Simptome
După ce aplicați Windows 10 noiembrie actualizarea de la un dispozitiv, nu este posibilă conectarea la o rețea WPA 2 Enterprise care utilizează certificate pentru autentificare de partea server sau reciprocă (EAP TLS, PEAP, TTLS).
Cauza
În Windows update 10 noiembrie, EAP s-a actualizat pentru suport TLS 1.2. Acest lucru înseamnă că, dacă serverul se auto-asistență pentru TLS 1.2 în timpul TLS negociere, TLS 1.2 vor fi utilizate.
Avem rapoarte că unele implementări de server Radius întâmpinați o eroare cu TLS 1.2. În acest scenariu defect, reuşeşte autentificarea EAP dar MPPE cheie calculul nu reușește, deoarece este utilizat un PRF incorecte (funcție Pseudo aleatoare).
Servere RADIUS cunoscute pentru a fi afectate
Notă Aceste informații se bazează pe rapoartele de cercetare și parteneri. Se va adăuga mai multe detalii, trebuie ca mai multe date.
Server |
Informații suplimentare |
Remediere disponibilă |
FreeRADIUS 2. x |
2.2.6 pentru toate TLS bazat pe metode, 2.2.6 - 2.2.8 pentru TTLS |
da |
FreeRADIUS 3. x |
3.0.7 pentru toate TLS bazat pe metode, 3.0.7-3.0.9 pentru TTLS |
da |
Radiator |
4.14 atunci când sunt utilizate cu Net::SSLeay 1.52 sau anterioară |
da |
Aruba ClearPass politică Manager |
6.5.1 |
da |
Politica de impulsuri securizat |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Remediere sub test |
Cisco identifica servicii motor 2. x |
2.0.0.306 patch 1 |
Remediere sub test |
Rezolvare
Remediere recomandate
Funcționează cu administratorul IT pentru a actualiza serverul Radius la versiunea corespunzătoare, care include o remediere.
Soluție temporară pentru computerele bazate pe Windows care au aplicat actualizarea noiembrie
Notă Microsoft recomandă utilizarea TLS 1.2 pentru autentificarea EAP ori de câte ori este acceptat. Deși toate problemele cunoscute TLS 1.0 au corecții disponibile, admitem faptul că TLS 1.0 este un standard mai vechi, care este dovedit vulnerabile.
Pentru a configura versiunea TLS EAP utilizează în mod implicit, trebuie să adăugați o valoare DWORD care are numit TlsVersion pe următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Valoarea acestei chei de registry poate fi 0xC0, 0x300 sau 0xC00.
Note
-
Această cheie de registry este destinat numai EAP TLS și PEAP; nu afectează comportamentul TTLS.
-
Dacă EAP client și EAP server sunt configurat incorect, astfel încât nu există nicio comune configurat TLS versiune, autentificarea nu va reuși și utilizatorul poate pierde conexiunea la rețea. De aceea, recomandăm ca numai administratorii ti aplică aceste setări și că setările de testat înainte de implementare. Însă, un utilizator poate configura manual numărul de versiune TLS dacă serverul acceptă versiunea TLS corespunzătoare.
Important Această secţiune, metodă sau activitate conţine paşi care vă spun cum să modificaţi registry-ul. Țineți cont că pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecţie suplimentară, faceți backup pentru registry înainte de a-l modifica. Apoi, puteți restabili registry-ul dacă apare o problemă. Pentru mai multe informaţii despre cyum se face backup şi cum se restabilește registry-ul, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
322756 Cum să faceți backup și să restabiliți registry-ul în Windows
Pentru a adăuga aceste valori de registry, urmați acești pași:
-
Faceți clic pe Start, faceți clic pe executare, tastați regedit în caseta Deschidere , și apoi faceți clic pe OK.
-
Găsiți, apoi faceți clic pe următoarea subcheie din registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
În meniul Editare , indicați spre nou, și apoi faceți clic pe Valoarea DWORD.
-
Tastați TlsVersion ca nume al valorii DWORD și apoi apăsați Enter.
-
Faceți clic dreapta pe TlsVersionși apoi faceți clic pe Modify.
-
În caseta Value data , utilizați următoarele valori pentru diferitele versiuni ale TLS și apoi faceți clic pe OK.
Versiune TLS
Valoare DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
1.2 TLS
0xC00
-
Închideți Registry Editor, apoi reporniți computerul sau reporniți serviciul EapHost.
Mai multe informații
Documentația asociate:
Avertizare de securitate: actualizarea pentru implementarea Microsoft EAP care permite utilizarea TLS: 14 octombrie 2014
https://support.microsoft.com/kb/2977292