Sign in with Microsoft
Sign in or create an account.

מאפייני הבעיה

לאחר שתחיל עדכון בנובמבר 10 החלונות למכשיר, אין אפשרות להתחבר לרשת הארגון WPA-2 היא באמצעות אישורים עבור אימות בצד השרת או הדדי (EAP-TLS, PEAP, TTLS).

הגורם

ב- Windows update בנובמבר 10, EAP עודכן לתמיכה TLS 1.2. הדבר מרמז על כך כי, אם השרת מפרסם תמיכה עבור TLS 1.2 במהלך משא ומתן של TLS, TLS 1.2 ייעשה שימוש.

יש לנו דוחות מסוימים יישומי שרת Radius להיתקל באג עם TLS 1.2. בתרחיש זה באג, אימות EAP מצליחה אך החישוב מפתח הצפנת MPPE נכשל מכיוון שנעשה שימוש PRF שגוי (פונקציה אקראית מדומה).

שרתי radius הידועה יושפעו

הערה מידע זה מבוסס על מחקר ודוחות שותף. נוסיף פרטים נוספים כפי אנו מקבלים נתונים נוספים.

שרת

מידע נוסף

תיקון זמין

FreeRADIUS 2. x

2.2.6 עבור TLS כל בסיס שיטות, 2.2.6 - 2.2.8 עבור TTLS

כן

FreeRADIUS 3. x

3.0.7 עבור TLS כל בסיס שיטות, 3.0.7-3.0.9 עבור TTLS

כן

Radiator

4.14 בעת שימוש עם Net::SSLeay 1.52 או מוקדמת יותר

כן

מנהל מדיניות ClearPass Aruba

6.5.1

כן

מדיניות פולס מאובטח

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

תקן תחת מחשב

Cisco לזהות מנגנון שירותים 2. x

2.0.0.306 תיקון 1

תקן תחת מחשב


פתרון

תיקון מומלצים

עבודה עם מנהל ה-IT כדי לעדכן את שרת ה-Radius אל הגירסה המתאימה הכולל תיקון.

פתרון זמני לעקיפת הבעיה עבור מחשבים מבוססי Windows אשר התקינו את העדכון בנובמבר

הערה Microsoft ממליצה על השימוש ב- TLS 1.2 עבור אימות EAP בכל מקום בו הוא נתמך. למרות כל הבעיות הידועות ב- TLS 1.0 תיקונים זמינים, אנו לזהות TLS 1.0 הוא תקן ישן הוא עבר יכולות מוכחות פגיע.

כדי להגדיר את הגירסה TLS EAP המשתמש כברירת מחדל, עליך להוסיף ערך DWORD בעל בשם TlsVersion למפתח המשנה הבא של הרישום:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
הערך של מפתח רישום זה יכול להיות 0xC0, 0x300 או 0xC00.

הערות

  • מפתח רישום זה ישימה רק על EAP-TLS PEAP; היא משפיעה על התנהגות TTLS.

  • אם הלקוח EAP לבין שרת ה-EAP שגויות ולחייב כך שיהיה משותף לא נקבעה גירסה TLS, האימות ייכשל ולאחר המשתמש עלול לאבד את חיבור הרשת. לכן, אנו ממליצים רק מנהלי IT החל הגדרות אלה להגדרות ניתן לבדוק לפני הפריסה. עם זאת, משתמש יכול להגדיר באופן ידני את מספר הגירסה של TLS אם השרת תומך את הגירסה המתאימה של TLS.


חשוב הסעיף, שיטה או המשימה הזו מכילה פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לפיכך, ודא כי אתה מבצע צעדים אלה בקפידה. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. כך תוכל לשחזר את הרישום מאוחר יותר במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

322756 כיצד לגבות ולשחזר את הרישום ב-Windows


כדי להוסיף ערכי רישום אלה, בצע את הפעולות הבאות:

  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.

  2. אתר את מפתח המשנה הבא ברישום ולחץ עליו:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.

  4. הקלד TlsVersion שם של ערך ה-DWORD ולאחר מכן הקש Enter.

  5. לחץ לחיצה ימנית על TlsVersionולאחר מכן לחץ על שנה.

  6. בתיבה ' נתוני ערך ', השתמש בערכים הבאים עבור הגירסאות השונות של TLS, ולאחר מכן לחץ על אישור.

    גירסה TLS

    ערך DWORD

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. צא מעורך הרישום, ולאחר מכן הפעל מחדש את המחשב או להפעיל מחדש את שירות EapHost.

מידע נוסף

תיעוד קשור:

עלון יידוע בנושא אבטחה Microsoft: עדכון עבור מימוש Microsoft EAP המאפשר שימוש TLS: 14 באוקטובר 2014
https://support.microsoft.com/kb/2977292

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×