MENU
  1. Início
  2. Windows
  3. Windows Server
  4. Falha de VPN com RADIUS/Entra NPS após KB5040430: causas, mitigação e correção definitiva

Falha de VPN com RADIUS/Entra NPS após KB5040430: causas, mitigação e correção definitiva

Windows Server

Após instalar o KB5040430 num servidor NPS com Entra ID NPS Extension, muitas VPNs RADIUS passaram a falhar sem erro claro. Este guia explica a causa provável, como mitigar de imediato e como aplicar a correção definitiva sem comprometer a segurança.

Índice

Visão geral do cenário

Ambiente típico: firewall corporativo (cliente RADIUS) autentica conexões VPN contra um servidor Network Policy Server (NPS) no Windows Server, com a Extensão NPS para Entra ID (antigo Azure AD) para MFA/validações adicionais. Após a instalação do KB5040430 no NPS, todas as tentativas de VPN passaram a falhar. A remoção do KB ou a mudança para um NPS sem o KB restaurou o serviço.

Diagnóstico rápido

  • Sintoma dominante: VPN não conecta; logs do NPS/Entra não evidenciam causa explícita; do ponto de vista do usuário, há time-out ou erro genérico de credenciais.
  • Recorte temporal: falha inicia imediatamente após aplicar o KB no NPS.
  • Teste A/B: apontar o firewall para outro NPS sem o KB restabelece a autenticação.

O que está acontecendo

Relatos de campo indicam incompatibilidades de interoperabilidade RADIUS após reforços de segurança aplicados em atualizações cumulativas lançadas a partir do Patch Tuesday de 9 de julho de 2024. Em particular, endurecimentos no processamento de pacotes RADIUS (por exemplo, validação estrita do Message‑Authenticator, saneamento de atributos, checagens de integridade e tamanho) podem expor implementações de clientes RADIUS com comportamentos não totalmente conformes.

Vários fabricantes de firewall investigaram e comunicaram impacto em cenários específicos, com workarounds temporários e correções definitivas planejadas. Em ambientes com Entra ID NPS Extension, isso se manifesta como falha genérica de autenticação RADIUS mesmo quando credenciais e políticas estão corretas.

Soluções práticas que funcionaram

  1. Remover o KB5040430 do NPS afetado → a autenticação RADIUS/Entra voltou a funcionar imediatamente.
  2. Redirecionar o firewall para um NPS sem o KB (fallback) → conexões restabelecidas enquanto se trabalha na correção.
  3. Aplicar o workaround no firewall indicado pelo fabricante; após aplicado, a autenticação voltou a funcionar mesmo com o KB no NPS. Correção definitiva prevista por fabricantes para um ciclo posterior.

Recomendação prioritária: sempre que possível, prefira o workaround/patch do firewall (ou atualização do lado do cliente RADIUS). Considere remover/adiar o KB no NPS apenas como medida temporária e consciente de risco.

Passo a passo sugerido para produção

Confirmar o escopo

  • Verifique se a falha começou logo após instalar o KB5040430 no NPS.
  • Teste com um NPS de controle (sem o KB) para isolar o problema do lado servidor.
  • Se possível, faça um teste fora da VPN (ex.: um radtest de laboratório) contra o NPS afetado para observar códigos de resposta RADIUS.

Mitigação imediata

Adote uma das opções abaixo para restaurar o serviço rapidamente:

  • Opção A — Failover de NPS: aponte o firewall (cliente RADIUS) para um NPS não afetado.
  • Opção B — Remover temporariamente o KB5040430:
    • Via GUI: Definições → Atualização e Segurança → Windows Update → Ver histórico de atualizações → Desinstalar atualizações.
    • Via CLI:
    wusa /uninstall /kb:5040430 /quiet /norestart Alternativa via DISM (útil quando há mais de um pacote relacionado ao KB): DISM /Online /Get-Packages /Format:Table DISM /Online /Remove-Package /PackageName:<PackageforKB5040430...> /NoRestart
  • Opção C — Workaround no firewall: aplicar a configuração indicada pelo fabricante e retestar. Em muitos casos, ativar a exigência do Message‑Authenticator e/ou corrigir parâmetros de RADIUS resolve o problema.

Correção estrutural

  • Abrir chamado com o fabricante do firewall e aplicar o hotfix/atualização assim que disponível.
  • Após o workaround/patch do firewall, reinstale o KB no NPS e valide ponta a ponta (VPN → RADIUS → MFA).

Governança de patching

  • Pausar/adiar a distribuição do KB em todos os NPS via WSUS/Intune enquanto a correção do firewall não estiver aplicada.
  • Documentar a exceção com prazo e plano de retorno ao padrão (inclua risco residual e controles compensatórios).
  • Adotar anéis de implantação (piloto → pré‑produção → produção) para atualizações de servidores críticos como o NPS.

