現象
Windows10 の 11 月更新プログラムを適用したデバイスは、サーバー側または相互認証 (EAP-TLS を PEAP、TTLS) の証明書を使用している WPA 2 のエンタープライズ ネットワークに接続することはできません。
原因
Windows10 の 11 月の更新プログラムでは、TLS 1.2 をサポートするように EAP が更新されました。これは、場合は、サーバーは、TLS のネゴシエーション中に TLS 1.2 のサポートをアドバタイズ、TLS 1.2 を使用することを意味します。
レポートがいくつかの Radius サーバー実装が TLS 1.2 でバグを発生することがあります。このバグのシナリオでは、EAP 認証が成功したが、不適切な PRF (擬似乱数関数) が使用されているために、MPPE キーの計算が失敗しました。
Radius サーバーが既知の影響を受ける
注:
この情報を基にレポートを研究パートナーです。につれてより多くのデータの詳細を追加します。
サーバー |
追加情報 |
解決する修正プログラム |
FreeRADIUS 2.x |
2.2.6 すべての TLS ベースのメソッド、2.2.6 の TTL の 2.2.8 |
[はい] |
FreeRADIUS 3.x |
3.0.7 すべての TLS ベースのメソッドでは、TTL の 3.0.7-3.0.9 |
[はい] |
Radiator |
4.14 Net::SSLeay 1.52 または以前のバージョンを使用する場合 |
[はい] |
Aruba ClearPass Policy Manager |
6.5.1 |
[はい] |
Pulse Policy Secure |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
テストを修正します。 |
Cisco Identify Services Engine 2.x |
修正プログラム 1 の 2.0.0.306 |
テストを修正します。 |
解決策
推奨される修正方法
Radius サーバーを修正プログラムを含む適切なバージョンに更新するための IT 管理者と協力します。
11 月の更新プログラムを適用している Windows ベースのコンピューターの一時的な回避策
注: サポートされている任意の場所に、EAP 認証に TLS 1.2 の使用を推奨します。TLS 1.0 のすべての既知の問題では、利用可能なパッチがありますが、TLS 1.0 の脆弱性が実証済みですが、以前の標準であるを認識しています。
既定で EAP が使用する TLS バージョンを構成するには、次のレジストリ サブキーにTlsVersion という DWORD 値を追加する必要があります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
このレジストリ キーの値は、0xC0 、0x300, または 0xC00 のいずれかになります。
注:
-
このレジストリ キーは EAP-TLS と PEAP にのみ適用されます。TTLS の動作には影響しません。
-
EAP クライアントと EAP サーバーが正しく構成されていないがあるようにする場合一般的に TLS のバージョンが構成されていない、認証が失敗し、ユーザーがネットワーク接続を失う可能性があります。そのため、IT 管理者のみがこれらの設定を適用して設定は、展開する前にテストすることをお勧めします。ただし、ユーザー手動で構成できます TLS のバージョン番号、サーバーに対応する TLS のバージョンがサポートしている場合。
重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
これらのレジストリ値を追加するには、次の手順を実行します。
-
[スタート] ボタン、[実行] をクリックして、 [名前] ボックスに regedit と入力し、し、[ OK] をクリックします。
-
見つけて、レジストリの次のサブキーをクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
[編集] メニューで、[新規] をポイントし、[DWORD 値] をクリックします。
-
DWORD 値の名前のTlsVersionを入力し、Enter キーを押します。
-
TlsVersionを右クリックし、[変更] をクリックします。
-
[値データ] ボックスで、次の値を使用して、TLS のさまざまなバージョンのとし、[ OK] をクリックします。
TLS のバージョン
DWORD 値
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
レジストリ エディターを終了し、コンピューターを再起動か EapHost サービスを再起動します。
詳細
関連ドキュメント:
マイクロソフト セキュリティ アドバイザリ: TLS の使用を有効にする Microsoft の EAP 実装の更新: 2014 年 10 月 14 日
https://support.microsoft.com/kb/2977292