Gejala
Setelah Anda menerapkan pembaruan 10 November Windows peranti, Anda tidak dapat menyambung ke jaringan WPA-2 perusahaan yang menggunakan sertifikat untuk otentikasi sisi server atau bersama (EAP TLS, PEAP, TTLS).
Penyebab
Di Windows update 10 November, EAP diperbarui untuk dukungan TLS 1.2. Ini berarti bahwa jika server memperlihatkan dukungan untuk TLS 1.2 selama negosiasi TLS, TLS 1.2 akan digunakan.
Kami telah laporan bahwa beberapa implementasi server Radius mengalami bug dengan TLS 1.2. Dalam skenario ini bug, otentikasi EAP berhasil, tetapi perhitungan MPPE kunci gagal karena PRF tidak benar (Pseudo acak fungsi) yang digunakan.
Radius server dikenal akan terpengaruh
Catatan Informasi ini didasarkan pada laporan penelitian dan mitra. Kami akan menambahkan lebih banyak rincian seperti kami Dapatkan lebih banyak data.
Server |
Informasi tambahan |
Perbaikan yang tersedia |
FreeRADIUS 2. x |
2.2.6 untuk semua TLS berbasis metode, 2.2.6 - 2.2.8 TTLS |
Ya |
FreeRADIUS 3. x |
3.0.7 untuk semua TLS berbasis metode, 3.0.7-3.0.9 TTLS |
Ya |
Radiator |
4.14 saat digunakan dengan Net::SSLeay 1,52 atau lebih lama |
Ya |
Aruba ClearPass kebijakan Manajer |
6.5.1 |
Ya |
Kebijakan Pulse aman |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Perbaiki di bawah uji |
Cisco mengidentifikasi mesin Layanan 2. x |
2.0.0.306 patch 1 |
Perbaiki di bawah uji |
Pemecahan masalah
Perbaikan yang disarankan
Bekerja dengan administrator TI Anda memperbarui Radius server ke versi yang sesuai yang mencakup perbaikan.
Sementara penyelesaian untuk komputer berbasis Windows yang telah menerapkan pemutakhiran bulan November
Catatan Microsoft menyarankan penggunaan TLS 1.2 untuk otentikasi EAP mana pun yang didukung. Walaupun semua masalah yang diketahui di TLS 1.0 patch yang tersedia, kami menyadari bahwa TLS 1.0 standar lama yang sudah terbukti rentan.
Untuk mengkonfigurasi versi TLS yang menggunakan EAP secara default, Anda harus menambahkan nilai DWORD yang bernama TlsVersion untuk subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Nilai kunci registri ini dapat 0xC0, 0x300, atau 0xC00.
Catatan
-
Kunci registri ini akan berlaku hanya untuk EAP TLS dan PEAP; tidak mempengaruhi perilaku TTLS.
-
Jika EAP klien dan EAP server salah sehingga yang umum tidak dikonfigurasi TLS versi, otentikasi akan gagal, dan pengguna dapat kehilangan koneksi jaringan. Oleh karena itu, sebaiknya hanya administrator IT menerapkan pengaturan ini dan bahwa pengaturan diuji sebelum penyebaran. Namun, pengguna dapat secara manual mengkonfigurasi nomor versi TLS jika server mendukung versi TLS yang bersangkutan.
Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi apabila Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum mengubahnya. Lalu, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Untuk menambahkan nilai registri ini, ikuti langkah-langkah berikut:
-
Klik mulai, klik Jalankan, ketik regedit di kotak buka , dan kemudian klik OK.
-
Temukan dan kemudian klik subkunci berikut dalam registri:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Pada menu Edit, arahkan ke Baru, lalu klik Nilai DWORD.
-
Ketik TlsVersion untuk nama nilai DWORD, dan kemudian tekan Enter.
-
Klik kanan TlsVersion, dan kemudian klik Ubah.
-
Di kotak data nilai , gunakan nilai-nilai berikut untuk berbagai versi dari TLS, dan kemudian klik OK.
Versi TLS
Nilai DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Keluar dari Penyunting registri, dan kemudian restart komputer atau memulai ulang layanan EapHost.
Informasi lebih lanjut
Dokumentasi terkait:
Penasihat Keamanan Microsoft: pembaruan untuk Microsoft EAP implementasi yang memungkinkan penggunaan TLS: 14 Oktober 2014
https://support.microsoft.com/kb/2977292