Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Belangrijk Bepaalde versies van Microsoft Windows hebben het einde van de ondersteuning bereikt. Houd er rekening mee dat sommige versies van Windows mogelijk worden ondersteund na de meest recente einddatum van het besturingssysteem wanneer uitgebreide beveiligingsupdates (ESU's) beschikbaar zijn. Zie Veelgestelde vragen over levenscyclus - Uitgebreide beveiligingsupdates voor een lijst met producten die ESU's aanbieden.

Inhoud

Samenvatting

Deze update lost een beveiligingsprobleem op in het RADIUS-protocol (Remote Authentication Dial-In User Service) met betrekking tot md5-botsingsproblemen . Vanwege zwakke integriteitscontroles in MD5 kan een aanvaller met pakketten knoeien om onbevoegde toegang te krijgen. Door beveiligingsprobleem met MD5 wordt radius-verkeer op basis van User Datagram Protocol (UDP) via internet niet beveiligd tegen vervalsing van pakketten of wijzigingen tijdens de overdracht. 

Zie CVE-2024-3596 en het whitepaper RADIUS AND MD5 COLLISION ATTACKS (RADIUS AND MD5 COLLISION ATTACKS) voor meer informatie over dit beveiligingsprobleem.

NOTITIE Voor dit beveiligingsprobleem is fysieke toegang tot het RADIUS-netwerk en de Network Policy Server (NPS) vereist. Daarom zijn klanten met beveiligde RADIUS-netwerken niet kwetsbaar. Bovendien is het beveiligingsprobleem niet van toepassing wanneer RADIUS-communicatie plaatsvindt via VPN. 

Actie ondernemen

Om uw omgeving te beschermen, raden we u aan de volgende configuraties in te schakelen. Zie de sectie Configuraties voor meer informatie.

  • Stel het kenmerk Message-Authenticator in Access-Request-pakketten in.

    Zorg ervoor dat alle Access-Request-pakketten het kenmerk Message-Authenticator bevatten.

  • Controleer het kenmerk Message-Authenticator in Access-Request-pakketten .

    Overweeg om validatie van het kenmerk Message-Authenticator af te dwingen voor Access-Request-pakketten . Access-Request-pakketten zonder dit kenmerk worden niet verwerkt.

  • Controleer het kenmerk Message-Authenticator in Access-Request-pakketten als het kenmerk Proxystatus aanwezig is.

    Optioneel: schakel de limitProxyState-configuratie in als het afdwingen van validatie van het kenmerk Message-Authenticator op Access-Request-pakketten niet kan worden uitgevoerd. Met deze configuratie wordt gecontroleerd of access-request-pakketten die het kenmerk Proxystatus bevatten, ook het kenmerk Message-Authenticator bevatten.

  • Controleer het kenmerk Message-Authenticator in RADIUS-antwoordpakketten: Access-Accept, Access-Reject en Access-Challenge.

    Schakel de configuratie requireMsgAuth in om het verwijderen van de RADIUS-antwoordpakketten van externe servers waarvoor het kenmerk Message-Authenticator ontbreekt, af te dwingen.

Gebeurtenissen die door deze update zijn toegevoegd

Zie de sectie Configuraties voor meer informatie. 

Het access-request-pakket is verwijderd omdat het het kenmerk Proxystatus bevat, maar het kenmerk Message-Authenticator ontbreekt. U kunt de RADIUS-client wijzigen om het kenmerk Message-Authenticator op te nemen. U kunt ook een uitzondering voor de RADIUS-client toevoegen met behulp van de limitProxyState-configuratie .

Gebeurtenislogboek

Systeem

Gebeurtenistype

Fout

Gebeurtenisbron

NPS

Gebeurtenis-id

4418

Gebeurtenistekst

Er is een Access-Request bericht ontvangen van de RADIUS-client <ip/name-> met een Proxy-State-kenmerk, maar het bevat geen Message-Authenticator-kenmerk. Als gevolg hiervan is de aanvraag verwijderd. Het kenmerk Message-Authenticator is verplicht voor beveiligingsdoeleinden. Zie https://support.microsoft.com/help/5040268 voor meer informatie. 

Dit is een controlegebeurtenis voor Access-Request-pakketten zonder het kenmerk Message-Authenticator in aanwezigheid van proxystatus. U kunt de RADIUS-client wijzigen om het kenmerk Message-Authenticator op te nemen. Het RADIUS-pakket wordt verwijderd zodra de limitproxystate-configuratie is ingeschakeld.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4419

Gebeurtenistekst

Er is een Access-Request bericht ontvangen van de RADIUS-client <ip/name-> met een Proxy-State-kenmerk, maar het bevat geen Message-Authenticator-kenmerk. De aanvraag is momenteel toegestaan omdat de limitProxyState is geconfigureerd in de auditmodus. Zie https://support.microsoft.com/help/5040268 voor meer informatie. 

Dit is een auditgebeurtenis voor RADIUS-antwoordpakketten die zijn ontvangen zonder het kenmerk Message-Authenticator bij de proxy. U kunt de opgegeven RADIUS-server voor het kenmerk Message-Authenticator wijzigen. Het RADIUS-pakket wordt verwijderd zodra de configuratie van requiremsgauth is ingeschakeld.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4420

Gebeurtenistekst

De RADIUS-proxy heeft een antwoord ontvangen van de server<ip/name> met een ontbrekend Message-Authenticator kenmerk. Reactie is momenteel toegestaan omdat de requireMsgAuth is geconfigureerd in de controlemodus. Zie https://support.microsoft.com/help/5040268 voor meer informatie.

