重要: 特定 Microsoft Windows 版本已終止支援。 請注意,延伸安全性更新 (ESU) 可使用時,可能會在最新的作業系統結束日期之後支援某些版本的 Windows。 請參閱 生命週期常見問題解答 - 擴展安全更新,以尋找提供 ESUS 的產品清單。
內容
摘要
此更新解決與 MD5 衝突問題相關的遠端驗證撥入使用者服務 (RADIUS) 通訊協定中的資訊安全漏洞。 由於 MD5 中的弱式資料完整性檢查功能,攻擊者可能會竄改封包以取得未經授權的存取權。 MD5 弱點會使基於使用者資料包通訊協定 (UDP) 的 RADIUS 網際網路流量在傳輸過程中,受到封包偽造或修改的危害。
如需此弱點的詳細資訊,請參閱 CVE-2024-3596 和白皮書 RADIUS 和 MD5 衝突攻擊。
注意事項 此弱點需要 RADIUS 網路和網路原則伺服器 (NPS) 的實際存取權。 因此,具有安全 RADIUS 網路的客戶不易受到攻擊。 此外,透過 VPN 進行 RADIUS 通訊時,不存在此弱點。
採取行動
|
為了協助保護您的環境,建議您啟用下列設定。 如需詳細資訊,請參閱 設定 一節。
|
此更新新增的事件
如需詳細資訊,請參閱 設定 一節。
Access-Request 封包因為包含 Proxy-State 屬性但缺少 Message-Authenticator 屬性,而遭捨棄。 請考慮將 RADIUS 用戶端變更為包含 Message-Authenticator 屬性。 或者,您也可以使用 limitProxyState 設定,為 RADIUS 用戶端新增例外狀況。
|
事件記錄檔 |
系統 |
|
事件類型 |
錯誤 |
|
事件來源 |
NPS |
|
事件識別碼 |
4418 |
|
事件文字 |
收到來自 RADIUS 用戶端 <ip/name> 的存取要求訊息,其中包含 Proxy-狀態屬性,但並未包含訊息-驗證器屬性。 因此,要求已捨棄。 基於安全性目的,訊息-驗證器屬性是必要項目。 若要深入了解,請參閱 https://support.microsoft.com/help/5040268。 |
這是 Access-Request 封包的稽核事件,其中 Proxy-State 狀態不包含 Message-Authenticator 屬性。 請考慮將 RADIUS 用戶端變更為包含 Message-Authenticator 屬性。 一旦啟用 limitproxystate 設定,系統便會捨棄 RADIUS 封包。
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
NPS |
|
事件識別碼 |
4419 |
|
事件文字 |
收到來自 RADIUS 用戶端 <ip/name> 的存取要求訊息,其中包含 Proxy-狀態屬性,但並未包含訊息-驗證器屬性。 由於在 [稽核模式] 中設定了 limitProxyState,所以目前允許該要求。 若要深入了解,請參閱 https://support.microsoft.com/help/5040268。 |
這是在 Proxy 中沒有 Message-Authenticator 屬性的情況下收到的 RADIUS 回應封包稽核事件。 請考慮變更 Message-Authenticator 屬性的指定 RADIUS 伺服器。 一旦啟用 requiremsgauth 設定,系統便會捨棄 RADIUS 封包。
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
NPS |
|
事件識別碼 |
4420 |
|
事件文字 |
RADIUS Proxy 已收到伺服器 <ip/name> 的回應,其中包含遺失的 Message-Authenticator 屬性。 由於在 [稽核模式] 中設定了 requireMsgAuth,所以目前允許該回應。 若要深入了解,請參閱 https://support.microsoft.com/help/5040268。 |
當未設定建議的設定時,會在服務啟動期間記錄此事件。 如果 RADIUS 網路不安全,請考慮啟用該設定。 針對安全網路,可以忽略這些事件。
|
事件記錄檔 |
系統 |
|
事件類型 |
警告 |
|
事件來源 |
NPS |
|
事件識別碼 |
4421 |
|
事件文字 |
RequireMsgAuth 和/或 limitProxyState 設定在 <Disable/Audit> 模式中。 基於安全性目的,這些設定應該在 [啟用] 模式中進行設定。 若要深入了解,請參閱 https://support.microsoft.com/help/5040268。 |