Boas práticas e notas de risco

Risco de segurança: remover um cumulative update pode reabrir vulnerabilidades. Se optar por essa mitigação, reduza a superfície de ataque até a correção definitiva:

  • Restringir o NPS por ACL aos IPs dos firewalls/roteadores que o usam como cliente RADIUS.
  • Garantir segredo compartilhado forte e rotação periódica.
  • Monitorar eventos de NPS e da Entra NPS Extension buscando picos de falha.
  • Se usar EAP‑TLS, valide a cadeia de certificados e a confiança no caminho até a raiz.

Compatibilidade RADIUS: ajustes úteis

  • Quando suportado pelo firewall, exigir/ativar o “Message‑Authenticator” nos Access‑Requests.
  • Verificar NTP e sincronização de tempo (diferenças de tempo podem invalidar tokens/MFA).
  • Checar MTU e fragmentação (pacotes RADIUS podem exceder MTU quando há atributos extras).
  • Validar portas e segredos (1812/1813) e testar com ferramentas de diagnóstico (por exemplo, radtest) e captura (Wireshark) para observar o fluxo RADIUS.

Checklist de validação

  • Confirmar que o problema só ocorre com o NPS que recebeu o KB.
  • Registrar eventos do firewall como client timeout ou access-reject repetidos.
  • Revisar políticas de rede no NPS: Connection Request Policies e Network Policies em busca de alterações acidentais.
  • Verificar o certificate binding se houver EAP‑TLS.
  • Validar logs da Entra NPS Extension (Event Viewer → Applications and Services Logs → Microsoft → AzureMfa) e, se configurado, os logs de arquivo em Program Files\Microsoft\AzureMfa\Logs.

Matriz de decisão

OpçãoTempo para mitigarRiscoPrósContrasQuando usar
Remover KB do NPSMinutosMédio (exposição a CVEs do período)Restaura serviço imediatamenteReabre vulnerabilidades; exige controle compensatórioQuando não há workaround do firewall e a VPN é crítica
Failover para NPS sem KBMinutosBaixo a médioSem alterar servidor afetadoDepende de haver NPS reserva atualizadoAmbientes com redundância já configurada
Workaround/Patch no firewallHoras (ou menos)BaixoCorrige causa-raiz no cliente RADIUSDepende de fabricante/versãoOpção preferida e definitiva

Como identificar o KB e retroceder com segurança

Use os comandos abaixo para localizar e remover o KB de forma controlada:

Get-HotFix -Id KB5040430
wmic qfe list brief | findstr 5040430

Desinstalação silenciosa (janela de manutenção, sem reiniciar automaticamente):

wusa /uninstall /kb:5040430 /quiet /norestart

Se houver múltiplos pacotes relacionados ao KB, identifique o nome exato e remova via DISM:

DISM /Online /Get-Packages /Format:Table
DISM /Online /Remove-Package /PackageName:&lt;PackageforKB5040430~31bf3856ad364e35~amd64~~&gt; /NoRestart

Agende o reinício fora do horário de pico e confirme a operação com:

Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10

Telemetria e observabilidade

  • NPS Accounting: confirme se o Accounting está ativo para registrar Access-Requests e respostas.
  • Event Viewer: verifique o log do serviço NPS e o log específico da Entra NPS Extension para mensagens de falha.
  • Firewall: habilite logs detalhados do cliente RADIUS (códigos e tempos de espera).
  • Rede: colete pcaps filtrando UDP 1812/1813 para validar integridade e tamanho dos pacotes.

Endurecimentos RADIUS comuns que podem impactar

  • Exigência do atributo Message‑Authenticator em mais caminhos de código.
  • Validações estritas de Vendor‑Specific Attributes (VSA).
  • Limites de tamanho e fragmentação mais conservadores.
  • Tratamento rigoroso de nonce/Request‑Authenticator e verificações de integridade.

Quando o cliente RADIUS do firewall opera com flexibilidades que não atendem plenamente ao padrão, esses endurecimentos podem levar a rejeições silenciosas ou time‑outs.

Automação e prevenção

Bloquear a distribuição do KB no NPS até a correção

WSUS: recuse o KB para a Computer Target dos servidores NPS e documente a regra de exceção.

Intune: crie uma Feature Update/Quality Update Policy que adie a atualização cumulativa nos grupos que contêm o NPS, mantendo servidores de piloto para validação.

Blue/Green para NPS

Implemente dois NPS (ativos) e um perfil de cliente RADIUS no firewall com priority/weight. Assim, um NPS recebe o KB e serve de canário, enquanto o outro permanece estável até a validação.

Guia de teste pós‑mudança

  1. Executar teste de autenticação via VPN em três perfis de usuário: com MFA, sem MFA e certificado.
  2. Confirmar geração de Accounting no NPS e sucesso de Access‑Accept.
  3. Monitorar por 24 horas o percentual de falhas RADIUS por cliente.
  4. Validar métricas de capacidade: RPS, latência, filas e time-out no firewall.

