Sintomas
Depois de aplicar os Windows update de 10 de Novembro para um dispositivo, não é possível ligar a uma rede de empresa WPA-2 que está a utilizar certificados para autenticação do lado do servidor ou mútua (EAP TLS, PEAP, TTL).
Causa
Nas janelas de actualização de 10 de Novembro, o EAP foi actualizado para suporte TLS 1.2. Isto implica que, se o servidor anuncia o suporte para TLS 1.2 durante a negociação de TLS, será utilizado TLS 1.2.
Temos relatórios que algumas implementações de servidor de Radius detectar um erro com TLS 1.2. Neste cenário de erros, autenticação EAP é efectuada com êxito mas o cálculo de chave MPPE falha porque é utilizada uma PRF incorrecto (Pseudo aleatórias função).
Servidores de RADIUS conhecidos afectados
Nota Estas informações são baseadas nos relatórios de investigação e o parceiro. Vamos adicionar mais detalhes, recebemos mais dados.
Servidor |
Obter informações adicionais |
Correcção disponível |
FreeRADIUS 2. x |
2.2.6 para todos os TLS com base em métodos, 2.2.6 - 2.2.8 de TTL |
Sim |
3 de FreeRADIUS. x |
3.0.7 para todos os TLS com base em métodos, 3.0.7-3.0.9 de TTL |
Sim |
Radiador |
4.14 quando utilizado com Net::SSLeay 1.52 ou anterior |
Sim |
Gestor de política de ClearPass de Aruba |
6.5.1 |
Sim |
Política de impulsos segura |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Corrigir em ensaio |
Cisco identificar serviços motor 2. x |
2.0.0.306 patch 1 |
Corrigir em ensaio |
Resolução
Correcção recomendada
Trabalhar com o administrador de TI para actualizar o servidor Radius para a versão apropriada que inclui uma correcção.
Solução temporária para computadores baseados no Windows que tenham aplicado a actualização de Novembro
Nota A Microsoft recomenda a utilização de TLS 1.2 para autenticação EAP, sempre que é suportado. Embora todos os problemas conhecidos no TLS 1.0 tenham os patches disponíveis, a Microsoft reconhece que o TLS 1.0 é um padrão antigo que é comprovada como estando vulnerável.
Para configurar a versão TLS EAP utiliza por predefinição, tem de adicionar um valor DWORD que tem o nome TlsVersion à seguinte subchave do registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
O valor desta chave de registo pode ser 0xC0, 0x300 ou 0xC00.
Notas
-
Esta chave de registo só é aplicável a EAP TLS e PEAP; não afecta o comportamento de TTL.
-
Se o cliente EAP e o servidor EAP estão mal configurados para que haja nenhum comum configurado versão TLS, a autenticação irá falhar e o utilizador poderá perder a ligação de rede. Por conseguinte, recomendamos que só os administradores de TI aplicarem estas definições e que as definições de ser testados antes da implementação. No entanto, um utilizador pode configurar manualmente o número da versão TLS se o servidor suportar a versão TLS correspondente.
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 como efectuar cópias de segurança e restaurar o registo no Windows
Para adicionar estes valores de registo, siga estes passos:
-
Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.
-
Localize e, em seguida, clique na seguinte subchave no registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
No menu Editar , aponte para Novoe, em seguida, clique em Valor DWORD.
-
Escreva TlsVersion para o nome do valor DWORD e, em seguida, prima Enter.
-
TlsVersioncom o botão direito e, em seguida, clique em Modificar.
-
Na caixa dados do valor , utilize os seguintes valores para as várias versões de TLS e, em seguida, clique em OK.
Versão TLS
Valor DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Sair do Editor de registo e, em seguida, reinicie o computador ou reiniciar o serviço EapHost.
Mais informações
Documentação relacionada:
Aviso de segurança da Microsoft: actualização para a implementação Microsoft EAP que permite a utilização do TLS: 14 de Outubro de 2014
https://support.microsoft.com/kb/2977292