Požymiai
Pritaikę "Windows" lapkričio 10 naujinimą į įrenginį, negalite prisijungti prie WPA-2 įmonės tinklo, kuris naudoja sertifikatus serverio arba abipusio autentifikavimo (RP TLS, PEAP, TTLS).
Priežastis
Sistemoje "Windows" naujinimą lapkričio 10, RP buvo atnaujintas į palaikymo TLS 1.2. Tai reiškia, kad, jei serveris skelbiasi palaikymą TLS 1.2 TLS derybų metu, TLS 1.2 bus naudojamas.
Mes turime pranešimų, kad kai kurios Radius server versijos patirtį su TLS 1.2. Tokiu atveju klaidą RP autentifikavimas sėkmingas, bet MPPE kodą skaičiavimo nepavyksta dėl to, kad naudojamas neteisingas PRF (netikra laisvosios funkcija).Žinoma, kad įtakos RADIUS serverį
Pastaba. Ši informacija tyrimų ir partnerių ataskaitas. Mes pridėti daugiau informacijos, kaip mes daugiau duomenų.
Serveris |
Papildoma informacija |
Nustatyti galima |
FreeRADIUS 2. x |
2.2.6 visus TLS pagal metodus, 2.2.6 - 2.2.8 už TTLS |
taip |
FreeRADIUS 3. x |
3.0.7 visus TLS pagal metodus, 3.0.7-3.0.9 už TTLS |
taip |
Radiatoriaus |
4.14, kai naudojamas su Net::SSLeay 1,52 ar senesnė versija |
taip |
Aruba ClearPass strategijos tvarkytuvas |
6.5.1 |
taip |
Impulso strategijos saugus |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Nustatyti bandomosios |
Cisco nustatyti tarnybos modulis 2. x |
2.0.0.306 patch 1 |
Nustatyti bandomosios |
Sprendimas
Rekomenduojama nustatyti
Darbas su jūsų IT administratorius, Norėdami atnaujinti Radius serverį, yra nustatyti tinkamą versiją.
Laikinai išspręsti šią problemą, "Windows" pagrindo kompiuteriuose, kurios taikomos lapkričio naujinimą
Pastaba. "Microsoft" rekomenduoja naudoti TLS 1.2 RP autentifikavimo, kur jis palaikomas. Nors visos žinomos problemos, TLS 1.0 pataisas galima, mes suprantame, TLS 1.0 yra senesnis standartas, kuris yra patikimu pažeidžiami.
Norėdami sukonfigūruoti TLS versiją, kuri pagal numatytuosius nustatymus naudoja RP, turite pridėti reikšmę DWORD, pavadintas TlsVersion į šį dalinį registro raktą:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Šio registro rakto reikšmė gali būti 0xC0, 0x300 arba 0xC00. Pastabos-
Šiame registro rakte yra skirtas tik RP TLS ir PEAP; tai neturi įtakos TTLS veikimą.
-
Jei RP klientas ir RP serveris yra sukonfigūruotas taip, kad nėra bendro sukonfigūruotas TLS versija, autentifikavimas nepavyksta, ir vartotojas gali nutrūkti tinklo ryšys. Todėl rekomenduojame, kad tik IT administratoriai taikyti šiuos parametrus ir parametrus išbandytas prieš visuotinio diegimo. Vis dėlto vartotojo neautomatiniu būdu konfigūruoti TLS versijos numerį, jei serveris palaiko atitinkamą TLS versija.
322756 kaip kurti atsargines kopijas ir atkurti registrą sistemoje „Windows“ Norėdami įtraukti šiuos registro reikšmes, atlikite šiuos veiksmus:
Svarbu. Šiame skyrelyje nurodoma, kaip keisti registro duomenis. Vis dėlto, jei neteisingai modifikuosite registrą, gali kilti rimtų problemų. Todėl atidžiai atlikite nurodytus veiksmus. Siekiant papildomai apsisaugoti, prieš modifikuodami registrą, sukurkite atsarginę kopiją. Tuomet iškilus problemai galėsite atkurti registrą. Norėdami gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:-
Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedit lauke atidaryti , ir tada spustelėkite gerai.
-
Raskite ir spustelėkite šį registro dalinį raktą:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir spustelėkite DWORD reikšmė.
-
TlsVersion įveskite reikšmę DWORD pavadinimą, ir tada paspauskite Enter.
-
Dešiniuoju pelės mygtuku spustelėkite TlsVersion, ir tada spustelėkite keisti.
-
Reikšmės duomenų lauke, naudokite šias reikšmes įvairių versijos TLS ir tada spustelėkite gerai.
TLS versija
DWORD reikšmė
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Išeikite iš registro rengyklės, ir tada iš naujo paleisti kompiuterį arba iš naujo paleiskite EapHost tarnybą.
Daugiau informacijos
Susiję dokumentai:https://support.microsoft.com/kb/2977292
Microsoft saugos patarimą: atnaujinti Microsoft EAP įgyvendinimo, kuris leidžia naudoti TLS: 2014 m. spalio 14 d.