Objawy
Po zastosowaniu Windows update 10 listopada do urządzenia, nie można połączyć z siecią przedsiębiorstwa WPA-2, która jest za pomocą certyfikatów po stronie serwera lub wzajemnego uwierzytelniania (EAP TLS, PEAP, wartości czasu TTL).
Przyczyna
W Windows update 10 listopada, EAP został zaktualizowany do obsługi TLS 1.2. Oznacza to, że jeśli serwer anonsuje obsługi TLS 1.2 podczas negocjacji TLS, TLS 1.2 będą używane.
Mamy raporty, że niektóre implementacje serwera Radius występuje błąd z TLS 1.2. W tym scenariuszu błąd uwierzytelniania EAP zakończy się pomyślnie, ale obliczenia klucza MPPE nie powiedzie się, ponieważ jest używany niepoprawny PRF (funkcja losowych Pseudo).Znane może dotyczyć serwerów usługi RADIUS
Uwaga Informacja ta jest oparta na sprawozdaniach badań i partnera. Dodamy więcej szczegółów, jak mamy więcej danych.
Serwer |
Dodatkowe informacje |
Poprawka jest dostępna |
FreeRADIUS 2. x |
2.2.6 dla wszystkich TLS opartej na 2.2.6 - 2.2.8 dla wartości czasu TTL |
Tak |
FreeRADIUS 3. x |
3.0.7 dla wszystkich TLS opartej na 3.0.7-3.0.9 dla wartości czasu TTL |
Tak |
Chłodnica |
4.14, gdy używana z Net::SSLeay 1.52 lub starszym |
Tak |
Menedżer zasad ClearPass Aruba |
6.5.1 |
Tak |
Impuls zasady bezpieczne |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Naprawić w ramach testu |
Cisco identyfikują usługi silnik 2. x |
2.0.0.306 poprawka 1 |
Naprawić w ramach testu |
Rozwiązanie
Zalecane poprawki
Praca z administratorem, aby zaktualizować serwer Radius do odpowiedniej wersji, który zawiera poprawki.
Tymczasowe obejście problemu dla komputerów opartych na systemie Windows, którzy zastosowali aktualizację listopada
Uwaga Firma Microsoft zaleca użycie TLS 1.2 do uwierzytelniania protokołu EAP, wszędzie tam, gdzie jest obsługiwany. Mimo że wszystkie znane problemy w TLS 1.0 dostępne poprawki, Zdajemy sobie sprawę, że protokół TLS 1.0 to starszy standard, który jest zagrożony.
Aby skonfigurować protokół EAP domyślnie korzysta wersja TLS, należy dodać wartość DWORD o nazwie TlsVersion do następującego podklucza rejestru:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Wartość tego klucza rejestru może być 0xC0, 0x300 lub 0xC00. Uwagi-
Ten klucz rejestru ma zastosowanie tylko do protokołu EAP-TLS i PEAP; nie wpływa to na zachowanie wartości czasu TTL.
-
Klienta protokołu EAP i serwera protokołu EAP są niepoprawnie skonfigurowane tak, że ma nie wspólnych skonfigurowana wersja TLS, uwierzytelnienie nie powiedzie i użytkownik może utracić połączenie sieciowe. W związku z tym zaleca się stosowanie tych ustawień tylko administratorzy IT i że ustawienia badane przed wdrożeniem. Jednak użytkownik może ręcznie skonfigurować numer wersji TLS, jeśli serwer obsługuje odpowiedniej wersji TLS.
322756 Jak wykonać kopię zapasową rejestru i przywracać go w systemie Windows Aby dodać te wartości rejestru, wykonaj następujące kroki:
Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz , a następnie kliknij przycisk OK.
-
Zlokalizuj i kliknij następujący podklucz w rejestrze:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
-
Wpisz TlsVersion jako nazwę wartości DWORD, a następnie naciśnij klawisz Enter.
-
Kliknij prawym przyciskiem myszy TlsVersion, a następnie kliknij polecenie Modyfikuj.
-
W polu Dane wartości Użyj następujących wartości dla różnych wersji TLS, a następnie kliknij przycisk OK.
Wersja protokołu TLS
Wartość DWORD
PROTOKÓŁ TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Zamknij Edytor rejestru, a następnie ponowne uruchomienie komputera lub ponowne uruchomienie usługi EapHost.
Więcej informacji
Dokumentacja pokrewne:https://support.microsoft.com/kb/2977292
Poradnik zabezpieczeń firmy Microsoft: Aktualizacja dla implementacji EAP firmy Microsoft, który umożliwia używanie szyfrowania TLS: 14 października 2014