Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Viktig!   Enkelte versjoner av Microsoft Windows har nådd slutten av støtten. Vær oppmerksom på at noen versjoner av Windows kan støttes etter den nyeste sluttdatoen for operativsystemet når utvidede sikkerhetsoppdateringer (ESU-er) er tilgjengelige. Se vanlige spørsmål om livssyklus – utvidede sikkerhetsoppdateringer for en liste over produkter som tilbyr ESU-er.

Innhold

Oppsummering

Denne oppdateringen løser et sikkerhetsproblem i RADIUS-protokollen (Remote Authentication Dial-In User Service) relatert til MD5-kollisjonsproblemer . På grunn av svake integritetskontroller i MD5 kan en angriper tukle med pakker for å få uautorisert tilgang. MD5-sikkerhetsproblemet gjør UDP-basert RADIUS-trafikk (User Datagram Protocol) over Internett-beskyttelse mot pakkeforfalsker eller endringer under overføring. 

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2024-3596 og hvitboken RADIUS OG MD5 KOLLISJONSANGREP.

NOTAT Dette sikkerhetsproblemet krever fysisk tilgang til RADIUS-nettverket og Network Policy Server (NPS). Derfor er ikke kunder som har sikrede RADIUS-nettverk sårbare. I tillegg gjelder ikke sikkerhetsproblemet når RADIUS-kommunikasjon skjer over VPN. 

Utfør handling

For å beskytte miljøet anbefaler vi at du aktiverer følgende konfigurasjoner. Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen .

  • Angi attributtet Message-Authenticator i Access-Request-pakker .

    Kontroller at alle Access-Request-pakker inkluderer attributtet Message-Authenticator .

  • Kontroller attributtet Message-Authenticator i Access-Request-pakker .

    Vurder å fremtvinge validering av attributtet Message-AuthenticatorAccess-Request-pakker . Access-Request-pakker uten dette attributtet vil ikke bli behandlet.

  • Kontroller attributtet Message-Authenticator i Access-Request-pakker hvis attributtet Proxy-State finnes.

    Valgfritt: Aktiver limitProxyState-konfigurasjonen hvis validering av attributtet Message-AuthenticatorAccess-Request-pakker ikke kan utføres. Denne konfigurasjonen validerer at Access-Request-pakker som inneholder attributtet Proxy-State , også inneholder attributtet Message-Authenticator .

  • Bekreft attributtet Message-Authenticator i RADIUS-svarpakker: Access-Accept, Access-Reject og Access-Challenge.

    Aktiver requireMsgAuth-konfigurasjonen for å fremtvinge fjerning av RADIUS-svarpakker fra eksterne servere som mangler Attributtet Message-Authenticator .

Hendelser som er lagt til av denne oppdateringen

Hvis du vil ha mer informasjon, kan du se konfigurasjonsdelen

Access-Request-pakken ble fjernet fordi den inneholdt attributtet Proxy-State, men manglet attributtet Message-Authenticator. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . Alternativt kan du legge til et unntak for RADIUS-klienten ved hjelp av limitProxyState-konfigurasjonen .

Hendelseslogg

System

Hendelsestype

Feil

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4418

Hendelsestekst

En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Som et resultat ble forespørselen droppet. Attributtet Message-Authenticator er obligatorisk for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer. 

Dette er en overvåkingshendelse for Access-Request-pakker uten attributtet Message-Authenticator i nærvær av proxy-tilstand. Vurder å endre RADIUS-klienten til å inkludere attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når konfigurasjonen av limitproxystate er aktivert.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4419

Hendelsestekst

En Access-Request melding ble mottatt fra RADIUS-klienten<IP/navn> som inneholder et Proxy-State attributt, men det inkluderte ikke et Message-Authenticator attributt. Forespørselen er for øyeblikket tillatt siden limitProxyState er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer. 

Dette er en overvåkingshendelse for RADIUS-svarpakker som mottas uten attributtet Message-Authenticator på proxyen. Vurder å endre den angitte RADIUS-serveren for attributtet Message-Authenticator . RADIUS-pakken vil bli utelatt når requiremsgauth-konfigurasjonen er aktivert.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4420

Hendelsestekst

RADIUS-proxyen mottok et svar fra serveren <IP/navn> med et manglende Message-Authenticator-attributt. Svar er for øyeblikket tillatt siden requireMsgAuth er konfigurert i overvåkingsmodus. Se https://support.microsoft.com/help/5040268 for å finne ut mer.

Denne hendelsen logges under tjenestestart når de anbefalte innstillingene ikke er konfigurert. Vurder å aktivere innstillingene hvis RADIUS-nettverket er usikkert. For sikre nettverk kan disse hendelsene ignoreres.

