Importante Alcune versioni di Microsoft Windows hanno raggiunto la fine del supporto. Alcune versioni di Windows potrebbero essere supportate oltre l'ultima data di fine del sistema operativo quando sono disponibili aggiornamenti della sicurezza estesa. Vedi le domande frequenti sul ciclo di vita - Aggiornamenti della sicurezza estesa per un elenco di prodotti che offrono aggiornamenti della sicurezza estesa.
|
Modifica data |
Modificare la descrizione |
|
1 agosto 2024 |
|
|
5 agosto 2024 |
|
|
6 agosto 2024 |
|
Contenuto
Riassunto
Gli aggiornamenti di Windows rilasciati dopo il 9 luglio 2024 riguardano una vulnerabilità di sicurezza nel protocollo RADIUS (Remote Authentication Dial-In User Service) relativo ai problemi di collisione con MD5 . A causa di controlli di integrità deboli in MD5, un utente malintenzionato potrebbe manomettere i pacchetti per ottenere accesso non autorizzato. La vulnerabilità MD5 rende il traffico RADIUS basato sul protocollo UDP (User Datagram Protocol) su Internet non sicuro contro la contraffazione o la modifica di pacchetti durante il transito.
Per ulteriori informazioni su questa vulnerabilità, vedi CVE-2024-3596 e il white paper RADIUS AND MD5 COLLISION ATTACKS.
NOTA Questa vulnerabilità richiede l'accesso fisico alla rete RADIUS e al server dei criteri di rete.This vulnerability requires physical access to the RADIUS network and the Network Policy Server (NPS). Di conseguenza, i clienti che hanno protetto le reti RADIUS non sono vulnerabili. Inoltre, la vulnerabilità non si applica quando si verifica la comunicazione RADIUS tramite VPN.
Agire
|
Per proteggere l'ambiente, è consigliabile abilitare le configurazioni seguenti. Per ulteriori informazioni, vedere la sezione Configurazioni .
|
Eventi aggiunti da questo aggiornamento
Per ulteriori informazioni, vedere la sezione Configurazioni .
Nota Questi ID evento vengono aggiunti al server dei criteri di rete tramite gli aggiornamenti di Windows con data 9 luglio 2024 o successiva.
Il pacchetto Access-Request è stato eliminato perché conteneva l'attributo Proxy-State ma mancava l'attributo Message-Authenticator . È consigliabile modificare il client RADIUS per includere l'attributo Message-Authenticator . In alternativa, aggiungere un'eccezione per il client RADIUS utilizzando la configurazione limitProxyState .
|
Registro eventi |
Sistema |
|
Tipo di evento |
Errore |
|
Origine evento |
Criteri di mancato recapito |
|
ID evento |
4418 |
|
Testo evento |
Un messaggio di Access-Request è stato ricevuto dal client RADIUS <>ip/name contenente un attributo Proxy-State, ma non include un attributo Message-Authenticator. Di conseguenza, la richiesta è stata eliminata. L'attributo Message-Authenticator è obbligatorio ai fini della sicurezza. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. |
Si tratta di un evento di controllo per i pacchetti Access-Request senza l'attributo Message-Authenticator in presenza di Proxy-State. È consigliabile modificare il client RADIUS per includere l'attributo Message-Authenticator . Il pacchetto RADIUS verrà eliminato una volta abilitata la configurazione limitproxystate .
|
Registro eventi |
Sistema |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Criteri di mancato recapito |
|
ID evento |
4419 |
|
Testo evento |
Un messaggio di Access-Request è stato ricevuto dal client RADIUS <>ip/name contenente un attributo Proxy-State, ma non include un attributo Message-Authenticator. La richiesta è attualmente consentita perché limitProxyState è configurato in modalità di controllo. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. |
Si tratta di un evento di controllo per i pacchetti di risposta RADIUS ricevuti senza l'attributo Message-Authenticator presso il proxy. È consigliabile modificare il server RADIUS specificato per l'attributo Message-Authenticator . Il pacchetto RADIUS verrà eliminato una volta abilitata la configurazione di requiremsgauth.The RADIUS packet will be dropped once the requiremsgauth configuration is enabled.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Criteri di mancato recapito |
|
ID evento |
4420 |
|
Testo evento |
Il proxy RADIUS ha ricevuto una risposta dal server <>ip/name con un attributo di Message-Authenticator mancante. La risposta è attualmente consentita perché la richiestaMsgAuth è configurata in modalità di controllo. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. |
Questo evento viene registrato durante l'avvio del servizio quando le impostazioni consigliate non sono configurate. Valutare l'abilitazione delle impostazioni se la rete RADIUS non è protetta. Per le reti sicure, questi eventi possono essere ignorati.