Respostas a perguntas frequentes

Há correção conhecida? Em diversos ambientes, a correção definitiva veio do lado do firewall (atualização/hotfix) alinhado aos endurecimentos de RADIUS. Enquanto isso, remover o KB ou usar um NPS de fallback restabelece rapidamente.

É seguro remover o KB? É uma medida temporária que traz risco. Aplique controles compensatórios (ACLs, rotação de segredos, monitoramento) e planeie reintroduzir o KB após corrigir o cliente RADIUS.

Quais ajustes ajudam? Exigir Message‑Authenticator, revisar VSAs, garantir NTP consistente e checar MTU/fragmentação. Muitos casos solucionam com o workaround do fabricante do firewall.

O problema atinge todos os métodos? Depende. Ambientes com EAP‑TLS, PEAP‑MSCHAPv2 ou PAP podem apresentar sintomas distintos; a causa‑raiz está na interoperabilidade RADIUS após endurecimentos.

Exemplos de comandos úteis para o NPS

Exportar configuração do NPS antes de mudanças:

netsh nps export filename="C:\Temp\NPS-Backup.xml" exportPSK=YES

Importar configuração (em caso de rollback ou failover):

netsh nps import filename="C:\Temp\NPS-Backup.xml"

Modelo de comunicação interna

Use o texto abaixo para avisar as equipes de suporte e segurança:

Resumo: Falha de autenticação VPN (RADIUS) após KB5040430 no NPS.
Impacto: Usuários não conseguem estabelecer VPN.
Ação imediata: Failover para NPS sem KB / Remoção temporária do KB / Aplicação de workaround no firewall.
Risco: Remoção de update reabre CVEs; controles compensatórios aplicados.
Plano: Aplicar hotfix do fabricante do firewall e reintroduzir o KB; monitoramento ativo.

Roteiro de retorno ao padrão

  1. Aplicar workaround/patch do firewall recomendado.
  2. Reinstalar o KB no NPS afetado e em todos os NPS do pool.
  3. Executar bateria de testes (autenticação, accounting, latência, falhas).
  4. Encerrar a exceção de patching e documentar lições aprendidas.

Resultado final do caso

  • A desinstalação do KB5040430 restaurou o serviço de imediato.
  • Workaround no firewall resolveu o problema sem necessidade de manter o KB removido; atualização definitiva do fabricante programada.
  • Recomenda‑se acompanhar atualizações do Windows e dos fabricantes, e reintroduzir o KB assim que o lado do cliente RADIUS estiver corrigido.

Resumo executivo

  • Problema: falhas de VPN RADIUS após KB5040430 em NPS com Entra NPS Extension.
  • Causa provável: endurecimentos de segurança do protocolo RADIUS expondo incompatibilidades no cliente do firewall.
  • Mitigação: fallback de NPS, remoção temporária do KB ou workaround do firewall.
  • Correção: patch do fabricante do firewall e reintrodução controlada do KB.
  • Risco: remover updates reabre CVEs; compense com ACLs, rotação de segredos e monitoramento.

Apêndice: referências operacionais

Onde olhar no Event Viewer

  • NPS: Custom Views → Server Roles → Network Policy and Access Services.
  • Entra NPS Extension: Applications and Services Logs → Microsoft → AzureMfa.
  • Sistema: eventos de rede, DNS, NTP e certificados.

Boas práticas de configuração no NPS

  • Ativar Accounting com retenção adequada e proteção de logs.
  • Incluir restrições por grupo nas Network Policies para minimizar falso‑positivo.
  • Manter certificados revistos e com renovação automática (se aplicável).

Boas práticas no firewall

  • Configurar dois servidores RADIUS (primário/secundário) com tempos de espera e tentativas coerentes.
  • Habilitar diagnóstico RADIUS e exportar logs para SIEM.
  • Validar suporte a Message‑Authenticator e conformidade com VSAs.

Modelo de plano de teste RADIUS

CasoObjetivoPassosCritério de sucesso
Usuário com MFAValidar fluxo Entra NPS ExtensionConectar VPN → aprovar MFAAccess‑Accept e IP atribuído
Usuário sem MFAValidar política de exceçãoConectar VPN perfil isentoAccess‑Accept conforme política
Certificado (EAP‑TLS)Validar cadeia de confiançaConectar com certificado válidoTúnel estabelecido sem prompt de senha
Erro intencionalValidar auditoriaSegredo incorreto/porta erradaAccess‑Reject e log detalhado

Em suma: se a sua VPN que usa RADIUS com NPS/Entra quebrou após o KB5040430, há uma rota segura e prática para restabelecer o serviço hoje (fallback, remoção temporária do KB ou workaround do firewall) e um caminho definitivo com o patch do fabricante. Planeie, documente, mitigue riscos e volte a aplicar os updates assim que o cliente RADIUS estiver em conformidade.

Windows Server
Entra ID KB5040430 NPS RADIUS VPN Windows Update
Índice