Sintomas
Depois de aplicar os Windows update de 10 de novembro para um dispositivo, você não pode se conectar a uma rede WPA-2 Enterprise que estiver usando certificados para autenticação do servidor ou mútua (EAP TLS, PEAP, TTLS).
Causa
Na atualização do Windows 10 de novembro, EAP foi atualizado para oferecer suporte a TLS 1.2. Isso significa que, se o servidor anuncia o suporte para o TLS 1.2 durante a negociação de TLS, TLS 1.2 será usado.
Temos algumas implementações de servidor Radius enfrentar um erro com o TLS 1.2 de relatórios. Nesse cenário de bug, autenticação EAP é bem-sucedida mas o cálculo MPPE chave falhará porque um PRF incorreto (função de Pseudo aleatório) é usado.Servidores RADIUS conhecidos por serem afetados
Observação: Estas informações são baseadas nos relatórios de pesquisa e de parceiros. Adicionaremos mais detalhes como podemos obter mais dados.
Servidor |
Informações adicionais |
Correção disponível |
FreeRADIUS 2. x |
2.2.6 para todos os TLS com base em métodos, 2.2.6 - 2.2.8 para TTLS |
Sim |
3 de FreeRADIUS. x |
3.0.7 para todas as TLS com base em métodos, 3.0.7-3.0.9 de TTLS |
Sim |
Radiador |
4.14 quando usado com 1,52 de Net::SSLeay ou anterior |
Sim |
Gerenciador de políticas de ClearPass de Aruba |
6.5.1 |
Sim |
Diretiva de pulso segura |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Corrigir em teste |
Cisco identificar serviços Engine 2. x |
2.0.0.306 patch 1 |
Corrigir em teste |
Resolução
Solução recomendada
Trabalhar com o administrador de TI para atualizar o servidor Radius com a versão adequada que inclua uma correção.
Solução temporária para computadores baseados no Windows que aplicou a atualização de novembro
Observação: A Microsoft recomenda o uso de TLS 1.2 para autenticação EAP onde ele é suportado. Embora todos os problemas conhecidos no TLS 1.0 possuem patches disponíveis, reconhecemos que o TLS 1.0 é um padrão mais antigo que foi testado vulnerável.
Para configurar a versão do TLS EAP usa por padrão, você deve adicionar um valor DWORD que nomeado TlsVersion para a seguinte subchave do registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
O valor desta chave do registro pode ser 0xC0, 0x300 ou 0xC00. Observações:-
Essa chave do registro é aplicável somente a EAP TLS e PEAP; ela não afeta o comportamento TTLS.
-
Se o cliente EAP e o servidor EAP são configurados incorretamente para que haja nenhum comum configurado versão TLS, a autenticação falhará e o usuário poderá perder a conexão de rede. Portanto, recomendamos que apenas os administradores aplicarem essas configurações e que as configurações de ser testado antes da implantação. No entanto, um usuário pode configurar manualmente o número da versão do TLS se o servidor oferecer suporte para a versão correspondente do TLS.
322756 Como fazer o backup e restaurar o registro no Windows Para adicionar esses valores do registro, execute essas etapas:
Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:-
Clique em Iniciar, clique em Executar, digite regedit na caixa Abrir e clique em OK.
-
Localize e clique na seguinte subchave no registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD.
-
Digite TlsVersion para o nome do valor DWORD e pressione Enter.
-
Clique com o botão TlsVersione, em seguida, clique em Modificar.
-
Na caixa dados do valor , use os seguintes valores para as várias versões do TLS e, em seguida, clique em OK.
Versão TLS
Valor DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Saia do Editor do registro e reinicie o computador ou reinicie o serviço EapHost.
Mais informações
Documentação relacionada:https://support.microsoft.com/kb/2977292
Comunicado de segurança da Microsoft: Actualização para a implementação do EAP da Microsoft que permite o uso de TLS: 14 de outubro de 2014