Συμπτώματα

Αφού εφαρμόσετε το Windows 10 Νοεμβρίου ενημερωμένης έκδοσης σε μια συσκευή, δεν μπορείτε να συνδεθείτε σε ένα δίκτυο WPA-2 Enterprise που χρησιμοποιεί πιστοποιητικά για έλεγχο ταυτότητας διακομιστή ή αμοιβαία (EAP TLS PEAP, TTLS).

Αιτία

Στο Windows update 10 Νοεμβρίου, EAP ενημερώθηκε για την υποστήριξη TLS 1.2. Αυτό σημαίνει ότι, εάν ο διακομιστής διαφημίζει υποστήριξη για TLS 1.2 κατά τη διαπραγμάτευση TLS, TLS 1.2 θα χρησιμοποιηθεί.

Έχουμε αναφορές ότι ορισμένες εφαρμογές διακομιστή Radius αντιμετωπίσετε ένα σφάλμα με το TLS 1.2. Σε αυτό το σενάριο σφάλμα, ο έλεγχος ταυτότητας EAP είναι επιτυχής αλλά ο υπολογισμός κλειδί MPPE αποτυγχάνει, επειδή χρησιμοποιείται ένα εσφαλμένο PRF (τυχαία λειτουργία ψευδο).

Διακομιστές RADIUS που είναι γνωστό ότι επηρεάζονται

Σημείωση Αυτές οι πληροφορίες είναι βασισμένη σε εκθέσεις έρευνας και συνεργάτη. Θα προσθέσουμε περισσότερες λεπτομέρειες όπως λαμβάνουμε περισσότερα δεδομένα.

Διακομιστή

Πρόσθετες πληροφορίες

Ενημέρωση κώδικα είναι διαθέσιμη

FreeRADIUS 2. x

2.2.6 για όλα TLS με βάση μεθόδους, 2.2.6 - 2.2.8 για TTLS

Ναι

FreeRADIUS 3. x

3.0.7 για όλα TLS με βάση μεθόδους, 3.0.7-3.0.9 για TTLS

Ναι

Θερμαντήρας

4.14, όταν χρησιμοποιείται με Net::SSLeay 1.52 ή προηγούμενη έκδοση

Ναι

Διαχείριση πολιτικής ClearPass Αρούμπα

6.5.1

Ναι

Παλμός πολιτικής ασφαλείας

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Επιδιόρθωση υπό δοκιμή

Cisco αναγνώριση υπηρεσιών κινητήρα 2. x

2.0.0.306 της ενημερωμένης έκδοσης κώδικα 1

Επιδιόρθωση υπό δοκιμή


Προτεινόμενη αντιμετώπιση

Συνιστώμενη ενημέρωση κώδικα

Συνεργαστείτε με το διαχειριστή IT για να ενημερώσετε το διακομιστή Radius την κατάλληλη έκδοση που περιλαμβάνει μια ενημέρωση κώδικα.

Προσωρινή λύση για υπολογιστές που βασίζονται σε Windows που έχετε εφαρμόσει την ενημερωμένη έκδοση του Νοεμβρίου

Σημείωση Η Microsoft συνιστά τη χρήση του TLS 1.2 για έλεγχο ταυτότητας EAP, όπου υποστηρίζεται. Παρόλο που όλα τα γνωστά ζητήματα TLS 1.0 έχει ενημερωμένες εκδόσεις κώδικα, Αντιλαμβανόμαστε ότι το TLS 1.0 είναι ένα παλαιότερο πρότυπο που έχει αποδειχθεί ευάλωτος.

Για να ρυθμίσετε την έκδοση TLS που χρησιμοποιεί EAP από προεπιλογή, πρέπει να προσθέσετε μια τιμή DWORD που έχει το όνομα TlsVersion στο ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Η τιμή αυτού του κλειδιού μητρώου να είναι 0xC0, 0x300 ή 0xC00.

Σημειώσεις

  • Αυτό το κλειδί μητρώου είναι εφαρμόσιμη μόνο EAP TLS PEAP- δεν επηρεάζει τη συμπεριφορά TTLS.

  • Εάν ο υπολογιστής-πελάτης EAP και ο διακομιστής EAP είναι λανθασμένη, έτσι ώστε να υπάρχει καμία κοινή ρυθμισμένη έκδοση TLS, ο έλεγχος ταυτότητας θα αποτύχει και ο χρήστης μπορεί να χάσει τη σύνδεση δικτύου. Επομένως, συνιστούμε να ώστε μόνο οι διαχειριστές IT μπορούν να εφαρμόσετε αυτές τις ρυθμίσεις και ότι οι ρυθμίσεις ελέγχονται πριν από την ανάπτυξη. Ωστόσο, ένας χρήστης να ρυθμίσετε με μη αυτόματο τρόπο τον αριθμό έκδοσης του TLS εάν ο διακομιστής υποστηρίζει την αντίστοιχη έκδοση του TLS.


Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Για να προσθέσετε αυτές τις τιμές μητρώου, ακολουθήστε τα εξής βήματα:

  1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

  2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί στο μητρώο:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. Στο μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.

  4. Πληκτρολογήστε TlsVersion για το όνομα της τιμής DWORD και, στη συνέχεια, πιέστε το πλήκτρο Enter.

  5. Κάντε δεξιό κλικ στο TlsVersionκαι, στη συνέχεια, κάντε κλικ στο κουμπί Τροποποίηση.

  6. Στο πλαίσιο " δεδομένα τιμής ", χρησιμοποιήστε τις ακόλουθες τιμές για τις διάφορες εκδόσεις του TLS και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

    Έκδοση TLS

    Η τιμή DWORD

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Κλείστε τον Επεξεργαστή μητρώου, και στη συνέχεια κάντε επανεκκίνηση του υπολογιστή ή κάντε επανεκκίνηση της υπηρεσίας EapHost.

Περισσότερες πληροφορίες

Σχετική τεκμηρίωση:

Συμβουλευτικό δελτίο ασφαλείας της Microsoft: ενημέρωση για την υλοποίηση της Microsoft EAP, η οποία επιτρέπει τη χρήση TLS: 14 Οκτωβρίου 2014
https://support.microsoft.com/kb/2977292

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με την ποιότητα της μετάφρασης;
Τι επηρέασε την εμπειρία σας;

Σας ευχαριστούμε για τα σχόλιά σας!

×