重要 Microsoft Windows の特定のバージョンがサポート終了に達しました。 Windows の一部のバージョンは、拡張セキュリティ更新プログラム (ESU) が利用可能な最新の Windows オペレーティング システム終了日を過ぎてサポートされる場合があることに注意してください。 ESU を提供する製品の一覧については、「ライフサイクルに関するよくある質問 - セキュリティ更新プログラムの拡張」を参照してください。
目次
要約
この更新プログラムは、 MD5 競合の問題に関連するリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロトコルのセキュリティの脆弱性を解決します。 MD5 の整合性チェックが弱いため、攻撃者は不正アクセスをするためにパケットを改ざんする可能性があります。 MD5 の脆弱性により、インターネット経由のユーザー データグラム プロトコル (UDP) ベースの RADIUS トラフィックは、パケット フォージェリや転送中の変更に対して安全ではありません。
この脆弱性の詳細については、「CVE-2024-3596」およびホワイトペーパー「RADIUS および MD5 COLLISION ATTACKS」を参照してください。
注 この脆弱性には、RADIUS ネットワークとネットワーク ポリシー サーバー (NPS) への物理的なアクセスが必要です。 そのため、RADIUS ネットワークをセキュリティで保護しているお客様は脆弱ではありません。 また、RADIUS 通信が VPN 経由で行われる場合、この脆弱性は適用されません。
対処方法
|
環境を保護するために、次の構成を有効にすることをお勧めします。 詳細については、「構成」セクションを参照してください。
|
この更新プログラムによって追加されたイベント
詳細については、「構成」セクションを参照してください。
Access-Request パケットは、Proxy-State 属性が含まれていたが、Message-Authenticator 属性がないために破棄されました。 Message-Authenticator 属性を含めるように RADIUS クライアントを変更することを検討してください。 または、limitProxyState 構成を使用して RADIUS クライアントの例外を追加します。
|
イベント ログ |
System |
|
イベントの種類 |
Error |
|
イベント ソース |
NPS |
|
イベント ID |
4418 |
|
イベント テキスト |
RADIUS クライアント <ip/name> から Proxy-State 属性を含む Access-Request メッセージを受信しましたが、Message-Authenticator 属性が含まれていませんでした。 その結果、要求は破棄されました。 セキュリティのために、Message-Authenticator 属性は必須です。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 |
これは、Proxy-State が存在する Message-Authenticator 属性を持たない Access-Request パケットの監査イベントです。 Message-Authenticator 属性を含めるように RADIUS クライアントを変更することを検討してください。 RADIUS パケットは、limitproxystate 構成が有効になると破棄されます。
|
イベント ログ |
System |
|
イベントの種類 |
警告 |
|
イベント ソース |
NPS |
|
イベント ID |
4419 |
|
イベント テキスト |
RADIUS クライアント <ip/name> から Proxy-State 属性を含む Access-Request メッセージを受信しましたが、Message-Authenticator 属性が含まれていませんでした。 limitProxyState が監査モードで構成されているため、要求は現在許可されています。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 |
これは、プロキシで Message-Authenticator 属性を指定せずに受信した RADIUS 応答パケットの監査イベントです。 Message-Authenticator 属性に指定された RADIUS サーバーを変更することを検討してください。 RADIUS パケットは、requiremsgauth 構成が有効になると破棄されます。
|
イベント ログ |
System |
|
イベントの種類 |
警告 |
|
イベント ソース |
NPS |
|
イベント ID |
4420 |
|
イベント テキスト |
RADIUS プロキシはサーバー <ip/name> から Message-Authenticator 属性を持たない応答を受信しました。 requireMsgAuth が監査モードで構成されているため、応答は現在許可されています。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 |
このイベントは、推奨設定が構成されずに、サービスが開始された時にログに記録されます。 RADIUS ネットワークがセキュリティで保護されていない場合は、設定を有効にすることを検討してください。 セキュリティで保護されたネットワークの場合、これらのイベントは無視できます。
|
イベント ログ |
System |
|
イベントの種類 |
警告 |
|
イベント ソース |
NPS |
|
イベント ID |
4421 |
|
イベント テキスト |
