Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Simptome

După ce aplicați Windows 10 noiembrie actualizarea de la un dispozitiv, nu este posibilă conectarea la o rețea WPA 2 Enterprise care utilizează certificate pentru autentificare de partea server sau reciprocă (EAP TLS, PEAP, TTLS).

Cauza

În Windows update 10 noiembrie, EAP s-a actualizat pentru suport TLS 1.2. Acest lucru înseamnă că, dacă serverul se auto-asistență pentru TLS 1.2 în timpul TLS negociere, TLS 1.2 vor fi utilizate.

Avem rapoarte că unele implementări de server Radius întâmpinați o eroare cu TLS 1.2. În acest scenariu defect, reuşeşte autentificarea EAP dar MPPE cheie calculul nu reușește, deoarece este utilizat un PRF incorecte (funcție Pseudo aleatoare).

Servere RADIUS cunoscute pentru a fi afectate

Notă Aceste informații se bazează pe rapoartele de cercetare și parteneri. Se va adăuga mai multe detalii, trebuie ca mai multe date.

Server

Informații suplimentare

Remediere disponibilă

FreeRADIUS 2. x

2.2.6 pentru toate TLS bazat pe metode, 2.2.6 - 2.2.8 pentru TTLS

da

FreeRADIUS 3. x

3.0.7 pentru toate TLS bazat pe metode, 3.0.7-3.0.9 pentru TTLS

da

Radiator

4.14 atunci când sunt utilizate cu Net::SSLeay 1.52 sau anterioară

da

Aruba ClearPass politică Manager

6.5.1

da

Politica de impulsuri securizat

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Remediere sub test

Cisco identifica servicii motor 2. x

2.0.0.306 patch 1

Remediere sub test


Rezolvare

Remediere recomandate

Funcționează cu administratorul IT pentru a actualiza serverul Radius la versiunea corespunzătoare, care include o remediere.

Soluție temporară pentru computerele bazate pe Windows care au aplicat actualizarea noiembrie

Notă Microsoft recomandă utilizarea TLS 1.2 pentru autentificarea EAP ori de câte ori este acceptat. Deși toate problemele cunoscute TLS 1.0 au corecții disponibile, admitem faptul că TLS 1.0 este un standard mai vechi, care este dovedit vulnerabile.

Pentru a configura versiunea TLS EAP utilizează în mod implicit, trebuie să adăugați o valoare DWORD care are numit TlsVersion pe următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Valoarea acestei chei de registry poate fi 0xC0, 0x300 sau 0xC00.

Note

  • Această cheie de registry este destinat numai EAP TLS și PEAP; nu afectează comportamentul TTLS.

  • Dacă EAP client și EAP server sunt configurat incorect, astfel încât nu există nicio comune configurat TLS versiune, autentificarea nu va reuși și utilizatorul poate pierde conexiunea la rețea. De aceea, recomandăm ca numai administratorii ti aplică aceste setări și că setările de testat înainte de implementare. Însă, un utilizator poate configura manual numărul de versiune TLS dacă serverul acceptă versiunea TLS corespunzătoare.


Important Această secţiune, metodă sau activitate conţine paşi care vă spun cum să modificaţi registry-ul. Țineți cont că pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecţie suplimentară, faceți backup pentru registry înainte de a-l modifica. Apoi, puteți restabili registry-ul dacă apare o problemă. Pentru mai multe informaţii despre cyum se face backup şi cum se restabilește registry-ul, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:

322756 Cum să faceți backup și să restabiliți registry-ul în Windows


Pentru a adăuga aceste valori de registry, urmați acești pași:

  1. Faceți clic pe Start, faceți clic pe executare, tastați regedit în caseta Deschidere , și apoi faceți clic pe OK.

  2. Găsiți, apoi faceți clic pe următoarea subcheie din registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. În meniul Editare , indicați spre nou, și apoi faceți clic pe Valoarea DWORD.

  4. Tastați TlsVersion ca nume al valorii DWORD și apoi apăsați Enter.

  5. Faceți clic dreapta pe TlsVersionși apoi faceți clic pe Modify.

  6. În caseta Value data , utilizați următoarele valori pentru diferitele versiuni ale TLS și apoi faceți clic pe OK.

    Versiune TLS

    Valoare DWORD

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    1.2 TLS

    0xC00

  7. Închideți Registry Editor, apoi reporniți computerul sau reporniți serviciul EapHost.

Mai multe informații

Documentația asociate:

Avertizare de securitate: actualizarea pentru implementarea Microsoft EAP care permite utilizarea TLS: 14 octombrie 2014
https://support.microsoft.com/kb/2977292

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×