare la casella di controllo Attributo message-authenticator per i messaggi di richiesta di accesso .

Per ulteriori informazioni, vedere Configurare i client RADIUS.

Metodo 2: Usare il comando netsh

Per usare netsh, eseguire il comando seguente:

netsh nps set client name = <client name> requireauthattrib = yes

Per ulteriori informazioni, vedere Remote RADIUS Server Group Commands.

Questa configurazione consente al server dei criteri di rete di eliminare i potenziali pacchetti di richiesta di accesso vulnerabili che contengono un attributo Proxy-State , ma non includono un attributo Message-Authenticator . Questa configurazione supporta tre modalità:

  • Controllo

  • Abilita

  • Disabilita

In modalità di controllo viene registrato un evento di avviso (ID evento: 4419), ma la richiesta viene comunque elaborata. Usare questa modalità per identificare le entità non conformi che inviano le richieste.

Usare il comando netsh per configurare, abilitare e aggiungere un'eccezione in base alle esigenze.

  1. Per configurare i client in modalità di controllo , eseguire il comando seguente:

    netsh nps set limitproxystate all = "audit"

  2. Per configurare i client in modalità di abilitazione, eseguire il comando seguente:

    netsh nps set limitproxystate all = "enable" 

  3. Per aggiungere un'eccezione per escludere un client dalla convalida limitProxystate , eseguire il comando seguente:

    netsh nps set limitproxystate name = <nome client> exception = "Yes" 

Questa configurazione consente al proxy NPS di eliminare i messaggi di risposta potenzialmente vulnerabili senza l'attributo Message-Authenticator . Questa configurazione supporta tre modalità:

  • Controllo

  • Abilita

  • Disabilita

In modalità di controllo viene registrato un evento di avviso (ID evento: 4420), ma la richiesta viene comunque elaborata. Usare questa modalità per identificare le entità non conformi che inviano le risposte.

Usare il comando netsh per configurare, abilitare e aggiungere un'eccezione in base alle esigenze.

  1. Per configurare i server in modalità di controllo, eseguire il comando seguente:

    netsh nps set #x1

  2. Per abilitare le configurazioni per tutti i server, eseguire il comando seguente:

    netsh nps set requiremsgauth all = "enable"

  3. Per aggiungere un'eccezione per escludere un server dalla convalida requireauthmsg, eseguire il comando seguente:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Domande frequenti

Controllare gli eventi del modulo NPS per verificare la presenza di eventi correlati. È consigliabile aggiungere eccezioni o modifiche alla configurazione per client/server interessati.

No, le configurazioni illustrate in questo articolo sono consigliate per le reti non protette. 

Riferimenti

Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

I prodotti di terze parti citati in questo articolo sono prodotti da società indipendenti di Microsoft. Microsoft non riconosce alcuna garanzia, implicita o espressa, in relazione alle prestazioni o all'affidabilità di questi prodotti.

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.