Советы корпорации Майкрософт по безопасности: обновление для реализации протокола Microsoft EAP, позволяющего использовать протокол TLS, от 14 октября 2014 г.

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила советы по безопасности, посвященные этой проблеме и предназначенные для ИТ-специалистов. Они содержат дополнительные сведения, касающиеся безопасности. Просмотреть советы по безопасности можно на следующем веб-сайте корпорации Майкрософт:

https://technet.microsoft.com/ru-ru/library/security/2977292

Дополнительная информация

Указанные ниже файлы можно скачать с веб-сайта Центра загрузки Майкрософт.

Дополнительная информация

Корпорация Майкрософт объявляет о доступности обновления для поддерживаемых версий Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2 и Windows RT для реализации протокола Microsoft EAP (Extensible Authentication Protocol), позволяющего использовать протокол TLS (Transport Layer Security) 1.1 или 1.2 с помощью внесения изменений в системный реестр. Чтобы включить TLS после установки этого обновления для системы безопасности, необходимо добавить параметр DWORD с именем TlsVersion в следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 Этот раздел реестра может иметь значение 0xC0, 0x300, 0xC00 или любую комбинацию OR'ed этих значений, если требуется поддержка нескольких версий протокола TLS. Эту конфигурацию можно выполнить как с помощью клиента EAP, так и с помощью сервера EAP.

Примечание. Если клиент и сервер EAP настроены неправильно, так что нет общей версии TLS с одинаковыми настройками, пользователь не сможет пройти проверку подлинности, а сетевое подключение может быть потеряно. Поэтому рекомендуется, чтобы настройки выполнялись только ИТ-администраторами и проверялись перед развертыванием.

Пользователь может настроить номер версии протокола TLS вручную, если соответствующая версия TLS поддерживается сервером.

Важно! Этот раздел, описание метода или задача описывают, как вносить изменения в реестр. Однако его неправильное изменение может привести к серьезным проблемам, поэтому строго соблюдайте предоставленные инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756Создание резервной копии и восстановление реестра в Windows
Чтобы добавить эти параметры реестра, выполните указанные ниже действия.

1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.

2. Найдите и выделите указанный ниже подраздел реестра:
   
   

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

3. В меню Правка выберите пункт Создать, а затем — Значение DWORD.

4. Введите TlsVersion в качестве имени параметра DWORD и нажмите клавишу ВВОД.

5. Щелкните параметр TlsVersion правой кнопкой мыши и выберите команду Изменить.

6. В поле Значение введите нужные значения различных версий TLS и нажмите кнопку ОК.
   

   Версия TLS	Параметр DWORD
   TLS 1.0.	0xC0
   TLS 1.1	0x300
   TLS 1.2	0xC00

   С помощью любой комбинации OR'ed этих значений можно включить соответствующие протоколы. По умолчанию протокол TLS 1.0 включен. При настройке любого недопустимого параметра будет использоваться протокол TLS 1.0.

7. Закройте редактор реестра, перезагрузите компьютер или перезапустите службу EapHost.

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия (США) данного обновления программного обеспечения устанавливает файлы, указанные в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются с учетом часового пояса и перехода на летнее время. При определенных операциях с файлами значения даты и время могут изменяться.