Hendelseslogg

System

Hendelsestype

Advarsel

Hendelseskilde

ANTALL_INNBET

Hendelses-ID

4421

Hendelsestekst

RequireMsgAuth og/eller limitProxyState-konfigurasjonen er i <Disable/Audit>-modus . Disse innstillingene bør konfigureres i aktiveringsmodus for sikkerhetsformål. Se https://support.microsoft.com/help/5040268 for å finne ut mer.

Konfigurasjoner

Denne konfigurasjonen gjør det mulig for NPS-proxyen å begynne å sende attributtet Message-Authenticator i alle Access-Request-pakker . Bruk én av følgende metoder for å aktivere denne konfigurasjonen.

Metode 1: Bruk NPS Microsoft Management Console (MMC)

Følg disse trinnene for å bruke NPS MMC:

  1. Åpne NPS-brukergrensesnittet (UI) på serveren.

  2. Åpne de eksterne Radius Server-gruppene.

  3. Velg Radius Server.

  4. Gå til Godkjenning/Regnskap.

  5. Klikk for å merke av for Forespørselen må inneholde avmerkingsboksen Message-Authenticator attributt .

Metode 2: Bruk netsh-kommandoen

Kjør følgende kommando for å bruke netsh:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.

Denne konfigurasjonen krever attributtet Message-Authenticator i alle Access-Request-meldinger og slipper pakken hvis den ikke er fraværende.

Metode 1: Bruk NPS Microsoft Management Console (MMC)

Følg disse trinnene for å bruke NPS MMC:

  1. Åpne NPS-brukergrensesnittet (UI) på serveren.

  2. Åpne radiusklienter.

  3. Velg Radius-klient.

  4. Gå til Avanserte innstillinger.

  5. Klikk for å merke av for Tilgangsforespørsel-meldinger må inneholde avmerkingsboksen for attributtet meldings godkjenner.

Hvis du vil ha mer informasjon, kan du se Konfigurere RADIUS-klienter.

Metode 2: Bruk netsh-kommando

Kjør følgende kommando for å bruke netsh:

netsh nps set client name = <client name> requireauthattrib = yes

Hvis du vil ha mer informasjon, kan du se Kommandoer for ekstern RADIUS Server-gruppe.

Denne konfigurasjonen gjør det mulig for NPS-serveren å slippe potensielle sårbare Access-Request-pakker som inneholder et proxy-state-attributt , men ikke inkluderer et Message-Authenticator-attributt . Denne konfigurasjonen støtter tre moduser:

  • Overvåking

  • Aktiver

  • Deaktiver

I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4419), men forespørselen behandles fremdeles. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender forespørslene.

Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.

  1. Hvis du vil konfigurere klienter i overvåkingsmodus , kjører du følgende kommando:

    netsh nps set limitproxystate all = "audit"

  2. Kjør følgende kommando for å konfigurere klienter i aktiveringsmodus :

    netsh nps set limitproxystate all = "enable" 

  3. Hvis du vil legge til et unntak for å utelate en klient fra limitProxystate-validering , kjører du følgende kommando:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Denne konfigurasjonen gjør det mulig for NPS-proxyen å slippe potensielt sårbare svarmeldinger uten attributtet Message-Authenticator . Denne konfigurasjonen støtter tre moduser:

  • Overvåking

  • Aktiver

  • Deaktiver

I overvåkingsmodus logges en advarselshendelse (hendelses-ID: 4420), men forespørselen behandles fortsatt. Bruk denne modusen til å identifisere de ikke-kompatible enhetene som sender svarene.

Bruk netsh-kommandoen til å konfigurere, aktivere og legge til et unntak etter behov.

  1. Kjør følgende kommando for å konfigurere servere i overvåkingsmodus:

    netsh nps set kreverall = "audit"

  2. Kjør følgende kommando for å aktivere konfigurasjoner for alle servere:

    netsh nps set limitproxystate all = "enable"

  3. Hvis du vil legge til et unntak for å utelate en server fra requireauthmsg-validering, kjører du følgende kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Vanlige spørsmål

Kontroller NPS-modulhendelser for relaterte hendelser. Vurder å legge til unntak eller konfigurasjonsjusteringer for berørte klienter/servere.

Nei, konfigurasjonene som beskrives i denne artikkelen, anbefales for usikrede nettverk. 

Referanser

Beskrivelse av standard terminologi som brukes til å beskrive Microsoft-programvareoppdateringer

Tredjepartsprodukter som nevnes i denne artikkelen, er produsert av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, underforstått eller på annen måte, om ytelsen eller påliteligheten til disse produktene.

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×