Deze gebeurtenis wordt geregistreerd tijdens het starten van de service wanneer de aanbevolen instellingen niet zijn geconfigureerd. Overweeg om de instellingen in te schakelen als het RADIUS-netwerk onveilig is. Voor beveiligde netwerken kunnen deze gebeurtenissen worden genegeerd.

Gebeurtenislogboek

Systeem

Gebeurtenistype

Waarschuwing

Gebeurtenisbron

NPS

Gebeurtenis-id

4421

Gebeurtenistekst

De configuratie RequireMsgAuth en/of limitProxyState bevindt zich in<modus Voor uitschakelen/controleren van> . Deze instellingen moeten worden geconfigureerd in de modus Inschakelen voor beveiligingsdoeleinden. Zie https://support.microsoft.com/help/5040268 voor meer informatie.

Configuraties

Met deze configuratie kan de NPS-proxy beginnen met het verzenden van het kenmerk Message-Authenticator in alle Access-Request-pakketten . Gebruik een van de volgende methoden om deze configuratie in te schakelen.

Methode 1: De NPS Microsoft Management Console (MMC) gebruiken

Voer de volgende stappen uit om de NPS MMC te gebruiken:

  1. Open de GEBRUIKERSinterface (UI) van NPS op de server.

  2. Open de externe Radius-servergroepen.

  3. Selecteer Radius-server.

  4. Ga naar Verificatie/boekhouding.

  5. Schakel het selectievakje De aanvraag moet het kenmerk Message-Authenticator bevatten in.

Methode 2: de netsh-opdracht gebruiken

Voer de volgende opdracht uit om netsh te gebruiken:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Zie Opdrachten voor externe RADIUS-servergroepen voor meer informatie.

Voor deze configuratie is het kenmerk Message-Authenticator vereist in alle Access-Request-berichten en wordt het pakket verwijderd als het niet aanwezig is.

Methode 1: De NPS Microsoft Management Console (MMC) gebruiken

Voer de volgende stappen uit om de NPS MMC te gebruiken:

  1. Open de GEBRUIKERSinterface (UI) van NPS op de server.

  2. Radius-clients openen.

  3. Selecteer Radius-client.

  4. Ga naar Geavanceerde instellingen.

  5. Klik om het selectievakje Access-Request-berichten moeten het kenmerk message-authenticator bevatten in te schakelen.

Zie RADIUS-clients configureren voor meer informatie.

Methode 2: netsh-opdracht gebruiken

Voer de volgende opdracht uit om netsh te gebruiken:

netsh nps set client name = <client name> requireauthattrib = yes

Zie Opdrachten voor externe RADIUS-servergroepen voor meer informatie.

Met deze configuratie kan de NPS-server potentiële kwetsbare Access-Request-pakketten verwijderen die een proxystatuskenmerk bevatten, maar geen message-authenticator-kenmerk bevatten. Deze configuratie ondersteunt drie modi:

  • Controle

  • Inschakelen

  • Uitschakelen

In de controlemodus wordt een waarschuwingsgebeurtenis (gebeurtenis-id: 4419) geregistreerd, maar de aanvraag wordt nog steeds verwerkt. Gebruik deze modus om de niet-compatibele entiteiten te identificeren die de aanvragen verzenden.

Gebruik de opdracht netsh om zo nodig een uitzondering te configureren, in te schakelen en toe te voegen.

  1. Voer de volgende opdracht uit om clients in de auditmodus te configureren:

    netsh nps set limitproxystate all = "audit"

  2. Voer de volgende opdracht uit om clients in de modus Inschakelen te configureren:

    netsh nps set limitproxystate all = "enable" 

  3. Als u een uitzondering wilt toevoegen om een client uit te sluiten van limitProxystate-validatie , voert u de volgende opdracht uit:

    netsh nps set limitproxystate name = <client name> uitzondering = "Ja" 

Met deze configuratie kan nps-proxy mogelijk kwetsbare antwoordberichten verwijderen zonder het kenmerk Message-Authenticator . Deze configuratie ondersteunt drie modi:

  • Controle

  • Inschakelen

  • Uitschakelen

In de controlemodus wordt een waarschuwingsgebeurtenis (gebeurtenis-id: 4420) geregistreerd, maar de aanvraag wordt nog steeds verwerkt. Gebruik deze modus om de niet-compatibele entiteiten te identificeren die de antwoorden verzenden.

Gebruik de opdracht netsh om zo nodig een uitzondering te configureren, in te schakelen en toe te voegen.

  1. Voer de volgende opdracht uit om servers in de controlemodus te configureren:

    netsh nps set requiremsgauthall = "audit"

  2. Voer de volgende opdracht uit om configuraties voor alle servers in te schakelen:

    netsh nps set limitproxystate all = "enable"

  3. Als u een uitzondering wilt toevoegen om een server uit te sluiten van de validatie van requireauthmsg, voert u de volgende opdracht uit:

    netsh nps set requiremsgauth remoteservergroup = naam<externe servergroep> adres = <serveradres> uitzondering = "ja"

Veelgestelde vragen

Controleer NPS-module-gebeurtenissen op gerelateerde gebeurtenissen. Overweeg uitzonderingen of configuratie-aanpassingen toe te voegen voor betrokken clients/servers.

Nee, de configuraties die in dit artikel worden besproken, worden aanbevolen voor onbeveiligde netwerken. 

Naslagwerken

Beschrijving van de standaardterminologie die wordt gebruikt om Microsoft-software-updates te beschrijven

De producten van derden die in artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk van Microsoft zijn. We bieden geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×