RequireMsgAuth および/または limitProxyState 構成が <Disable/Audit> モードです。 セキュリティのために、これらの設定は有効モードで構成する必要があります。 詳細については、https://support.microsoft.com/help/5040268 をご覧ください。 |
構成
この構成により、NPS プロキシは、すべての Access-Request パケットで Message-Authenticator 属性の送信を開始できます。 この構成を有効にするには、次のいずれかの方法を使用します。
方法 1: NPS Microsoft 管理コンソール (MMC) を使用する
NPS MMC を使用するには、次の手順を実行します:
-
サーバーで NPS ユーザー インターフェイス (UI) を開きます。
-
リモート [Radius サーバー グループ] を開きます。
-
[Radius サーバー] を選択します。
-
[認証/アカウンティング] に移動します。
-
[要求に Message-Authenticator 属性が含まれている必要があります] チェック ボックスをオンにします。
方法 2: netsh コマンドを使用する
netsh を使用するには、次のコマンドを実行します:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
詳細については、「リモート RADIUS サーバー グループ コマンド」を参照してください。
この構成では、すべての Access-Request メッセージに Message-Authenticator 属性を必要とし、存在しない場合はパケットを破棄します。
方法 1: NPS Microsoft 管理コンソール (MMC) を使用する
NPS MMC を使用するには、次の手順を実行します:
-
サーバーで NPS ユーザー インターフェイス (UI) を開きます。
-
[Radius クライアント] を開きます。
-
[Radius クライアント] を選択します。
-
[詳細設定] に移動します。
-
[Access-Request メッセージに message-authenticator 属性を含める必要があります] チェックボックスをオンにします。
詳細については、「RADIUS クライアントの構成」を参照してください。
方法 2: netsh コマンドを使用する
netsh を使用するには、次のコマンドを実行します:
netsh nps set client name = <client name> requireauthattrib = yes
詳細については、「リモート RADIUS サーバー グループ コマンド」を参照してください。
この構成により、NPS サーバーは、Proxy-State 属性を含むが、Message-Authenticator 属性を含まない潜在的に脆弱な Access-Request パケットを破棄できます。 この構成では、次の 3 つのモードがサポートされます:
-
監査
-
Enable
-
無効にする
Audit モードでは、警告イベント (イベント ID: 4419) がログに記録されますが、要求は引き続き処理されます。 このモードを使用して、要求を送信する非準拠エンティティを識別します。
netsh コマンドを使用して、必要に応じて例外を構成、有効化、追加します。
-
クライアントを Audit モードで構成するには、次のコマンドを実行します:
netsh nps set limitproxystate all = "audit"
-
Enable モードでクライアントを構成するには、次のコマンドを実行します。
netsh nps set limitproxystate all = "enable"
-
クライアントを limitProxystate 検証から除外する例外を追加するには、次のコマンドを実行します:
netsh nps set limitproxystate name = <client name> exception = "Yes"
この構成により、NPS プロキシは、 Message-Authenticator 属性を持たない、潜在的に脆弱な応答メッセージを破棄できます。 この構成では、次の 3 つのモードがサポートされます:
-
監査
-
Enable
-
無効にする
Audit モードでは、警告イベント (イベント ID: 4420) がログに記録されますが、要求は引き続き処理されます。 このモードを使用して、応答を送信する非準拠エンティティを識別します。
netsh コマンドを使用して、必要に応じて例外を構成、有効化、追加します。
-
Audit モードでサーバーを構成するには、次のコマンドを実行します:
netsh nps set requiremsgauth all = "audit"
-
すべてのサーバーの構成を有効にするには、次のコマンドを実行します:
netsh nps set limitproxystate all = "enable"
-
サーバーを requireauthmsg 検証から除外する例外を追加するには、次のコマンドを実行します:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
よく寄せられる質問
NPS モジュール イベントで関連イベントを確認します。 影響を受けているクライアント/サーバーの例外または構成の調整を追加することを検討してください。
いいえ。この記事で説明する構成は、セキュリティで保護されていないネットワークに対して推奨されるものです。
参考文献
Microsoft のソフトウェア更新プログラムの説明で使用される標準用語の解説
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。
