Sümptomid
Pärast seda, kui rakendate Windows 10 novembri värskenduse seadme, ei saa ühendust WPA-2 ettevõtte võrgus, mis kasutab serdid serveripoolse või vastastikuse autentimine (EAP TLS PEAP, paketid).
Põhjus
Windows 10 novembri värskenduse, EAP värskendatakse TLS 1.2. See tähendab, et kui server reklaamib TLS 1.2 tugi ajal TLS läbirääkimised, TLS 1.2 ei kasutata.Meil on mõned Radius serveri rakendused tekkida TLS 1.2 bug aruanded. Viga sel EAP autentimine õnnestub, kuid MPPE võti arvutamine nurjub, kuna kasutatakse vale PRF (Pseudo juhuslik funktsioon).
Teada, et mõjutada RADIUS serverid
Märkus. See teave põhineb uurimis-ja partnerite kohta. Lisame rohkem üksikasju, kui saame rohkem andmeid.
|
Server |
Lisateave |
Lahendus on saadaval |
|
FreeRADIUS 2. x |
2.2.6 kõik TLS põhineb meetoditest 2.2.6 - 2.2.8 paketid |
Jah |
|
FreeRADIUS 3. x |
3.0.7 kõik TLS põhineb meetodeid, 3.0.7-3.0.9 paketid |
Jah |
|
Radiaator |
4.14 kasutamisel Net::SSLeay 1,52 või varasem |
Jah |
|
Aruba ClearPass haldur |
6.5.1 |
Jah |
|
Turvaline impulsi poliitika |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Katse lahendada |
|
Cisco tuvastada teenuse mootor 2. x |
2.0.0.306 patch 1 |
Katse lahendada |
Lahendus
Soovitatav lahendus
Töö Radius Serveri värskendamiseks sobiv versioon, mis sisaldab fix IT administraator.
Ajutine lahendus on rakendatud novembris värskenduse Windowsi-põhistes arvutites
Märkus. Microsoft soovitab kasutada TLS 1.2 EAP autentimine võimaluse korral on toetatud. Kuigi kõik teadaolevad probleemid TLS 1.0 on saadaval Paigad, me mõistame TLS 1.0 on vanem standard, mis on veel haavatavad.Konfigureerige vaikimisi kasutab EAP TLS-i versiooni, peate lisama DWORD-väärtuse nimega TlsVersion järgmises registri alamvõtmes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13Selle registrivõtme väärtus võib olla 0xC0, 0x300 või 0xC00.Märkused
-
See registrivõti on mõeldud ainult EAP TLS ja PEAP; See ei mõjuta paketid käitumist.
-
Kui EAP kliendi ja serveri EAP on valesti konfigureeritud nii, et puudub ühine konfigureeritud TLS-i versiooni, autentimine nurjub ja kasutaja võib kaotada võrguühendus. Seetõttu soovitame ainult IT-ülemad nende sätete rakendamiseks ja sätted katsetada enne juurutamine. Siiski kasutaja saab käsitsi konfigureerida TLS-i versiooni number kui server toetab TLS-i versioon.
NB! See sektsioon, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Seega veenduge, et järgite neid samme hoolikalt. Lisakaitseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis artikli kuvamiseks järgmist artiklinumbrit:322756 Kuidas varundada ja taastada Windowsi registritNende registriväärtuste lisamiseks toimige järgmiselt.
-
Klõpsake nuppu Start, käsku Käivita, tippige väljale Ava käsk regedit ja klõpsake OK.
-
Leidke ja klõpsake registrist järgmine alamvõti:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
-
Menüü Redigeeri käsk Uusja klõpsake DWORD-väärtus.
-
Tüüp TlsVersion nimeks DWORD-väärtus ja vajutage sisestusklahvi Enter.
-
Paremklõpsake TlsVersionja seejärel klõpsake nuppu muuta.
-
Väljale Value data kasutada erinevate versioonide TLS järgmistest väärtustest ja klõpsake OK.
TLS-i versioon
DWORD-väärtus
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Väljuge registriredaktorist, ja seejärel taaskäivitage arvuti või käivitage teenus EapHost.
Lisateabe saamiseks
Seotud dokumendid:Microsofti turvabülletään: värskendus Microsoft EAP rakendamist, mis võimaldab kasutada TLS: 14 oktoober 2014https://support.microsoft.com/kb/2977292
