Pazīmes
Pēc Windows 10 novembris atjaunināt ierīci, nevar izveidot savienojumu ar WPA 2 uzņēmumu tīklu, kas izmanto servera puses vai savstarpējā autentifikācija (EAP TLS PEAP TTLS) sertifikāti.
Iemesls
Windows atjauninājumu 10. novembris, EAP TLS 1.2 atbalsts tika atjaunināts. Tas nozīmē, ka serveris atbalsta TLS 1.2 reklamē TLS sarunas laikā, ja tiks izmantots TLS 1.2.
Mums ir daži Radius servera implementācijas rodas ar TLS 1.2 kļūdu ziņojumi. Kļūdu gadījumā EAP autentifikācija ir veiksmīga, bet MPPE atslēga aprēķins neizdodas, jo tiek izmantots nepareizs PRF (pseido izlases funkcija).
Zināms, ka var ietekmēt Radius serveri
Piezīme. Šī informācija ir balstīta izpētes un partneru atskaitēs. Mēs pievienot papildinformāciju, kā mēs iegūtu vairāk informācijas.
Serveris |
Papildinformācija |
Labojums ir pieejams |
FreeRADIUS 2. x |
2.2.6 visas TLS balstoties metodes, 2.2.6 - 2.2.8 TTLS |
jā |
FreeRADIUS 3. x |
3.0.7 visas TLS balstoties metodes 3.0.7-3.0.9 TTLS |
jā |
Radiatora |
4.14 lietojot Net::SSLeay 1.52 vai vecāka |
jā |
Aruba ClearPass politikas pārvaldnieks |
6.5.1 |
jā |
Impulskoda politikas drošu |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Automātiskā testu |
Cisco noteiktu pakalpojumu programmas 2. x |
2.0.0.306 ielāps 1 |
Automātiskā testu |
Risinājums
Ieteicamais labojums
Darbs ar savu IT administratoru, lai atjauninātu Radius serveris atbilstošo versiju, kas ir iekļauts labojums.
Pagaidu risinājums Windows datoriem, kas pieteikušies novembra atjauninājums
Piezīme. Microsoft iesaka izmantot TLS 1.2 EAP autentifikācija, kur to atbalsta. Kaut arī visas zināmās problēmas/TLS 1.0 ir pieejams ielāpus, mēs apstiprinām TLS 1.0 ir vecāks standarts, kas ir pierādīts aizsargāti.
Konfigurēt EAP pēc noklusējuma izmanto TLS versija, ir jāpievieno DWORD vērtība ir contoso.com TlsVersion šādai reģistra apakšatslēgai:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Vērtību šajā reģistra atslēgā var būt 0xC0, 0x300 vai 0xC00.
Piezīmes
-
Šī reģistra atslēga ir paredzēts tikai EAP TLS un PEAP; tas neietekmē TTLS darbību.
-
Ja EAP klienta un servera EAP ir nav pareizi konfigurēta tā, lai būtu vienota nav konfigurēts TLS versija autentifikācija neizdodas, un lietotājs var tikt zaudēts tīkla savienojums. Tādēļ mēs iesakām tikai IT administratori lietot šos iestatījumus un iestatījumus pārbaudīt pirms izvietošanas. Tomēr lietotājs manuāli konfigurēt TLS versijas numuru, ja serveris to atbalsta atbilstošo TLS versiju.
Svarīgi! Šī sadaļa, metode vai uzdevums ietver darbības, kuras izpildot, var modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības uzmanīgi. Papildu drošībai dublējiet reģistru pirms tā mainīšanas. Pēc tam varat atjaunot reģistru, ja rodas problēmas. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
322756 kā dublēt un atjaunot reģistru sistēmā Windows
Lai pievienotu šo reģistra vērtību, rīkojieties šādi:
-
Noklikšķiniet uz Sākt, noklikšķiniet uz izpildīt, lodziņā Atvērt ierakstiet regedit un pēc tam noklikšķiniet uz Labi.
-
Atrodiet un pēc tam noklikšķiniet uz šādu reģistra apakšatslēgu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Izvēlnē Rediģēt norādiet uz Jaunsun pēc tam noklikšķiniet uz DWORD vērtība.
-
Ievadiet DWORD vērtību ar nosaukumu TlsVersion un pēc tam nospiediet taustiņu Enter.
-
Ar peles labo pogu noklikšķiniet uz TlsVersionun pēc tam noklikšķiniet uz modificēt.
-
Vērtības datu lodziņā TLS dažādas versijas izmanto šīs vērtības un pēc tam noklikšķiniet uz Labi.
TLS versija
DWORD vērtība
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Aizveriet reģistra redaktoru un pēc tam vai nu restartējot datoru vai pakalpojuma EapHost.
Papildinformācija
Saistītie dokumenti:
Microsoft drošības biļetenā: atjauninājums Microsoft EAP implementācija, kas ļauj izmantot TLS: 14 oktobris 2014
https://support.microsoft.com/kb/2977292