Applies ToWindows 10

Sintomas

Depois de aplicar os Windows update de 10 de novembro para um dispositivo, você não pode se conectar a uma rede WPA-2 Enterprise que estiver usando certificados para autenticação do servidor ou mútua (EAP TLS, PEAP, TTLS).

Causa

Na atualização do Windows 10 de novembro, EAP foi atualizado para oferecer suporte a TLS 1.2. Isso significa que, se o servidor anuncia o suporte para o TLS 1.2 durante a negociação de TLS, TLS 1.2 será usado.Temos algumas implementações de servidor Radius enfrentar um erro com o TLS 1.2 de relatórios. Nesse cenário de bug, autenticação EAP é bem-sucedida mas o cálculo MPPE chave falhará porque um PRF incorreto (função de Pseudo aleatório) é usado.

Servidores RADIUS conhecidos por serem afetados

Observação: Estas informações são baseadas nos relatórios de pesquisa e de parceiros. Adicionaremos mais detalhes como podemos obter mais dados.

Servidor

Informações adicionais

Correção disponível

FreeRADIUS 2. x

2.2.6 para todos os TLS com base em métodos, 2.2.6 - 2.2.8 para TTLS

Sim

3 de FreeRADIUS. x

3.0.7 para todas as TLS com base em métodos, 3.0.7-3.0.9 de TTLS

Sim

Radiador

4.14 quando usado com 1,52 de Net::SSLeay ou anterior

Sim

Gerenciador de políticas de ClearPass de Aruba

6.5.1

Sim

Diretiva de pulso segura

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Corrigir em teste

Cisco identificar serviços Engine 2. x

2.0.0.306 patch 1

Corrigir em teste

Resolução

Solução recomendada

Trabalhar com o administrador de TI para atualizar o servidor Radius com a versão adequada que inclua uma correção.

Solução temporária para computadores baseados no Windows que aplicou a atualização de novembro

Observação: A Microsoft recomenda o uso de TLS 1.2 para autenticação EAP onde ele é suportado. Embora todos os problemas conhecidos no TLS 1.0 possuem patches disponíveis, reconhecemos que o TLS 1.0 é um padrão mais antigo que foi testado vulnerável.Para configurar a versão do TLS EAP usa por padrão, você deve adicionar um valor DWORD que nomeado TlsVersion para a seguinte subchave do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13O valor desta chave do registro pode ser 0xC0, 0x300 ou 0xC00.Observações:

  • Essa chave do registro é aplicável somente a EAP TLS e PEAP; ela não afeta o comportamento TTLS.

  • Se o cliente EAP e o servidor EAP são configurados incorretamente para que haja nenhum comum configurado versão TLS, a autenticação falhará e o usuário poderá perder a conexão de rede. Portanto, recomendamos que apenas os administradores aplicarem essas configurações e que as configurações de ser testado antes da implantação. No entanto, um usuário pode configurar manualmente o número da versão do TLS se o servidor oferecer suporte para a versão correspondente do TLS.

Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:322756 Como fazer o backup e restaurar o registro no WindowsPara adicionar esses valores do registro, execute essas etapas:

  1. Clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize e clique na seguinte subchave no registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.

  4. Digite TlsVersion para o nome do valor DWORD e pressione Enter.

  5. Clique com o botão TlsVersione, em seguida, clique em Modificar.

  6. Na caixa dados do valor , use os seguintes valores para as várias versões do TLS e, em seguida, clique em OK.

    Versão TLS

    Valor DWORD

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Saia do Editor do registro e reinicie o computador ou reinicie o serviço EapHost.

Mais informações

Documentação relacionada:Comunicado de segurança da Microsoft: Actualização para a implementação do EAP da Microsoft que permite o uso de TLS: 14 de outubro de 2014https://support.microsoft.com/kb/2977292

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.