Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Síntomas

Después de aplicar el Windows update de 10 de noviembre a un dispositivo, no se puede conectar a una red de empresa WPA-2 que utiliza certificados para la autenticación de servidor o mutua (EAP TLS, PEAP, TTLS).

Causa

En las ventanas de actualización 10 de noviembre, EAP se ha actualizado para admitir TLS 1.2. Esto implica que, si el servidor anuncia soporte para 1.2 de TLS durante la negociación TLS, se utilizará 1.2 de TLS.

Contamos con informes que algunas implementaciones de servidor Radius experimentan un error con TLS 1.2. En este escenario de error autenticación EAP correctamente pero se produce un error en el cálculo de clave MPPE debido a una incorrecta PRF (Pseudo aleatorios función) se utiliza.

Servidores RADIUS que estén afectados

Nota: Esta información se basa en los informes de investigación y socios. Agregaremos más detalles que obtenemos más datos.

Servidor

Información adicional

Revisión disponible

FreeRADIUS 2. x

2.2.6 para TLS todos según métodos, 2.2.6 - 2.2.8 para TTLS

FreeRADIUS 3. x

3.0.7 para TLS todos según métodos, 3.0.7-3.0.9 para TTLS

Radiador

4.14 cuando se utiliza con Net::SSLeay 1.52 o anterior

Administrador de directivas de ClearPass de Aruba

6.5.1

Directiva de pulso seguro

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Corregir en pruebas

Cisco identificar servicios motor 2. x

2.0.0.306 parche 1

Corregir en pruebas


Solución

Revisión recomendada

Trabajar con su administrador de TI para actualizar el servidor Radius a la versión adecuada que incluya una corrección.

Solución temporal para equipos basados en Windows que se ha aplicado la actualización de noviembre

Nota: Microsoft recomienda el uso de TLS 1.2 para la autenticación de EAP, dondequiera que se admite. Aunque todos los problemas conocidos en TLS 1.0 tienen revisiones disponibles, reconocemos que TLS 1.0 es un estándar antiguo que se ha demostrado vulnerable.

Para configurar la versión TLS que EAP utiliza de forma predeterminada, debe agregar un valor DWORD que se denomina TlsVersion a la siguiente subclave del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
El valor de esta clave del registro puede ser 0xC0, 0 x 300 o 0xC00.

Notas:

  • Esta clave del registro sólo es aplicable a EAP TLS y PEAP; no afecta el comportamiento TTLS.

  • Si el cliente EAP y servidor EAP están mal configurados por lo que no hay ningún común había configurado TLS versión, se producirá un error en la autenticación y el usuario podría perder la conexión de red. Por lo tanto, se recomienda que sólo los administradores de TI aplican esta configuración y que la configuración de probarse antes de su implementación. Sin embargo, un usuario puede configurar manualmente el número de versión TLS si el servidor admite la versión correspondiente de TLS.


Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo hacer copia de seguridad y restaurar el registro de Windows


Para agregar estos valores del registro, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.

  4. Escriba TlsVersion como nombre del valor DWORD y, a continuación, presione ENTRAR.

  5. Haga clic en TlsVersiony, a continuación, haga clic en Modificar.

  6. En el cuadro información del valor , utilice los siguientes valores para las distintas versiones de TLS y, a continuación, haga clic en Aceptar.

    Versión TLS

    Valor DWORD

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Salga del Editor del registro y reinicie el equipo o reinicie el servicio EapHost.

Más información

Documentación relacionada:

Documento informativo sobre seguridad de Microsoft: actualización para la implementación de EAP de Microsoft que permite el uso de TLS: 14 de octubre de 2014
https://support.microsoft.com/kb/2977292

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×