Симптоми

След като приложите Windows 10 ноември актуализиране на устройство, не може да се свърже с WPA-2 корпоративна мрежа, която използва сертификат за удостоверяване на сървъра или взаимно (EAP-TLS, PEAP, TTLS).

Причина

В Windows update 10 ноември, EAP е актуализиран за поддръжка TLS 1.2. Това означава, че ако сървърът представя поддръжка за TLS 1.2 през TLS предаване, TLS 1.2 ще се използва.

В момента има доклади, че някои реализации Radius сървър възникне грешка с TLS 1.2. В този случай бъг EAP удостоверяване е успешно, но MPPE ключ изчисляване не успява, защото се използва неправилен PRF (псевдо произволна функция).

RADIUS сървъри, да бъдат засегнати

Забележка: Тази информация се основава на изследвания и партньори. Ние ще добавите подробности като вземем повече данни.

Сървър

Допълнителна информация

Предлага решение

FreeRADIUS 2. x

2.2.6 за всички TLS базирани методи 2.2.6 - 2.2.8 за TTLS

Да

FreeRADIUS 3. x

3.0.7 за всички TLS базирани методи, 3.0.7-3.0.9 за TTLS

Да

Радиатор

4.14, когато се използва с Net::SSLeay 1.52 или по-ранна

Да

Аруба ClearPass Диспечер на правила

6.5.1

Да

Импулсно правила защитен

Решаване на тест

Cisco идентифицира услуги двигател 2. x

2.0.0.306 Кръпката 1

Решаване на тест


Решение

Препоръчителни корекция

Работа с вашия ИТ администратор, за да актуализира Radius сървър към съответната версия, която включва решение.

Временно решение за компютри, базирани на Windows, които сте приложили ноември актуализация

Забележка: Microsoft препоръчва използването на TLS 1.2 за EAP удостоверяване, когато се поддържа. Въпреки че всички известни проблеми в TLS 1.0 налични софтуерни корекции, сме наясно, че TLS 1.0 е по-стар стандарт е доказано уязвими.

За да конфигурирате версия TLS EAP използва по подразбиране, трябва да добавите DWORD стойност, която е с име TlsVersion към следния подключ на системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Стойността на този ключ на системния регистър може да бъде 0xC0, 0x300 или 0xC00.

Бележки

  • Този ключ на системния регистър е приложим само за EAP TLS и PEAP; Той не засяга TTLS поведение.

  • Ако EAP клиента и сървъра на EAP са неправилно, така че няма общо конфигуриран TLS версия, ще бъде неуспешно удостоверяване и потребителят може да загуби мрежовата връзка. Затова препоръчваме само системните администратори да приложите тези настройки и настройки да бъдат тествани преди разполагане. Обаче потребител да конфигурирате ръчно TLS версията ако сървърът поддържа съответната версия TLS.


Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:




За да добавите тези стойности в системния регистър, изпълнете следните стъпки:

  1. Щракнете върху Старт, щракнете върху изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ в системния регистър:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. В менюто Редактиране посочете Създайи след това щракнете върху DWORD стойност.

  4. Въведете TlsVersion за името на стойността DWORD и натиснете Enter.

  5. С десния бутон върху TlsVersionи след това щракнете върху Промяна.

  6. В полето за стойност Използвайте следните стойности за различните версии на TLS и след това щракнете върху OK.

    TLS версия

    DWORD стойност

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Затворете редактора на системния регистър и след това рестартирайте компютъра или рестартирайте услугата EapHost.

Допълнителна информация

Свързани документи:

Съобщението за сигурността на Microsoft: Актуализация за Microsoft EAP изпълнение, която позволява използването на TLS: 14 октомври 2014 г.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Доколко сте доволни от качеството на превода?
Какво е повлияло на вашия потребителски опит?

Благодарим ви за обратната връзка!

×