Sintomi
Dopo l'applicazione a un dispositivo dell'aggiornamento di novembre di Windows 10, non è possibile connettersi a una rete aziendale WPA-2 che utilizza certificati per l'autenticazione sul lato server o reciproca (EAP TLS, PEAP, TTLS).
Causa
Nelle finestre aggiornamento 10 novembre, EAP è stato aggiornato per supportare TLS 1.2. Ciò implica che, se il server annuncia il supporto per TLS 1.2 durante la negoziazione TLS, verrà utilizzato TLS 1.2.
Sono disponibili report che alcune implementazioni di server Radius esperienza con TLS 1.2 un bug. In questo scenario di bug, autenticazione EAP, ma il calcolo della chiave di crittografia MPPE non poiché viene utilizzato un PRF non corretto (funzione di Pseudo casuale).
Server RADIUS interessato
Nota: Queste informazioni si basano su rapporti di ricerca e partner. Aggiungeremo più dettagli man mano più dati.
Server |
Informazioni aggiuntive |
Correzione disponibile |
FreeRADIUS 2. x |
2.2.6 per TLS tutti basati su metodi, 2.2.6 - 2.2.8 per TTLS |
Sì |
FreeRADIUS 3. x |
3.0.7 per TLS tutti basati su metodi, 3.0.7-3.0.9 per TTLS |
Sì |
Radiatore |
4.14 quando utilizzato con 1,52 Net::SSLeay o precedente |
Sì |
Gestione dei criteri di ClearPass di Aruba |
6.5.1 |
Sì |
Criteri di impulsi protetto |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Correggere in fase di test |
Cisco identificare servizi motore 2. x |
2.0.0.306 patch 1 |
Correggere in fase di test |
Risoluzione
Correzione consigliata
Contattare l'amministratore IT per aggiornare il server Radius per la versione appropriata che includa la correzione.
Soluzione temporanea per i computer basati su Windows che hanno applicato l'aggiornamento di novembre
Nota: Microsoft consiglia l'utilizzo di TLS 1.2 per l'autenticazione EAP ovunque è supportato. Sebbene tutti i problemi noti di TLS 1.0 sono patch disponibili, riconosciamo che TLS 1.0 è uno standard meno recente che è stato dimostrato vulnerabile.
Per configurare la versione TLS che EAP utilizza per impostazione predefinita, è necessario aggiungere un valore DWORD con nome TlsVersion nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Il valore di questa chiave del Registro di sistema può essere 0xC0, 0x300 o 0xC00.
Note
-
Questa chiave del Registro di sistema è applicabile solo a EAP TLS e PEAP; esso non influenza il comportamento TTLS.
-
Se il client EAP e il server EAP non sono configurate correttamente in modo da non comune configurato versione TLS autenticazione avrà esito negativo e l'utente potrebbe perdere la connessione di rete. Pertanto, è consigliabile che solo gli amministratori IT applicano queste impostazioni e verificare che le impostazioni prima della distribuzione. Tuttavia, un utente può configurare manualmente il numero di versione TLS se il server supporta la versione corrispondente di TLS.
Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows
Per aggiungere questi valori del Registro di sistema, attenersi alla seguente procedura:
-
Fare clic su Start, scegliere Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
-
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Dal menu Modifica , scegliere Nuovoe quindi fare clic su Valore DWORD.
-
Digitare il nome del valore DWORD TlsVersion e quindi premere INVIO.
-
Destro TlsVersione quindi fare clic su Modifica.
-
Nella casella dati valore , utilizzare i seguenti valori per le diverse versioni di TLS e quindi fare clic su OK.
Versione TLS
Valore DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Uscire dall'Editor del Registro di sistema, quindi riavviare il computer o riavviare il servizio EapHost.
Ulteriori informazioni
Documentazione correlata:
Advisory Microsoft sulla sicurezza: aggiornamento per l'implementazione di EAP Microsoft che consente l'utilizzo di TLS: 14 ottobre 2014
https://support.microsoft.com/kb/2977292