Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Important Anumite versiuni de Microsoft Windows au ajuns la data de sfârșit al perioadei de asistență. Rețineți că unele versiuni de Windows pot beneficia de asistență după cea mai recentă dată de încheiere a sistemului de operare, atunci când sunt disponibile actualizări de securitate extinse (ESU). Consultați Întrebări frecvente despre ciclul de viață - Actualizări de securitate extinse pentru o listă de produse care oferă ESU.

Conținut

Rezumat

Această actualizare tratează o vulnerabilitate de securitate din protocolul REMOTE Authentication Dial-In User Service (RADIUS) asociat cu problemele de coliziune MD5 . Din cauza verificărilor de integritate slabe din MD5, un atacator poate interoga pachetele pentru a obține acces neautorizat. Vulnerabilitatea MD5 face ca traficul RADIUS bazat pe UDP (User Datagram Protocol) prin internet să nu fiesecure în raport cu falsificarea sau modificarea pachetelor în timpul tranzitului. 

Pentru mai multe informații despre această vulnerabilitate, consultați CVE-2024-3596 și rază de acoperire albă și ATACURI DE COLIZIUNE MD5.

NOTĂ Această vulnerabilitate necesită acces fizic la rețeaua RADIUS și la serverul de politici de rețea (NPS). Prin urmare, clienții care au securizat rețele RADIUS nu sunt vulnerabili. În plus, vulnerabilitatea nu se aplică atunci când are loc comunicarea RADIUS prin VPN. 

Luați măsuri

Pentru a contribui la protejarea mediului, vă recomandăm să activați următoarele configurații. Pentru mai multe informații, consultați secțiunea Configurații .

  • Setați atributul Message-Authenticator în pachetele Access-Request .

    Asigurați-vă că toate pachetele Access-Request includ atributul Message-Authenticator .

  • Verificați atributul Message-Authenticator în pachetele Access-Request .

    Luați în considerare impunerea validării atributului Message-Authenticator în pachetele Access-Request . Pachetele Access-Request fără acest atribut nu vor fi procesate.

  • Verificați atributul Message-Authenticator în pachetele Access-Request dacă atributul Proxy-State este prezent.

    Opțional: Activați configurația limitProxyState dacă impunerea validării atributului Message-Authenticator în pachetele Access-Request nu poate fi efectuată. Această configurație va valida faptul că pachetele Access-Request care conțin atributul Proxy-State conțin, de asemenea, atributul Message-Authenticator .

  • Verificați atributul Message-Authenticator în pachetele de răspuns RADIUS: Access-Accept, Access-Reject și Access-Challenge.

    Activați configurarea requireMsgAuth pentru a impune eliminarea pachetelor de răspuns RADIUS de la serverele la distanță care nu au atributul Message-Authenticator .

Evenimente adăugate de această actualizare

Pentru mai multe informații, consultați secțiunea Configurații

Pachetul Solicitare-Acces a fost abandonat, deoarece conținea atributul Proxy-State , dar nu avea atributul Message-Authenticator . Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Sau, alternativ, adăugați o excepție pentru clientul RADIUS utilizând configurația limitProxyState .

Jurnal de evenimente

Sistem

Tip eveniment

Eroare

Sursa evenimentului

NPS

ID eveniment

4418

Text eveniment

S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Prin urmare, solicitarea a fost eliminată. Atributul Message-Authenticator este obligatoriu din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. 

Acesta este un eveniment de auditare pentru pachetele Solicitare-Access fără atributul Message-Authenticator în prezența proxy-state. Luați în considerare modificarea clientului RADIUS pentru a include atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce este activată configurația limitproxystate .

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4419

Text eveniment

S-a primit un mesaj Access-Request de la clientul RADIUS <ip/name> care conține un atribut Proxy-State, dar nu include un atribut Message-Authenticator. Solicitarea este permisă în prezent, deoarece limitProxyState este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe. 

Acesta este un eveniment de auditare pentru pachetele de răspuns RADIUS primite fără atributul Message-Authenticator la proxy. Luați în considerare modificarea serverului RADIUS specificat pentru atributul Message-Authenticator . Pachetul RADIUS va fi abandonat după ce configurația requiremsgauth este activată.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4420

Text eveniment

Proxy-ul RADIUS a primit un răspuns de la server<ip/name> cu un atribut Message-Authenticator lipsă. Răspunsul este permis în prezent, deoarece requireMsgAuth este configurat în modul Auditare. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe.

Acest eveniment este înregistrat în timpul pornirii serviciului atunci când setările recomandate nu sunt configurate. Luați în considerare activarea setărilor dacă rețeaua RADIUS este nesecurizată. Pentru rețelele securizate, aceste evenimente pot fi ignorate.

