Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Objawy

Po zastosowaniu Windows update 10 listopada do urządzenia, nie można połączyć z siecią przedsiębiorstwa WPA-2, która jest za pomocą certyfikatów po stronie serwera lub wzajemnego uwierzytelniania (EAP TLS, PEAP, wartości czasu TTL).

Przyczyna

W Windows update 10 listopada, EAP został zaktualizowany do obsługi TLS 1.2. Oznacza to, że jeśli serwer anonsuje obsługi TLS 1.2 podczas negocjacji TLS, TLS 1.2 będą używane.

Mamy raporty, że niektóre implementacje serwera Radius występuje błąd z TLS 1.2. W tym scenariuszu błąd uwierzytelniania EAP zakończy się pomyślnie, ale obliczenia klucza MPPE nie powiedzie się, ponieważ jest używany niepoprawny PRF (funkcja losowych Pseudo).

Znane może dotyczyć serwerów usługi RADIUS

Uwaga Informacja ta jest oparta na sprawozdaniach badań i partnera. Dodamy więcej szczegółów, jak mamy więcej danych.

Serwer

Dodatkowe informacje

Poprawka jest dostępna

FreeRADIUS 2. x

2.2.6 dla wszystkich TLS opartej na 2.2.6 - 2.2.8 dla wartości czasu TTL

Tak

FreeRADIUS 3. x

3.0.7 dla wszystkich TLS opartej na 3.0.7-3.0.9 dla wartości czasu TTL

Tak

Chłodnica

4.14, gdy używana z Net::SSLeay 1.52 lub starszym

Tak

Menedżer zasad ClearPass Aruba

6.5.1

Tak

Impuls zasady bezpieczne

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Naprawić w ramach testu

Cisco identyfikują usługi silnik 2. x

2.0.0.306 poprawka 1

Naprawić w ramach testu


Rozwiązanie

Zalecane poprawki

Praca z administratorem, aby zaktualizować serwer Radius do odpowiedniej wersji, który zawiera poprawki.

Tymczasowe obejście problemu dla komputerów opartych na systemie Windows, którzy zastosowali aktualizację listopada

Uwaga Firma Microsoft zaleca użycie TLS 1.2 do uwierzytelniania protokołu EAP, wszędzie tam, gdzie jest obsługiwany. Mimo że wszystkie znane problemy w TLS 1.0 dostępne poprawki, Zdajemy sobie sprawę, że protokół TLS 1.0 to starszy standard, który jest zagrożony.

Aby skonfigurować protokół EAP domyślnie korzysta wersja TLS, należy dodać wartość DWORD o nazwie TlsVersion do następującego podklucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Wartość tego klucza rejestru może być 0xC0, 0x300 lub 0xC00.

Uwagi

  • Ten klucz rejestru ma zastosowanie tylko do protokołu EAP-TLS i PEAP; nie wpływa to na zachowanie wartości czasu TTL.

  • Klienta protokołu EAP i serwera protokołu EAP są niepoprawnie skonfigurowane tak, że ma nie wspólnych skonfigurowana wersja TLS, uwierzytelnienie nie powiedzie i użytkownik może utracić połączenie sieciowe. W związku z tym zaleca się stosowanie tych ustawień tylko administratorzy IT i że ustawienia badane przed wdrożeniem. Jednak użytkownik może ręcznie skonfigurować numer wersji TLS, jeśli serwer obsługuje odpowiedniej wersji TLS.


Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 Jak wykonać kopię zapasową rejestru i przywracać go w systemie Windows


Aby dodać te wartości rejestru, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.

  2. Zlokalizuj i kliknij następujący podklucz w rejestrze:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.

  4. Wpisz TlsVersion jako nazwę wartości DWORD, a następnie naciśnij klawisz Enter.

  5. Kliknij prawym przyciskiem myszy TlsVersion, a następnie kliknij polecenie Modyfikuj.

  6. W polu Dane wartości Użyj następujących wartości dla różnych wersji TLS, a następnie kliknij przycisk OK.

    Wersja protokołu TLS

    Wartość DWORD

    PROTOKÓŁ TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Zamknij Edytor rejestru, a następnie ponowne uruchomienie komputera lub ponowne uruchomienie usługi EapHost.

Więcej informacji

Dokumentacja pokrewne:

Poradnik zabezpieczeń firmy Microsoft: Aktualizacja dla implementacji EAP firmy Microsoft, który umożliwia używanie szyfrowania TLS: 14 października 2014
https://support.microsoft.com/kb/2977292

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×