Perangkat Windows 10 tidak dapat menyambung ke lingkungan 802.1 X

Gejala

Setelah Anda menerapkan pembaruan 10 November Windows peranti, Anda tidak dapat menyambung ke jaringan WPA-2 perusahaan yang menggunakan sertifikat untuk otentikasi sisi server atau bersama (EAP TLS, PEAP, TTLS).

Penyebab

Di Windows update 10 November, EAP diperbarui untuk dukungan TLS 1.2. Ini berarti bahwa jika server memperlihatkan dukungan untuk TLS 1.2 selama negosiasi TLS, TLS 1.2 akan digunakan.

Kami telah laporan bahwa beberapa implementasi server Radius mengalami bug dengan TLS 1.2. Dalam skenario ini bug, otentikasi EAP berhasil, tetapi perhitungan MPPE kunci gagal karena PRF tidak benar (Pseudo acak fungsi) yang digunakan.

Radius server dikenal akan terpengaruh
Catatan Informasi ini didasarkan pada laporan penelitian dan mitra. Kami akan menambahkan lebih banyak rincian seperti kami Dapatkan lebih banyak data.

ServerInformasi tambahanPerbaikan yang tersedia
FreeRADIUS 2. x2.2.6 untuk semua TLS berbasis metode, 2.2.6 - 2.2.8 TTLSYa
FreeRADIUS 3. x3.0.7 untuk semua TLS berbasis metode, 3.0.7-3.0.9 TTLSYa
Radiator4.14 saat digunakan dengan Net::SSLeay 1,52 atau lebih lamaYa
Aruba ClearPass kebijakan Manajer6.5.1Ya
Kebijakan Pulse amanhttps://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089Perbaiki di bawah uji
Cisco mengidentifikasi mesin Layanan 2. x2.0.0.306 patch 1Perbaiki di bawah uji

Pemecahan masalah

Perbaikan yang disarankan

Bekerja dengan administrator TI Anda memperbarui Radius server ke versi yang sesuai yang mencakup perbaikan.

Sementara penyelesaian untuk komputer berbasis Windows yang telah menerapkan pemutakhiran bulan November

Catatan Microsoft menyarankan penggunaan TLS 1.2 untuk otentikasi EAP mana pun yang didukung. Walaupun semua masalah yang diketahui di TLS 1.0 patch yang tersedia, kami menyadari bahwa TLS 1.0 standar lama yang sudah terbukti rentan.

Untuk mengkonfigurasi versi TLS yang menggunakan EAP secara default, Anda harus menambahkan nilai DWORD yang bernama TlsVersion untuk subkunci registri berikut ini:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

Nilai kunci registri ini dapat 0xC0, 0x300, atau 0xC00.

Catatan
  • Kunci registri ini akan berlaku hanya untuk EAP TLS dan PEAP; tidak mempengaruhi perilaku TTLS.
  • Jika EAP klien dan EAP server salah sehingga yang umum tidak dikonfigurasi TLS versi, otentikasi akan gagal, dan pengguna dapat kehilangan koneksi jaringan. Oleh karena itu, sebaiknya hanya administrator IT menerapkan pengaturan ini dan bahwa pengaturan diuji sebelum penyebaran. Namun, pengguna dapat secara manual mengkonfigurasi nomor versi TLS jika server mendukung versi TLS yang bersangkutan.

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

322756 Cara membuat cadangan dan memulihkan registri di Windows


Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
  1. Klik mulai, klik Jalankan, ketik regedit di kotak buka , dan kemudian klik OK.
  2. Temukan dan kemudian klik subkunci berikut dalam registri:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
  3. Pada menu Edit, arahkan ke Baru, lalu klik Nilai DWORD.
  4. Ketik TlsVersion untuk nama nilai DWORD, dan kemudian tekan Enter.
  5. Klik kanan TlsVersion, dan kemudian klik Ubah.
  6. Di kotak data nilai , gunakan nilai-nilai berikut untuk berbagai versi dari TLS, dan kemudian klik OK.

    Versi TLSNilai DWORD
    TLS 1.00xC0
    TLS 1.10x300
    TLS 1.20xC00
  7. Keluar dari Penyunting registri, dan kemudian restart komputer atau memulai ulang layanan EapHost.

Informasi lebih lanjut

Dokumentasi terkait:

Penasihat Keamanan Microsoft: pembaruan untuk Microsoft EAP implementasi yang memungkinkan penggunaan TLS: 14 Oktober 2014
https://support.microsoft.com/en-us/kb/2977292
Properti

ID Artikel: 3121002 - Tinjauan Terakhir: 29 Jan 2017 - Revisi: 1

Tanggapan