מאפייני הבעיה
לאחר שתחיל עדכון בנובמבר 10 החלונות למכשיר, אין אפשרות להתחבר לרשת הארגון WPA-2 היא באמצעות אישורים עבור אימות בצד השרת או הדדי (EAP-TLS, PEAP, TTLS).
הגורם
ב- Windows update בנובמבר 10, EAP עודכן לתמיכה TLS 1.2. הדבר מרמז על כך כי, אם השרת מפרסם תמיכה עבור TLS 1.2 במהלך משא ומתן של TLS, TLS 1.2 ייעשה שימוש.
יש לנו דוחות מסוימים יישומי שרת Radius להיתקל באג עם TLS 1.2. בתרחיש זה באג, אימות EAP מצליחה אך החישוב מפתח הצפנת MPPE נכשל מכיוון שנעשה שימוש PRF שגוי (פונקציה אקראית מדומה).
שרתי radius הידועה יושפעו
הערה מידע זה מבוסס על מחקר ודוחות שותף. נוסיף פרטים נוספים כפי אנו מקבלים נתונים נוספים.
שרת |
מידע נוסף |
תיקון זמין |
FreeRADIUS 2. x |
2.2.6 עבור TLS כל בסיס שיטות, 2.2.6 - 2.2.8 עבור TTLS |
כן |
FreeRADIUS 3. x |
3.0.7 עבור TLS כל בסיס שיטות, 3.0.7-3.0.9 עבור TTLS |
כן |
Radiator |
4.14 בעת שימוש עם Net::SSLeay 1.52 או מוקדמת יותר |
כן |
מנהל מדיניות ClearPass Aruba |
6.5.1 |
כן |
מדיניות פולס מאובטח |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
תקן תחת מחשב |
Cisco לזהות מנגנון שירותים 2. x |
2.0.0.306 תיקון 1 |
תקן תחת מחשב |
פתרון
תיקון מומלצים
עבודה עם מנהל ה-IT כדי לעדכן את שרת ה-Radius אל הגירסה המתאימה הכולל תיקון.
פתרון זמני לעקיפת הבעיה עבור מחשבים מבוססי Windows אשר התקינו את העדכון בנובמבר
הערה Microsoft ממליצה על השימוש ב- TLS 1.2 עבור אימות EAP בכל מקום בו הוא נתמך. למרות כל הבעיות הידועות ב- TLS 1.0 תיקונים זמינים, אנו לזהות TLS 1.0 הוא תקן ישן הוא עבר יכולות מוכחות פגיע.
כדי להגדיר את הגירסה TLS EAP המשתמש כברירת מחדל, עליך להוסיף ערך DWORD בעל בשם TlsVersion למפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
הערך של מפתח רישום זה יכול להיות 0xC0, 0x300 או 0xC00.
הערות
-
מפתח רישום זה ישימה רק על EAP-TLS PEAP; היא משפיעה על התנהגות TTLS.
-
אם הלקוח EAP לבין שרת ה-EAP שגויות ולחייב כך שיהיה משותף לא נקבעה גירסה TLS, האימות ייכשל ולאחר המשתמש עלול לאבד את חיבור הרשת. לכן, אנו ממליצים רק מנהלי IT החל הגדרות אלה להגדרות ניתן לבדוק לפני הפריסה. עם זאת, משתמש יכול להגדיר באופן ידני את מספר הגירסה של TLS אם השרת תומך את הגירסה המתאימה של TLS.
חשוב הסעיף, שיטה או המשימה הזו מכילה פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לפיכך, ודא כי אתה מבצע צעדים אלה בקפידה. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. כך תוכל לשחזר את הרישום מאוחר יותר במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב-Windows
כדי להוסיף ערכי רישום אלה, בצע את הפעולות הבאות:
-
לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.
-
אתר את מפתח המשנה הבא ברישום ולחץ עליו:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
-
הקלד TlsVersion שם של ערך ה-DWORD ולאחר מכן הקש Enter.
-
לחץ לחיצה ימנית על TlsVersionולאחר מכן לחץ על שנה.
-
בתיבה ' נתוני ערך ', השתמש בערכים הבאים עבור הגירסאות השונות של TLS, ולאחר מכן לחץ על אישור.
גירסה TLS
ערך DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
צא מעורך הרישום, ולאחר מכן הפעל מחדש את המחשב או להפעיל מחדש את שירות EapHost.
מידע נוסף
תיעוד קשור:
עלון יידוע בנושא אבטחה Microsoft: עדכון עבור מימוש Microsoft EAP המאפשר שימוש TLS: 14 באוקטובר 2014
https://support.microsoft.com/kb/2977292