|
Registro eventi |
Sistema |
|
Tipo di evento |
Attenzione |
|
Origine evento |
Criteri di mancato recapito |
|
ID evento |
4421 |
|
Testo evento |
La configurazione RequireMsgAuth e/o limitProxyState è in modalità di disabilitazione/controllo>< . Queste impostazioni devono essere configurate in modalità di abilitazione per motivi di sicurezza. Per altre informazioni, vedi https://support.microsoft.com/help/5040268. |
Configurazioni
Questa configurazione consente al proxy NPS di iniziare a inviare l'attributo Message-Authenticator in tutti i pacchetti Di richiesta di accesso . Per abilitare questa configurazione, usare uno dei metodi seguenti.
Metodo 1: utilizzare NPS Microsoft Management Console (MMC)
Per usare il mmc NPS, attieniti alla seguente procedura:
-
Aprire l'interfaccia utente di Server dei criteri di rete sul server.
-
Apri i gruppi remoti di server Radius.
-
Selezionare Server radius.
-
Passare a Autenticazione/Contabilità.
-
Fare clic per selezionare la casella di controllo La richiesta deve contenere il Message-Authenticator attributo .
Metodo 2: Usare il comando netsh
Per usare netsh, eseguire il comando seguente:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Per ulteriori informazioni, vedere Remote RADIUS Server Group Commands.
Questa configurazione richiede l'attributo Message-Authenticator in tutti i pacchetti di richiesta di accesso e elimina il pacchetto in caso di assenza.
Metodo 1: utilizzare NPS Microsoft Management Console (MMC)
Per usare il mmc NPS, attieniti alla seguente procedura:
-
Aprire l'interfaccia utente di Server dei criteri di rete sul server.
-
Aprire i client Radius.
-
Seleziona Client radius.
-
Vai a Impostazioni avanzate.
-
Fare clic per selezionare la casella di controllo Attributo message-authenticator per i messaggi di richiesta di accesso .
Per ulteriori informazioni, vedere Configurare i client RADIUS.
Metodo 2: Usare il comando netsh
Per usare netsh, eseguire il comando seguente:
netsh nps set client name = <client name> requireauthattrib = yes
Per ulteriori informazioni, vedere Remote RADIUS Server Group Commands.
Questa configurazione consente al server dei criteri di rete di eliminare i potenziali pacchetti di richiesta di accesso vulnerabili che contengono un attributo Proxy-State , ma non includono un attributo Message-Authenticator . Questa configurazione supporta tre modalità:
-
Controllo
-
Abilita
-
Disabilita
In modalità di controllo viene registrato un evento di avviso (ID evento: 4419), ma la richiesta viene comunque elaborata. Usare questa modalità per identificare le entità non conformi che inviano le richieste.
Usare il comando netsh per configurare, abilitare e aggiungere un'eccezione in base alle esigenze.
-
Per configurare i client in modalità di controllo , eseguire il comando seguente:
netsh nps set limitproxystate all = "audit"
-
Per configurare i client in modalità di abilitazione, eseguire il comando seguente:
netsh nps set limitproxystate all = "enable"
-
Per aggiungere un'eccezione per escludere un client dalla convalida limitProxystate , eseguire il comando seguente:
netsh nps set limitproxystate name = <nome client> exception = "Yes"
Questa configurazione consente al proxy NPS di eliminare i messaggi di risposta potenzialmente vulnerabili senza l'attributo Message-Authenticator . Questa configurazione supporta tre modalità:
-
Controllo
-
Abilita
-
Disabilita
In modalità di controllo viene registrato un evento di avviso (ID evento: 4420), ma la richiesta viene comunque elaborata. Usare questa modalità per identificare le entità non conformi che inviano le risposte.
Usare il comando netsh per configurare, abilitare e aggiungere un'eccezione in base alle esigenze.
-
Per configurare i server in modalità di controllo, eseguire il comando seguente:
netsh nps set #x1
-
Per abilitare le configurazioni per tutti i server, eseguire il comando seguente:
netsh nps set requiremsgauth all = "enable"
-
Per aggiungere un'eccezione per escludere un server dalla convalida requireauthmsg, eseguire il comando seguente:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
Domande frequenti
Controllare gli eventi del modulo NPS per verificare la presenza di eventi correlati. È consigliabile aggiungere eccezioni o modifiche alla configurazione per client/server interessati.
No, le configurazioni illustrate in questo articolo sono consigliate per le reti non protette.
Riferimenti
I prodotti di terze parti citati in questo articolo sono prodotti da società indipendenti di Microsoft. Microsoft non riconosce alcuna garanzia, implicita o espressa, in relazione alle prestazioni o all'affidabilità di questi prodotti.
Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.
