Požymiai

Pritaikę "Windows" lapkričio 10 naujinimą į įrenginį, negalite prisijungti prie WPA-2 įmonės tinklo, kuris naudoja sertifikatus serverio arba abipusio autentifikavimo (RP TLS, PEAP, TTLS).

Priežastis

Sistemoje "Windows" naujinimą lapkričio 10, RP buvo atnaujintas į palaikymo TLS 1.2. Tai reiškia, kad, jei serveris skelbiasi palaikymą TLS 1.2 TLS derybų metu, TLS 1.2 bus naudojamas.

Mes turime pranešimų, kad kai kurios Radius server versijos patirtį su TLS 1.2. Tokiu atveju klaidą RP autentifikavimas sėkmingas, bet MPPE kodą skaičiavimo nepavyksta dėl to, kad naudojamas neteisingas PRF (netikra laisvosios funkcija).

Žinoma, kad įtakos RADIUS serverį

Pastaba. Ši informacija tyrimų ir partnerių ataskaitas. Mes pridėti daugiau informacijos, kaip mes daugiau duomenų.

Serveris

Papildoma informacija

Nustatyti galima

FreeRADIUS 2. x

2.2.6 visus TLS pagal metodus, 2.2.6 - 2.2.8 už TTLS

taip

FreeRADIUS 3. x

3.0.7 visus TLS pagal metodus, 3.0.7-3.0.9 už TTLS

taip

Radiatoriaus

4.14, kai naudojamas su Net::SSLeay 1,52 ar senesnė versija

taip

Aruba ClearPass strategijos tvarkytuvas

6.5.1

taip

Impulso strategijos saugus

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Nustatyti bandomosios

Cisco nustatyti tarnybos modulis 2. x

2.0.0.306 patch 1

Nustatyti bandomosios


Sprendimas

Rekomenduojama nustatyti

Darbas su jūsų IT administratorius, Norėdami atnaujinti Radius serverį, yra nustatyti tinkamą versiją.

Laikinai išspręsti šią problemą, "Windows" pagrindo kompiuteriuose, kurios taikomos lapkričio naujinimą

Pastaba. "Microsoft" rekomenduoja naudoti TLS 1.2 RP autentifikavimo, kur jis palaikomas. Nors visos žinomos problemos, TLS 1.0 pataisas galima, mes suprantame, TLS 1.0 yra senesnis standartas, kuris yra patikimu pažeidžiami.

Norėdami sukonfigūruoti TLS versiją, kuri pagal numatytuosius nustatymus naudoja RP, turite pridėti reikšmę DWORD, pavadintas TlsVersion į šį dalinį registro raktą:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Šio registro rakto reikšmė gali būti 0xC0, 0x300 arba 0xC00.

Pastabos

  • Šiame registro rakte yra skirtas tik RP TLS ir PEAP; tai neturi įtakos TTLS veikimą.

  • Jei RP klientas ir RP serveris yra sukonfigūruotas taip, kad nėra bendro sukonfigūruotas TLS versija, autentifikavimas nepavyksta, ir vartotojas gali nutrūkti tinklo ryšys. Todėl rekomenduojame, kad tik IT administratoriai taikyti šiuos parametrus ir parametrus išbandytas prieš visuotinio diegimo. Vis dėlto vartotojo neautomatiniu būdu konfigūruoti TLS versijos numerį, jei serveris palaiko atitinkamą TLS versija.


Svarbu. Šiame skyrelyje nurodoma, kaip keisti registro duomenis. Vis dėlto, jei neteisingai modifikuosite registrą, gali kilti rimtų problemų. Todėl atidžiai atlikite nurodytus veiksmus. Siekiant papildomai apsisaugoti, prieš modifikuodami registrą, sukurkite atsarginę kopiją. Tuomet iškilus problemai galėsite atkurti registrą. Norėdami gauti daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:

322756 kaip kurti atsargines kopijas ir atkurti registrą sistemoje „Windows“


Norėdami įtraukti šiuos registro reikšmes, atlikite šiuos veiksmus:

  1. Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedit lauke atidaryti , ir tada spustelėkite gerai.

  2. Raskite ir spustelėkite šį registro dalinį raktą:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir spustelėkite DWORD reikšmė.

  4. TlsVersion įveskite reikšmę DWORD pavadinimą, ir tada paspauskite Enter.

  5. Dešiniuoju pelės mygtuku spustelėkite TlsVersion, ir tada spustelėkite keisti.

  6. Reikšmės duomenų lauke, naudokite šias reikšmes įvairių versijos TLS ir tada spustelėkite gerai.

    TLS versija

    DWORD reikšmė

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Išeikite iš registro rengyklės, ir tada iš naujo paleisti kompiuterį arba iš naujo paleiskite EapHost tarnybą.

Daugiau informacijos

Susiję dokumentai:

Microsoft saugos patarimą: atnaujinti Microsoft EAP įgyvendinimo, kuris leidžia naudoti TLS: 2014 m. spalio 14 d.
https://support.microsoft.com/kb/2977292

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?

Dėkojame už jūsų atsiliepimus!

×