Les périphériques Windows 10 ne peut pas se connecter à un environnement X 802.1

Symptômes

Après l’application de mise à jour de Windows 10 novembre à un périphérique, vous ne peut pas se connecter à un réseau WPA-2 entreprise qui utilise des certificats pour l’authentification mutuelle ou côté serveur (EAP TLS, PEAP et TTLS).

Cause

Dans les fenêtres de mise à jour par le 10 novembre, EAP a été mis à jour pour prendre en charge TLS 1.2. Cela signifie que, si le serveur annonce la prise en charge de TLS 1.2 pendant la négociation TLS, TLS 1.2 sera utilisée.

Nous avons des rapports que certaines implémentations de serveurs Radius rencontrent un bogue avec TLS 1.2. Dans ce scénario de bogue, l’authentification EAP réussit, mais le calcul de la clé de cryptage MPPE échoue car un PRF incorrect (Pseudo, fonction aléatoire) est utilisé.

Serveurs RADIUS affectés
Remarque Ces informations sont basées sur les rapports de recherche et de ses partenaires. Nous allons ajouter plus de détails à mesure que nous avons plus de données.

ServeurInformations supplémentairesCorrectif disponible
FreeRADIUS, 2. x2.2.6 pour TLS toutes les méthodes, 2.2.6 - 2.2.8 pour TTLS la baseOui
FreeRADIUS, 3. x3.0.7 pour tous les TLS basé méthodes 3.0.7-3.0.9 pour TTLSOui
RADIATEUR4.14 lorsqu’il est utilisé avec Net::SSLeay 1.52 ou antérieureOui
Gestionnaire de stratégie d’Aruba ClearPass6.5.1Oui
Stratégie d’impulsion sécuriséhttps://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089Correctif en cours de test
Identifier les Services moteur 2 Cisco. x2.0.0.306 correctif 1Correctif en cours de test

Résolution

Résolution recommandée

Travailler avec votre administrateur informatique pour mettre à jour le serveur Radius à la version appropriée qui inclut un correctif.

Solution de contournement temporaire pour les ordinateurs Windows qui ont appliqué la mise à jour de novembre

Remarque Microsoft recommande l’utilisation de TLS 1.2 pour l’authentification EAP, partout où il est pris en charge. Bien que tous les problèmes connus dans TLS 1.0 ont des correctifs disponibles, nous reconnaissons que TLS 1.0 est une ancienne norme est prouvée vulnérable.

Pour configurer la version TLS EAP utilise par défaut, vous devez ajouter une valeur DWORD qui a appelé le TlsVersion à la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

La valeur de cette clé de Registre peut être 0xC0, 0 x 300 ou 0xC00.

Remarques
  • Cette clé de Registre est uniquement applicable aux EAP TLS et PEAP ; Il n’affecte pas le comportement TTLS.
  • Si le client EAP et le serveur EAP sont mal configurés afin qu’il soit aucun commun ne configuré version TLS, l’authentification échoue et l’utilisateur risque de perdre la connexion réseau. Par conséquent, nous recommandons que seuls les administrateurs informatiques s’appliquent ces paramètres et que les paramètres être testés avant le déploiement. Toutefois, un utilisateur peut configurer manuellement le numéro de version TLS si le serveur prend en charge la version correspondante de TLS.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

322756 comment sauvegarder et restaurer le Registre dans Windows


Pour ajouter ces valeurs de Registre, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit dans la zone Ouvrir , puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé suivante dans le Registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
  3. Dans le menu Edition , pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez TlsVersion pour le nom de la valeur DWORD, puis appuyez sur ENTRÉE.
  5. Cliquez sur TlsVersion, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur , utilisez les valeurs suivantes pour les différentes versions de TLS, puis cliquez sur OK.

    Version TLSValeur DWORD
    TLS 1.00xC0
    TLS 1.10x300
    TLS 1.20xC00
  7. Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur ou redémarrer le service EapHost.

Plus d'informations

Documentation connexe :

Avis de sécurité Microsoft : mise à jour pour l’implémentation de Microsoft EAP qui permet l’utilisation de TLS : le 14 octobre 2014.
https://support.microsoft.com/en-us/kb/2977292
Propriétés

ID d'article : 3121002 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires