Symptomer
Når du har brukt Windows 10 November til en enhet, kan du koble ikke til en WPA-2 Enterprise-nettverk som bruker sertifikater for serversiden eller gjensidig godkjenning (EAP TLS, PEAP-, TTLS).
Årsak
EAP ble oppdatert for å støtte TLS 1.2 10 November oppdatering i Windows. Dette betyr at hvis serveren annonserer støtte for TLS 1.2 under forhandling av TLS, TLS 1.2 vil bli brukt.
Vi har rapporter at enkelte implementeringer for Radius-serveren får en feil med TLS 1.2. I dette scenariet bug EAP-godkjenning lykkes, men MPPE nøkkel beregningen mislykkes fordi en feil PRF (Pseudo-tilfeldighetsfunksjon) brukes.
RADIUS-servere som er kjent for å bli påvirket
Obs! Denne informasjonen er basert på forskning og partner rapporter. Vi vil legge til flere detaljer som vi får mer data.
Server |
Tilleggsinformasjon |
Korrigering tilgjengelig |
FreeRADIUS 2. x |
2.2.6 for alle TLS basert metoder, 2.2.6 - 2.2.8 for TTLS |
ja |
FreeRADIUS 3. x |
3.0.7 for alle TLS basert metoder, 3.0.7-3.0.9 for TTLS |
ja |
Radiator |
4.14 når det brukes sammen med Net::SSLeay 1,52 eller tidligere |
ja |
Aruba ClearPass Policy Manager |
6.5.1 |
ja |
Pulse Policy sikker |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Rette opp under test |
Cisco identifisere tjenester Engine 2. x |
2.0.0.306 oppdatering 1 |
Rette opp under test |
Oppløsning
Anbefalt løsning
Arbeide med systemansvarlig for å oppdatere Radius-serveren til den riktige versjonen som inneholder en hurtigreparasjon.
Midlertidig løsning for Windows-baserte datamaskiner som har brukt oppdateringen for November
Obs! Microsoft anbefaler bruk av TLS 1.2 for EAP-godkjenning der det støttes. Selv om alle kjente problemer i TLS 1.0 har tilgjengelige oppdateringer, vi er klar over at TLS 1.0 er en eldre standard som er blitt bevist sårbare.
Hvis du vil konfigurere TLS-versjon som EAP-bruker som standard, må du legge til en DWORD-verdi som har navnet TlsVersion i følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Verdien for denne registernøkkelen kan være 0xC0, 0x300 eller 0xC00.
Notater
-
Denne registernøkkelen gjelder bare for EAP-TLS and PEAP; Det påvirker ikke TTLS-virkemåten.
-
Hvis EAP-klienten og EAP-serveren er feilkonfigurert slik at det er ingen felles konfigurert TLS-versjonen, vil godkjenningen mislykkes og brukeren kan miste nettverkstilkoblingen. Derfor anbefaler vi at bare IT-administratorer bruker disse innstillingene, og at innstillingene skal testes før distribusjon. En bruker kan imidlertid manuelt konfigurere versjonsnummeret TLS Hvis serveren støtter den tilsvarende TLS-versjonen.
Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Imidlertid kan oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer den ekstra beskyttelse. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 hvordan du sikkerhetskopierer og gjenoppretter registret i Windows
Hvis du vil legge til disse registerverdiene, gjør du følgende:
-
Klikk Start, klikk Kjør, Skriv inn regedit i Åpne -boksen, og klikk deretter OK.
-
Finn og klikk følgende undernøkkel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Velg Nypå Rediger -menyen, og klikk deretter DWORD-verdi.
-
Skriv inn TlsVersion som navn på DWORD-verdien, og trykk deretter Enter.
-
Høyreklikk TlsVersion, og klikk deretter Endre.
-
I Verdidata -boksen, bruker du følgende verdier for de ulike versjonene av TLS.
TLS-versjon
DWORD-verdien
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Avslutt Registerredigering, og deretter starte datamaskinen på nytt eller EapHost-tjenesten på nytt.
Hvis du vil ha mer informasjon
Relatert dokumentasjon:
Microsofts sikkerhetsveiledning: oppdatering for Microsoft EAP-implementering som muliggjør bruk av TLS: 14 oktober 2014
https://support.microsoft.com/kb/2977292