الأعراض
بعد تطبيق تحديث Windows 10 تشرين الثاني/نوفمبر إلى جهاز، لا يمكنك الاتصال بشبكة "المؤسسة" WPA 2 يتم استخدام الشهادات لمصادقة الخادم أو المتبادلة (EAP TLS PEAP، TTLS).
السبب
في Windows تحديث 10 تشرين الثاني/نوفمبر، تم تحديث EAP لدعم TLS 1.2. وهذا يعني أنه، إذا كان الملقم بالإعلان عن دعم TLS 1.2 أثناء تفاوض TLS، سيتم استخدام TLS 1.2.
لدينا تقارير تفيد بأن بعض تطبيقات ملقم Radius تواجه خطأ مع TLS 1.2. في هذا السيناريو الخطأ، نجحت المصادقة EAP لكن فشل حساب مفتاح MPPE نظراً لاستخدام PRF غير صحيحة (دالة العشوائية الزائفة).
معروف أن تتأثر ملقمات radius
ملاحظة: وتعتمد هذه المعلومات في تقارير البحث والشريك. نقوم بإضافة مزيد من التفاصيل لنحصل على المزيد من البيانات.
|
الخادم |
معلومات إضافية |
يتوفر إصلاح |
|
2 فريراديوس. x |
2.2.6 ل TLS كافة بناء الطرق، 2.2.6-2.2.8 ل TTLS |
نعم |
|
3 فريراديوس. x |
3.0.7 ل TLS كافة بناء الطرق، 3.0.7-3.0.9 ل TTLS |
نعم |
|
المبرد |
4.14 عند استخدامها مع Net::SSLeay 1.52 أو إصدار سابق |
نعم |
|
إدارة نهج كليارباس أروبا |
6.5.1 |
نعم |
|
نبض نهج أمن |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
إصلاح تحت الاختبار |
|
Cisco تحديد مشغل خدمات 2. x |
تصحيح 2.0.0.306 1 |
إصلاح تحت الاختبار |
الحل
إصلاح مستحسن
العمل مع المسؤول الخاص بك لتحديث خادم Radius إلى الإصدار المناسب الذي يتضمن إصلاحًا.
حل مؤقت للمشكلة لأجهزة الكمبيوتر المستندة إلى Windows التي قاموا بتطبيق التحديث تشرين الثاني/نوفمبر
ملاحظة: توصي Microsoft باستخدام TLS 1.2 لمصادقة EAP أينما يتم اعتماده. على الرغم من أن كافة المشاكل المعروفة في TLS 1.0 التصحيحات المتاحة، ندرك أن TLS 1.0 مقياس قديم ثبت يتم عرضه.
لتكوين الإصدار TLS يستخدم EAP بشكل افتراضي، يجب إضافة قيمة DWORD اسم تلسفيرسيون إلى مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
يمكن أن تكون قيمة مفتاح التسجيل هذا 0xC0، 0x300 أو 0xC00.
ملاحظات
-
مفتاح التسجيل هذا لا ينطبق إلا على EAP TLS وخطة العمل؛ لا يؤثر على سلوك TTLS.
-
إذا تم تكوينها EAP العميل والملقم EAP حيث يكون هناك المشتركة لم تكوين الإصدار TLS، ستفشل المصادقة، وقد يفقد المستخدم الاتصال بشبكة الاتصال. ولذلك، نوصي بأن مسؤولي تكنولوجيا المعلومات فقط تطبيق هذه الإعدادات واختبار الإعدادات قبل النشر. ومع ذلك، يدوياً مستخدم تكوين رقم إصدار TLS إذا كان الملقم يدعمها الإصدار المطابق TLS.
هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
لإضافة قيم التسجيل هذه، اتبع الخطوات التالية:
-
انقر فوق ابدأ، ثم انقر فوق تشغيل، اكتب regedit في المربع فتح ، وثم انقر فوق موافق.
-
تحديد موقع وثم انقر فوق المفتاح الفرعي التالي في السجل:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
من القائمة تحرير ، أشر إلى جديد، ومن ثم انقر فوق قيمة DWORD.
-
اكتب تلسفيرسيون لاسم قيمة DWORD، واضغط على Enter.
-
انقر نقراً مزدوجاً فوق تلسفيرسيون، ومن ثم انقر فوق تعديل.
-
في المربع " بيانات القيمة "، استخدم القيم التالية لإصدارات مختلفة من TLS، ومن ثم انقر فوق موافق.
إصدار TLS
قيمة DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
قم بإنهاء "محرر التسجيل"، ثم قم بإعادة تشغيل جهاز الكمبيوتر أو إعادة تشغيل الخدمة EapHost.
مزيد من المعلومات
وثائق أخرى ذات صلة:
النصائح الإرشادية للأمان من Microsoft: تحديث للتنفيذ Microsoft EAP، يمكن استخدام TLS: 14 تشرين الأول/أكتوبر عام 2014
https://support.microsoft.com/kb/2977292