Jurnal de evenimente

Sistem

Tip eveniment

Avertisment

Sursa evenimentului

NPS

ID eveniment

4421

Text eveniment

RequireMsgAuth și/sau limitProxyState se află în modul<dezactivare/auditare> . Aceste setări ar trebui să fie configurate în modul Activare din motive de securitate. Consultați https://support.microsoft.com/help/5040268 pentru a afla mai multe.

Configuraţii

Această configurație permite proxy-ului NPS să înceapă trimiterea atributului Message-Authenticator în toate pachetele Access-Request . Pentru a activa această configurație, utilizați una dintre următoarele metode.

Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)

Pentru a utiliza NPS MMC, urmați acești pași:

  1. Deschideți interfața utilizator NPS (UI) pe server.

  2. Deschideți grupurile Radius Server la distanță.

  3. Selectați Radius Server.

  4. Accesați Autentificare/Contabilitate.

  5. Faceți clic pentru a bifa caseta de selectare Solicitarea trebuie să conțină caseta de selectare a atributului Message-Authenticator .

Metoda 2: Utilizați comanda netsh

Pentru a utiliza netsh, rulați următoarea comandă:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.

Această configurație necesită atributul Message-Authenticator în toate mesajele De solicitare Access și scade pachetul dacă este absent.

Metoda 1: Utilizați Consola de gestionare Microsoft NPS (MMC)

Pentru a utiliza NPS MMC, urmați acești pași:

  1. Deschideți interfața utilizator NPS (UI) pe server.

  2. Deschideți clienții Radius.

  3. Selectați Client rază.

  4. Accesați Setări avansate.

  5. Faceți clic pentru a bifa caseta de selectare Mesajele de solicitare Access trebuie să conțină caseta de selectare atribut message-authenticator .

Pentru mai multe informații, consultați Configurarea clienților RADIUS.

Metoda 2: Utilizați comanda netsh

Pentru a utiliza netsh, rulați următoarea comandă:

netsh nps set client name = <client name> requireauthattrib = yes

Pentru mai multe informații, consultați Comenzi de grup RADIUS Server la distanță.

Această configurație permite serverului NPS să renunțe la pachetele potențial vulnerabile Access-Request care conțin un atribut Proxy-State , dar nu includ un atribut Message-Authenticator . Această configurație acceptă trei moduri:

  • Auditarea

  • Activare

  • Dezactivare

În modul Auditare , un eveniment de avertisment (ID eveniment: 4419) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit solicitările.

Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.

  1. Pentru a configura clienții în modul Auditare , rulați următoarea comandă:

    netsh nps set limitproxystate all = "audit"

  2. Pentru a configura clienții în modul Activare , rulați următoarea comandă:

    netsh nps set limitproxystate all = "enable" 

  3. Pentru a adăuga o excepție pentru a exclude un client din validarea limitProxystate , rulați următoarea comandă:

    netsh nps set limitproxystate name = <numele clientului> excepție = "Da" 

Această configurație permite proxy-ului NPS să renunțe la mesajele de răspuns potențial vulnerabile fără atributul Message-Authenticator . Această configurație acceptă trei moduri:

  • Auditarea

  • Activare

  • Dezactivare

În modul Auditare, un eveniment de avertizare (ID eveniment: 4420) este înregistrat în jurnal, dar solicitarea este încă procesată. Utilizați acest mod pentru a identifica entitățile neconforme care trimit răspunsurile.

Utilizați comanda netsh pentru a configura, a activa și a adăuga o excepție, după cum este necesar.

  1. Pentru a configura serverele în modul auditare, rulați următoarea comandă:

    netsh nps set requiremsgauthall = "audit"

  2. Pentru a activa configurațiile pentru toate serverele, rulați următoarea comandă:

    netsh nps set limitproxystate all = "enable"

  3. Pentru a adăuga o excepție pentru a exclude un server de la validarea requireauthmsg, rulați următoarea comandă:

    netsh nps set requiremsgauth remoteservergroup = <nume grup server la distanță> adresă = <adresă server> excepție = "da"

Întrebări frecvente

Verificați evenimentele modulului NPS pentru evenimente asociate. Luați în considerare adăugarea de excepții sau ajustări de configurație pentru clienții/serverele afectate.

Nu, configurațiile discutate în acest articol sunt recomandate pentru rețelele nesecurizată. 

Referințe

Descrierea terminologiei standard care este utilizată pentru a descrie actualizările de software Microsoft

Produsele de la terți prezentate în acest articol sunt create de companii independente de Microsoft. Nu oferim nicio garanție, implicită sau de altă natură, despre performanța sau fiabilitatea acestor produse.

Vă oferim informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Nu garantăm acuratețea acestor informații de contact de la terți.

Facebook LinkedIn E-mail
ABONAȚI-VĂ LA FLUXURI RSS

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×