メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

現象

Windows10 の 11 月更新プログラムを適用したデバイスは、サーバー側または相互認証 (EAP-TLS を PEAP、TTLS) の証明書を使用している WPA 2 のエンタープライズ ネットワークに接続することはできません。

原因

Windows10 の 11 月の更新プログラムでは、TLS 1.2 をサポートするように EAP が更新されました。これは、場合は、サーバーは、TLS のネゴシエーション中に TLS 1.2 のサポートをアドバタイズ、TLS 1.2 を使用することを意味します。

レポートがいくつかの Radius サーバー実装が TLS 1.2 でバグを発生することがあります。このバグのシナリオでは、EAP 認証が成功したが、不適切な PRF (擬似乱数関数) が使用されているために、MPPE キーの計算が失敗しました。

Radius サーバーが既知の影響を受ける

注: この情報を基にレポートを研究パートナーです。につれてより多くのデータの詳細を追加します。

サーバー

追加情報

解決する修正プログラム

FreeRADIUS 2.x

2.2.6 すべての TLS ベースのメソッド、2.2.6 の TTL の 2.2.8

[はい]

FreeRADIUS 3.x

3.0.7 すべての TLS ベースのメソッドでは、TTL の 3.0.7-3.0.9

[はい]

Radiator

4.14 Net::SSLeay 1.52 または以前のバージョンを使用する場合

[はい]

Aruba ClearPass Policy Manager

6.5.1

[はい]

Pulse Policy Secure

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

テストを修正します。

Cisco Identify Services Engine 2.x

修正プログラム 1 の 2.0.0.306

テストを修正します。


解決策

推奨される修正方法

Radius サーバーを修正プログラムを含む適切なバージョンに更新するための IT 管理者と協力します。

11 月の更新プログラムを適用している Windows ベースのコンピューターの一時的な回避策

注: サポートされている任意の場所に、EAP 認証に TLS 1.2 の使用を推奨します。TLS 1.0 のすべての既知の問題では、利用可能なパッチがありますが、TLS 1.0 の脆弱性が実証済みですが、以前の標準であるを認識しています。

既定で EAP が使用する TLS バージョンを構成するには、次のレジストリ サブキーにTlsVersion という DWORD 値を追加する必要があります。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
このレジストリ キーの値は、0xC0 、0x300, または 0xC00 のいずれかになります。

注:

  • このレジストリ キーは EAP-TLS と PEAP にのみ適用されます。TTLS の動作には影響しません。

  • EAP クライアントと EAP サーバーが正しく構成されていないがあるようにする場合一般的に TLS のバージョンが構成されていない、認証が失敗し、ユーザーがネットワーク接続を失う可能性があります。そのため、IT 管理者のみがこれらの設定を適用して設定は、展開する前にテストすることをお勧めします。ただし、ユーザー手動で構成できます TLS のバージョン番号、サーバーに対応する TLS のバージョンがサポートしている場合。


重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法


これらのレジストリ値を追加するには、次の手順を実行します。

  1. [スタート] ボタン、[実行] をクリックして、 [名前] ボックスに regedit と入力し、し、[ OK] をクリックします。

  2. 見つけて、レジストリの次のサブキーをクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. [編集] メニューで、[新規] をポイントし、[DWORD 値] をクリックします。

  4. DWORD 値の名前のTlsVersionを入力し、Enter キーを押します。

  5. TlsVersionを右クリックし、[変更] をクリックします。

  6. [値データ] ボックスで、次の値を使用して、TLS のさまざまなバージョンのとし、[ OK] をクリックします。

    TLS のバージョン

    DWORD 値

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. レジストリ エディターを終了し、コンピューターを再起動か EapHost サービスを再起動します。

詳細

関連ドキュメント:

マイクロソフト セキュリティ アドバイザリ: TLS の使用を有効にする Microsoft の EAP 実装の更新: 2014 年 10 月 14 日
https://support.microsoft.com/kb/2977292

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×