Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Viktigt! Supporten för vissa versioner av Microsoft Windows har upphört. Observera att vissa versioner av Windows kan få support efter det senaste slutdatumet för operativsystemet när utökade säkerhetsuppdateringar är tillgängliga. Se Vanliga frågor och svar om livscykel – Utökade säkerhetsuppdateringar för en lista över produkter som erbjuder utökade säkerhetsuppdateringar.

Innehåll

Sammanfattning

Den här uppdateringen åtgärdar en säkerhetsrisk i RADIUS-protokollet (Remote Authentication Dial-In User Service) som är relaterat till MD5-kollisionsproblem . På grund av svaga integritetskontroller i MD5 kan en angripare manipulera paket för att få obehörig åtkomst. MD5-säkerhetsproblem gör att UDP-baserad RADIUS-trafik (User Datagram Protocol) över Internet inte är säker mot paketförfalskning eller -ändring under överföring. 

Mer information om den här säkerhetsrisken finns i CVE-2024-3596 och whitepaper RADIUS AND MD5 COLLISION ATTACKS.

NOT Den här säkerhetsrisken kräver fysisk åtkomst till RADIUS-nätverket och NPS (Network Policy Server). Kunder som har säkrat RADIUS-nätverk är därför inte sårbara. Dessutom gäller inte säkerhetsproblemet när RADIUS-kommunikation sker över VPN. 

Vidta åtgärder

För att skydda miljön rekommenderar vi att du aktiverar följande konfigurationer. Mer information finns i avsnittet Konfigurationer .

  • Ange attributet Message-Authenticator i Access-Request-paket .

    Kontrollera att alla Access-Request-paket innehåller attributet Message-Authenticator .

  • Verifiera attributet Message-Authenticator i Access-Request-paket .

    Överväg att tillämpa verifiering av attributet Message-Authenticator i Access-Request-paket . Paket med åtkomstbegäran utan det här attributet bearbetas inte.

  • Kontrollera attributet Message-Authenticator i Access-Request-paket om attributet Proxy-State finns.

    Valfritt: Aktivera limitProxyState-konfigurationen om det inte går att utföra verifiering av attributet Message-Authenticator i Access-Request-paket . Den här konfigurationen verifierar att Access-Request-paket som innehåller attributet Proxy-State också innehåller attributet Message-Authenticator .

  • Kontrollera attributet Message-Authenticator i RADIUS-svarspaket: Access-Accept, Access-Reject och Access-Challenge.

    Aktivera konfigurationen krävMsgAuth för att tillämpa att RADIUS-svarspaketen från fjärrservrar som saknar attributet Message-Authenticator inaktiveras.

Händelser som lagts till av den här uppdateringen

Mer information finns i avsnittet Konfigurationer

Paketet för åtkomstbegäran togs bort eftersom det innehöll attributet Proxy-State men saknade attributet Message-Authenticator . Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. Alternativt kan du lägga till ett undantag för RADIUS-klienten med hjälp av limitProxyState-konfigurationen .

Händelselogg

System

Händelsetyp

Fel

Händelsekälla

NPS

Händelse-ID

4418

Händelsetext

Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Det ledde till att begäran togs bort. Attributet Message-Authenticator är obligatoriskt för säkerhetsändamål. Mer information finns i https://support.microsoft.com/help/5040268. 

Det här är en granskningshändelse för Access-Request-paket utan attributet Message-Authenticator i närvaro av Proxy-State. Överväg att ändra RADIUS-klienten så att attributet Message-Authenticator inkluderas. RADIUS-paketet kommer att släppas när konfigurationen av limitproxystate är aktiverad.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4419

Händelsetext

Ett Access-Request meddelande togs emot från RADIUS-klienten <ip/name> som innehöll ett Proxy-State attribut, men det innehöll inget Message-Authenticator attribut. Begäran tillåts för närvarande eftersom gränsenProxyState har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268. 

Det här är en granskningshändelse för RADIUS-svarspaket som tagits emot utan attributet Message-Authenticator på proxyn. Överväg att ändra den angivna RADIUS-servern för attributet Message-Authenticator . RADIUS-paketet kommer att släppas när konfigurationen krävmsgauth är aktiverad.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4420

Händelsetext

RADIUS-proxyn fick ett svar från servern <ip/name> med ett attribut för Message-Authenticator saknas. Svar tillåts för närvarande eftersom krävMsgAuth har konfigurerats i granskningsläge. Mer information finns i https://support.microsoft.com/help/5040268.

Händelsen loggas under tjänststart när de rekommenderade inställningarna inte konfigureras. Överväg att aktivera inställningarna om RADIUS-nätverket är osäkert. För säkra nätverk kan dessa händelser ignoreras.

