Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

Importante Determinadas versões do Microsoft Windows chegaram ao fim do suporte. Observe que algumas versões do Windows podem ter suporte após a data de término do sistema operacional mais recente, quando as atualizações de segurança estendidas (ESUs) estiverem disponíveis. Confira Perguntas frequentes sobre o ciclo de vida - Atualizações de segurança estendidas para ver uma lista de produtos que oferecem ESUs.

Conteúdo

Resumo

Essa atualização aborda uma vulnerabilidade de segurança no protocolo Remote Authentication Dial-In User Service (RADIUS) relacionada a problemas de colisão de MD5. Devido às fracas verificações de integridade no MD5, um invasor pode adulterar os pacotes para obter acesso não autorizado. A vulnerabilidade do MD5 faz com que o tráfego RADIUS baseado no User Datagram Protocol (UDP) pela Internet não seja seguro contra falsificação ou modificação de pacotes durante o trânsito. 

Para obter mais informações sobre essa vulnerabilidade, confira CVE-2024-3596 e o white paper RADIUS E ATAQUES DE COLISÃO MD5.

OBSERVAÇÃO Essa vulnerabilidade requer acesso físico à rede RADIUS e ao Servidor de Políticas de Rede (NPS). Portanto, os clientes que têm redes RADIUS protegidas não estão vulneráveis. Além disso, a vulnerabilidade não se aplica quando a comunicação RADIUS ocorre por meio de VPN. 

Tome medidas

Para ajudar a proteger seu ambiente, recomendamos habilitar as seguintes configurações. Para obter mais informações, confira a seção Configurações.

  • Defina o atributo Message-Authenticator em pacotes Access-Request.

    Verifique se todos os pacotes Access-Request incluem o atributo Message-Authenticator.

  • Verifique o atributo Message-Authenticator em pacotes Access-Request.

    Considere impor a validação do atributo Message-Authenticator em pacotes Access-Request. Pacotes Access-Request sem esse atributo não serão processados.

  • Verifique o atributo Message-Authenticator em pacotes Access-Request se o atributo Proxy-State estiver presente.

    Opcional: habilite a configuração limitProxyState se não for possível executar a validação do atributo Message-Authenticator em pacotes Access-Request. Essa configuração validará que os pacotes Access-Request que contêm o atributo Proxy-State também contêm o atributo Message-Authenticator.

  • Verifique o atributo Message-Authenticator em pacotes de resposta RADIUS: Access-Accept, Access-Reject e Access-Challenge.

    Habilite a configuração requireMsgAuth para impor a remoção dos pacotes de resposta RADIUS de servidores remotos que não têm o atributo Message-Authenticator.

Eventos adicionados por essa atualização

Para obter mais informações, confira a seção Configurações

O pacote Access-Request foi descartado porque continha o atributo Proxy-State, mas não tinha o atributo Message-Authenticator. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. Ou, como alternativa, adicione uma exceção para o cliente RADIUS usando a configuração limitProxyState.

Log de eventos

Sistema

Tipo de evento

Erro

Origem do evento

Servidor

ID de Evento

4418

Texto do evento

Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. Como resultado, a solicitação foi descartada. O atributo Message-Authenticator é obrigatório para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais. 

Esse é um evento de auditoria para pacotes Access-Request sem o atributo Message-Authenticator na presença de Proxy-State. Considere alterar o cliente RADIUS para incluir o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração limitproxystate estiver habilitada.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4419

Texto do evento

Uma mensagem de Access-Request foi recebida do cliente RADIUS <ip/name> contendo um atributo Proxy-State, mas sem um atributo Message-Authenticator. A solicitação é permitida no momento, pois o limitProxyState está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais. 

Esse é um evento de Auditoria para pacotes de resposta RADIUS recebidos sem o atributo Message-Authenticator no proxy. Considere alterar o servidor RADIUS especificado para o atributo Message-Authenticator. O pacote RADIUS será removido depois que a configuração requiremsgauth estiver habilitada.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4420

Texto do evento

O Proxy RADIUS recebeu uma resposta do servidor <ip/name> com um atributo de Message-Authenticator ausente. Atualmente, a resposta é permitida, pois o requireMsgAuth está configurado no modo Auditoria. Confira https://support.microsoft.com/help/5040268 para saber mais.

