Příznaky
Po instalaci systému Windows update 10. listopadu do zařízení, nemůže připojit k síti WPA 2 organizace, která používá certifikáty pro server-side nebo vzájemné ověření (EAP protokol TLS, PEAP, IGNORUJÍ).
Příčina
V systému Windows update 10. listopadu, EAP byla aktualizována na podporu TLS 1.2. To znamená, že pokud server inzeruje během vyjednávání TLS podporu TLS 1.2, TLS 1.2 bude použit.
Máme zprávy, že některé implementace serveru Radius dochází chyba s TLS 1.2. V tomto scénáři chyby ověřování pomocí protokolu EAP úspěšný, avšak výpočet klíče šifrování MPPE se nezdaří, protože se používá nesprávné PRF (Pseudo Random funkce).
Ovlivnění servery RADIUS
Poznámka: Tyto informace jsou založeny na výzkumu a partnera. Přidáme další podrobnosti, jak jsme získat více údajů.
Server |
Další informace |
Oprava je k dispozici |
FreeRADIUS 2. x |
2.2.6 pro všechny TLS na základě metody 2.2.6 - 2.2.8 pro TTL |
Ano |
FreeRADIUS 3. x |
3.0.7 pro všechny TLS na základě metody 3.0.7-3.0.9 pro TTL |
Ano |
Chladič |
4.14 při použití s Net::SSLeay 1,52 nebo starší |
Ano |
Správci zásad Aruby ClearPass |
6.5.1 |
Ano |
Pulsní zásad zabezpečení |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Oprava při zkoušce. |
Cisco identifikaci služby motoru 2. x |
2.0.0.306 oprava 1 |
Oprava při zkoušce. |
Řešení
Doporučená oprava
Práce se správcem IT aktualizovat odpovídající verzi, která obsahuje také Radius server.
Dočasné řešení pro počítače se systémy Windows, které jste použili aktualizaci listopadu
Poznámka: Společnost Microsoft doporučuje použití TLS 1.2 pro ověřování pomocí protokolu EAP, všude, kde je podporováno. Ačkoli všechny známé problémy v TLS 1.0 oprav k dispozici, jsme si vědomi, že TLS 1.0 je starší standard, který se neprokáže ohrožen.
Chcete-li konfigurovat protokol EAP používá ve výchozím nastavení protokol TLS verze, je nutné přidat hodnotu DWORD, který je s názvem TlsVersion do následujícího podklíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Hodnota tohoto klíče registru může být 0xC0, 0x300 nebo 0xC00.
Poznámky
-
Tento klíč registru je použitelný pouze pro TLS protokolu EAP a PEAP; neovlivňuje chování IGNORUJÍ.
-
Pokud klienta protokolu EAP a ověřování EAP serveru jsou správně nakonfigurován tak, aby bylo nakonfigurováno žádné společné TLS verze, ověření se nezdaří a uživatel může dojít ke ztrátě připojení k síti. Proto doporučujeme, aby tato nastavení použít pouze správci IT a že nastavení být testovány před nasazením. Však uživatel můžete ručně konfigurovat číslo verze TLS Pokud server podporuje odpovídající verze TLS.
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows
Chcete-li přidat tyto hodnoty registru, postupujte takto:
-
Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
-
Vyhledejte a klepněte na následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
V nabídce Úpravy přejděte na příkaz Nový a klepněte na příkaz Hodnota DWORD.
-
Napište TlsVersion pro název hodnoty DWORD a stiskněte klávesu Enter.
-
TlsVersionklepněte pravým tlačítkem myši a potom klepněte na příkaz změnit.
-
V poli Údaj hodnoty pro různé verze TLS pomocí následujících hodnot a potom klepněte na tlačítko OK.
Verze protokolu TLS
Hodnota DWORD
PROTOKOL TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Ukončete Editor registru a potom restartujte počítač nebo restartujte službu EapHost.
Další informace
Související dokumentace:
Informační zpravodaj zabezpečení společnosti Microsoft: aktualizace pro implementaci Microsoft EAP, která umožňuje použití TLS: 14 říjen 2014
https://support.microsoft.com/kb/2977292