После установки обновлений Microsoft на сервер NPS перестала работать RADIUS-аутентификация

Версия ПО:  JMS/JAS любой версии

Проблема: 

После установки обновлений Microsoft на сервер NPS перестала работать RADIUS-аутентификация

Сценарий проявления проблемы на примере аутентификации в Checkpoint по Messaging-токену:

1. Пользователь вводит пароль на стороне Checkpoint.
2. До формы ввода кода из СМС не доходит.
3. Пользователю приходит 2 СМС подряд.
4. Checkpoint сообщает, что аутентификация не удалась и возвращает на форму ввода логина и пароля.
5. В логах NPS Plugin три попытки аутентификации от Checkpoint с периодичностью в 5 секунд.
6. В логах JAS фигурирует ошибка: Network Policy Server denied access to a user. Reason:  An NPS extension dynamic link library (DLL) that is installed on the NPS server rejected the connection request.
7. В журнале аутентификаций JAS Консоли управления JMS фигурируют записи вида: Попытка аутентификации по Messaging-токену с параметрами 'SystemId=systemid, User=user' не удалась. Произошла ошибка: Слишком частая попытка аутентификации по Messaging-токену с параметрами'SystemId=systemid, User=user.

Причина:

Установка обновлений Windows July 9, 2024-KB5040437 и August 13, 2024-KB5041160, закрывающих уязвимость NPS CVE-2024-3596 (Blast Radius).

Варианты решения:

1. В настройках шлюза настроить игнорирование атрибута 80. Для Checkpoint это: SmartConsole - Global Properties - Advanced - Firewall - Authentication - radius_ignore and set it to "80". Install policy.
2. Удалить(откатить) обновления Windows July 9, 2024-KB5040437 и August 13, 2024-KB5041160.