Händelselogg

System

Händelsetyp

Varning

Händelsekälla

NPS

Händelse-ID

4421

Händelsetext

KrävMsgAuth- och/eller limitProxyState-konfiguration är i <inaktivera/granska> läge. De här inställningarna ska konfigureras i aktiveringsläge av säkerhetsskäl. Mer information finns i https://support.microsoft.com/help/5040268.

Konfigurationer

Med den här konfigurationen kan NPS-proxyn börja skicka attributet Message-Authenticator i alla Access-Request-paket . Använd någon av följande metoder för att aktivera den här konfigurationen.

Metod 1: Använda NPS Microsoft Management Console (MMC)

Gör så här om du vill använda NPS MMC:

  1. Öppna NPS-användargränssnittet på servern.

  2. Öppna fjärranslutna Radius Server-grupper.

  3. Välj Radius Server.

  4. Gå till Autentisering/redovisning.

  5. Markera kryssrutan Begäran måste innehålla Message-Authenticator attribut .

Metod 2: Använd kommandot netsh

Om du vill använda netsh kör du följande kommando:

netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes

Mer information finns i Remote RADIUS Server Group Commands.

Den här konfigurationen kräver attributet Message-Authenticator i alla meddelanden med åtkomstbegäran och paketet försvinner om det saknas.

Metod 1: Använda NPS Microsoft Management Console (MMC)

Gör så här om du vill använda NPS MMC:

  1. Öppna NPS-användargränssnittet på servern.

  2. Open Radius Clients.

  3. Välj Radius Client.

  4. Gå till Avancerade inställningar.

  5. Klicka för att markera kryssrutan Meddelanden med åtkomstbegäran måste innehålla attributet message-authenticator .

Mer information finns i Konfigurera RADIUS-klienter.

Metod 2: Använd kommandot netsh

Om du vill använda netsh kör du följande kommando:

netsh nps set client name = <client name> requireauthattrib = yes

Mer information finns i Remote RADIUS Server Group Commands.

Den här konfigurationen gör att NPS-servern kan släppa potentiella sårbara Access-Request-paket som innehåller ett Proxy-State-attribut , men som inte innehåller ett Message-Authenticator-attribut . Den här konfigurationen har stöd för tre lägen:

  • Granska

  • Aktivera

  • Inaktivera

I granskningsläge loggas en varningshändelse (händelse-ID: 4419) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar begäranden.

Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.

  1. Om du vill konfigurera klienter i granskningsläge kör du följande kommando:

    netsh nps set limitproxystate all = "audit"

  2. Om du vill konfigurera klienter i aktiveringsläge kör du följande kommando:

    netsh nps set limitproxystate all = "enable" 

  3. Om du vill lägga till ett undantag för att utesluta en klient från verifiering av limitProxystate kör du följande kommando:

    netsh nps set limitproxystate name = <klientnamn> undantag = "Yes" 

Med den här konfigurationen kan NPS-proxy släppa potentiellt sårbara svarsmeddelanden utan attributet Message-Authenticator . Den här konfigurationen har stöd för tre lägen:

  • Granska

  • Aktivera

  • Inaktivera

I granskningsläge loggas en varningshändelse (händelse-ID: 4420) men begäran bearbetas fortfarande. Använd det här läget för att identifiera de icke-kompatibla enheter som skickar svaren.

Använd kommandot netsh för att konfigurera, aktivera och lägga till ett undantag efter behov.

  1. Om du vill konfigurera servrar i granskningsläge kör du följande kommando:

    netsh nps set krävermsgauth-all = "audit"

  2. Om du vill aktivera konfigurationer för alla servrar kör du följande kommando:

    netsh nps set limitproxystate all = "enable"

  3. Om du vill lägga till ett undantag för att utesluta en server från verifiering av kräv autentiseringmsg kör du följande kommando:

    netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"

Vanliga frågor och svar

Kontrollera NPS-modulhändelser för relaterade händelser. Överväg att lägga till undantag eller konfigurationsjusteringar för berörda klienter/servrar.

Nej, de konfigurationer som beskrivs i den här artikeln rekommenderas för oskyddade nätverk. 

Referenser

Beskrivning av standardterminologin som används för att beskriva Microsofts programuppdateringar

De produkter från tredje part som beskrivs i den här artikeln är tillverkade av företag som är oberoende av Microsoft. Vi försäkrar varken underförstådda eller andra garantier om dessa produkters prestanda eller tillförlitlighet.

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi garanterar inte att denna kontaktinformation från tredje part är korrekt.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×