Esse evento é registrado durante o início do serviço quando as configurações recomendadas não estão definidas. Considere habilitar as configurações se a rede RADIUS não for segura. Para redes seguras, esses eventos podem ser ignorados.

Log de eventos

Sistema

Tipo de evento

Aviso

Origem do evento

Servidor

ID de Evento

4421

Texto do evento

A configuração de RequireMsgAuth e/ou limitProxyState está no modo <Disable/Audit>. Essas configurações devem ser definidas no modo Habilitar para fins de segurança. Confira https://support.microsoft.com/help/5040268 para saber mais.

Configurações

Essa configuração permite que o Proxy NPS comece a enviar o atributo Message-Authenticator em todos os pacotes Access-Request. Para habilitar essa configuração, use um dos métodos a seguir.

Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS

Para usar o MMC do NPS, siga estas etapas:

  1. Abra a interface do usuário do NPS no servidor.

  2. Abra os Grupos de Servidores Radius remotos.

  3. Selecione Servidor Radius.

  4. Vá para Autenticação/Contabilidade.

  5. Clique para marcar a caixa de seleção A solicitação deve conter o atributo Message-Authenticator.

Método 2: usar o comando netsh

Para usar netsh, execute o seguinte comando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.

Essa configuração requer o atributo Message-Authenticator em todas as mensagens Access-Request e remove o pacote se estiver ausente.

Método 1: usar o Console de Gerenciamento Microsoft (MMC) do NPS

Para usar o MMC do NPS, siga estas etapas:

  1. Abra a interface do usuário do NPS no servidor.

  2. Abra Clientes Radius.

  3. Selecione Cliente Radius.

  4. Vá para Configurações Avançadas.

  5. Clique para marcar a caixa de seleção As mensagens de Access-Request devem conter o atributo Message-Authenticator.

Para obter mais informações, confira Configurar clientes RADIUS.

Método 2: usar o comando netsh

Para usar netsh, execute o seguinte comando:

netsh nps set client name = <client name> requireauthattrib = yes

Para obter mais informações, confira Comandos de grupo do servidor RADIUS remoto.

Essa configuração permite que o servidor NPS descarte pacotes Access-Request potencialmente vulneráveis que contenham um atributo Proxy-State, mas não incluam um atributo Message-Authenticator. Essa configuração dá suporte a três modos:

  • Auditoria

  • Enable

  • Desabilitar

No modo Auditoria, um evento de aviso (ID do evento: 4419) é registrado, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as solicitações.

Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.

  1. Para configurar clientes no modo Auditoria, execute o seguinte comando:

    netsh nps set limitproxystate all = "audit"

  2. Para configurar clientes no modo Habilitar, execute o seguinte comando:

    netsh nps set limitproxystate all = "enable" 

  3. Para adicionar uma exceção para excluir um cliente da validação limitProxystate, execute o seguinte comando:

    netsh nps set limitproxystate name = <client name> exception = "Yes" 

Essa configuração permite que o Proxy NPS descarte mensagens de resposta potencialmente vulneráveis sem o atributo Message-Authenticator. Essa configuração dá suporte a três modos:

  • Auditoria

  • Enable

  • Desabilitar

No modo Auditoria, um evento de aviso (ID do evento: 4420) é registrado em log, mas a solicitação ainda é processada. Use esse modo para identificar as entidades sem conformidade que enviam as respostas.

Use o comando netsh para configurar, habilitar e adicionar uma exceção conforme necessário.

  1. Para configurar servidores no modo Auditoria, execute o seguinte comando:

    netsh nps set requiremsgauth all = "audit"

  2. Para habilitar as configurações para todos os servidores, execute o seguinte comando:

    netsh nps set limitproxystate all = "enable"

  3. Para adicionar uma exceção para excluir um servidor da validação requireauthmsg, execute o seguinte comando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Perguntas frequentes

Verifique os eventos do módulo NPS para ver eventos relacionados. Considere adicionar exceções ou ajustes de configuração para clientes/servidores afetados.

Não, as configurações discutidas neste artigo são recomendadas para redes não seguras. 

Referências

Descrição da terminologia padrão usada para descrever atualizações de software da Microsoft

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×