Dispositivos de 10 de Windows não consegue ligar ao ambiente 802.1 X

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3121002
Sintomas
Depois de aplicar os Windows update de 10 de Novembro para um dispositivo, não é possível ligar a uma rede de empresa WPA-2 que está a utilizar certificados para autenticação do lado do servidor ou mútua (EAP TLS, PEAP, TTL).
Causa
Nas janelas de actualização de 10 de Novembro, o EAP foi actualizado para suporte TLS 1.2. Isto implica que, se o servidor anuncia o suporte para TLS 1.2 durante a negociação de TLS, será utilizado TLS 1.2.

Temos relatórios que algumas implementações de servidor de Radius detectar um erro com TLS 1.2. Neste cenário de erros, autenticação EAP é efectuada com êxito mas o cálculo de chave MPPE falha porque é utilizada uma PRF incorrecto (Pseudo aleatórias função).

Servidores de RADIUS conhecidos afectados
Nota Estas informações são baseadas nos relatórios de investigação e o parceiro. Vamos adicionar mais detalhes, recebemos mais dados.

ServidorObter informações adicionaisCorrecção disponível
Liberte RADIUS 2. x2.2.6 para todos os TLS com base em métodos, 2.2.6 - 2.2.8 de TTLSim
Liberte RADIUS 3. x3.0.7 para todos os TLS com base em métodos, 3.0.7-3.0.9 de TTLSim
Radiador4.14 quando utilizado com Net::SSLeay 1.52 ou anteriorSim
Gestor de política de ClearPass de Arubaponto 6.5.1Sim
Política de impulsos segurahttps://KB.pulsesecure.NET/articles/Pulse_Secure_Article/KB40089Corrigir em ensaio
Cisco identificar serviços motor 2. x2.0.0.306 patch 1Corrigir em ensaio

Resolução

Correcção recomendada

Trabalhar com o administrador de TI para actualizar o servidor Radius para a versão apropriada que inclui uma correcção.

Solução temporária para computadores baseados no Windows que tenham aplicado a actualização de Novembro

Nota A Microsoft recomenda a utilização de TLS 1.2 para autenticação EAP, sempre que é suportado. Embora todos os problemas conhecidos no TLS 1.0 tenham os patches disponíveis, a Microsoft reconhece que o TLS 1.0 é um padrão antigo que é comprovada como estando vulnerável.

Para configurar a versão TLS EAP utiliza por predefinição, tem de adicionar um valor DWORD que tem o nome TlsVersion à seguinte subchave do registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

O valor desta chave de registo pode ser 0xC0, 0x300 ou 0xC00.

Notas
  • Esta chave de registo só é aplicável a EAP TLS e PEAP; não afecta o comportamento de TTL.
  • Se o cliente EAP e o servidor EAP estão mal configurados para que haja nenhum comum configurado versão TLS, a autenticação irá falhar e o utilizador poderá perder a ligação de rede. Por conseguinte, recomendamos que só os administradores de TI aplicarem estas definições e que as definições de ser testados antes da implementação. No entanto, um utilizador pode configurar manualmente o número da versão TLS se o servidor suportar a versão TLS correspondente.

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

322756 Como efectuar cópias de segurança e restaurar o registo no Windows


Para adicionar estes valores de registo, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave no registo:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
  3. No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Tipo TlsVersion o nome do valor DWORD e, em seguida, prima Enter.
  5. TlsVersioncom o botão direito e, em seguida, clique em Modificar.
  6. Na caixa dados do valor , utilize os seguintes valores para as várias versões de TLS e, em seguida, clique em OK.

    Versão TLSValor DWORD
    TLS 1.00xC0
    TLS 1.10x300
    TLS 1.2 0xC00
  7. Sair do Editor de registo e, em seguida, reinicie o computador ou reiniciar o serviço EapHost.
Mais Informação
Documentação relacionada:

Aviso de segurança da Microsoft: actualização para a implementação Microsoft EAP que permite a utilização do TLS: 14 de Outubro de 2014
https://support.microsoft.com/en-us/KB/2977292

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3121002 - Última Revisão: 12/07/2015 19:23:00 - Revisão: 2.0

Windows 10

  • kbexpertiseadvanced kbtshoot kbsurveynew kbmt KB3121002 KbMtpt
Comentários