設定
此設定可讓 NPS Proxy 開始在所有 Access-Request 封包中傳送 Message-Authenticator 屬性。 若要啟動此設定,請使用下列其中一種方法。
方法 1: 使用 NPS Microsoft Management Console(MMC)
如果使用 NPS MMC,請依照下列步驟執行:
-
在伺服器上開啟 NPS 使用者介面 (UI)。
-
開啟遠端 RADIUS 伺服器群組。
-
選取 [RADIUS 伺服器]。
-
移至 [驗證/帳戶處理]。
-
點擊以選取 [要求必須包含 Message-Authenticator 屬性] 核取方塊。
方法 2: 使用 netsh 命令
若要使用 netsh,請執行下列命令:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
如需詳細資訊,請參閱 遠端 RADIUS 伺服器群組命令。
此設定需要在所有 Access-Request 訊息中使用 Message-Authenticator 屬性,如果缺乏該屬性,則會捨棄封包。
方法 1: 使用 NPS Microsoft Management Console(MMC)
如果使用 NPS MMC,請依照下列步驟執行:
-
在伺服器上開啟 NPS 使用者介面 (UI)。
-
開啟 [RADIUS 用戶端]。
-
選取 [RADIUS 用戶端]。
-
移至 [進階設定]。
-
點擊以選取 Access-Request 訊息必須包含 message-authenticator 屬性 核取方塊。
如需詳細資訊,請參閱 設定 RADIUS 用戶端。
方法 2: 使用 netsh 命令
若要使用 netsh,請執行下列命令:
netsh nps set client name = <client name> requireauthattrib = yes
如需詳細資訊,請參閱 遠端 RADIUS 伺服器群組命令。
此設定可讓 NPS 伺服器捨棄包含 Proxy-State 屬性但不包含 Message-Authenticator 屬性的潛在易受攻擊的 Access-Request 封包。 此設定支援三種模式:
-
稽核
-
[啟用]
-
停用
在 [稽核] 模式中,會記錄警告事件 (事件識別碼: 4419),但仍會處理該要求。 使用此模式,可識別傳送要求的不相容實體。
視需要使用 netsh 命令來設定、啟用及新增例外狀況。
-
若要在 [稽核] 模式中設定用戶端,請執行下列命令:
netsh nps set limitproxystate all = "audit"
-
若要在 [啟用] 模式中設定用戶端,請執行下列命令:
netsh nps set limitproxystate all = "enable"
-
若要新增例外狀況,以從 limitProxystate 驗證排除用戶端,請執行下列命令:
netsh nps set limitproxystate name = <client name> exception = "Yes"
此設定可讓 NPS Proxy 在不具有 Message-Authenticator 屬性的情況下,捨棄潛在易受攻擊的回應訊息。 此設定支援三種模式:
-
稽核
-
[啟用]
-
停用
在 [稽核] 模式中,會記錄警告事件 (事件識別碼: 4420),但仍會處理該要求。 使用此模式,可識別傳送回應的不相容實體。
視需要使用 netsh 命令來設定、啟用及新增例外狀況。
-
若要在 [稽核] 模式中設定伺服器,請執行下列命令:
netsh nps set requiremsgauth all = "audit"
-
若要啟用所有伺服器的設定,請執行下列命令:
netsh nps set limitproxystate all = "enable"
-
若要新增例外狀況,以從 requireauthmsg 驗證排除伺服器,請執行下列命令:
netsh nps set requiremsgauth remoteservergroup = <remote server group name> address = <server address> exception = "yes"
常見問題集
檢查相關事件的 NPS 模組事件。 請考慮為受影響的用戶端/伺服器新增例外狀況或設定調整。
否,本文中討論的設定建議用於不安全的網路。
參考
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。
