Симптомы

После применения обновления Windows 10 ноября с устройством, не удается подключиться к сети предприятия WPA-2, использует сертификаты для серверных или взаимной проверки подлинности (EAP-TLS, PEAP, TTLS).

Причина

В Windows update 10 ноября, EAP была обновлена для поддержки TLS 1.2. Это означает, что, если сервер объявляет поддержку TLS 1.2 во время согласования TLS, будет использован TLS 1.2.

У нас есть отчеты, что некоторые реализации сервера Radius возникновение ошибки с TLS 1.2. В этом случае ошибка проверки подлинности EAP выполняется успешно, но расчет MPPE ключа заканчивается неудачей, поскольку используется неправильный PRF (псевдо случайные функции).

Нарушается RADIUS-серверов

Примечание. Эти сведения основаны на отчетах исследований и партнеров. Мы добавим дополнительную информацию, как мы получаем больше данных.

Сервер

Дополнительная информация

Исправления

FreeRADIUS 2. x

2.2.6 для всех TLS на основе методов, 2.2.6 - 2.2.8 для TTLS

Да

FreeRADIUS 3. x

3.0.7 для всех TLS на основе методов 3.0.7-3.0.9 для TTLS

Да

Радиатор

При использовании с 1,52 Net::SSLeay или более ранней версии 4.14

Да

Диспетчер политики Аруба ClearPass

6.5.1

Да

Импульс политики безопасности

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Исправления в тестировании

Cisco идентификации служб ядра 2. x

2.0.0.306 исправление 1

Исправления в тестировании


Решение

Рекомендуемые исправления

Работа с обновление сервера Radius с соответствующей версией, включает в себя исправление к ИТ-администратору.

Временное решение для компьютеров под управлением Windows, которые установили обновление ноября

Примечание. Корпорация Майкрософт рекомендует использовать для проверки подлинности EAP TLS 1.2 везде, где он поддерживается. Хотя все известные проблемы в TLS 1.0 Патчи, мы понимаем, что TLS 1.0 — это старый стандарт, который был уязвимым.

Чтобы настроить TLS версии, использующей протокол EAP по умолчанию, необходимо добавить значение DWORD, которое с именем TlsVersion в следующий подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Значение этого раздела реестра может быть 0xC0, 0x300 или 0xC00.

Примечания

  • Этот раздел реестра может применяться только для EAP-TLS и PEAP; он не влияет на поведение TTLS.

  • Если клиентом EAP и сервером EAP настроены неправильно, таким образом, что нет общего настроен TLS версии, не пройдет проверку подлинности, а пользователь может привести к потере сетевого подключения. Таким образом мы рекомендуем применить, только администраторам и что параметры быть протестировано до развертывания. Тем не менее пользователь может вручную настроить номер версии TLS Если соответствующая версия TLS поддерживается сервером.


Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

322756 Как выполнять резервное копирование и восстановление реестра Windows


Для добавления этих параметров реестра, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите пункт выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.

  2. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. В меню Правка выберите пункт Создатьи затем щелкните Значение DWORD.

  4. Введите TlsVersion в качестве имени раздела реестра и нажмите клавишу ВВОД.

  5. Щелкните правой кнопкой мыши TlsVersionи выберите команду Изменить.

  6. В поле значение используйте следующие значения для различных версий TLS и нажмите кнопку ОК.

    Версия TLS

    Значение DWORD

    ПРОТОКОЛ TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Закройте редактор реестра и перезагрузите компьютер или перезапустите службу EapHost.

Дополнительные сведения

Сопутствующая документация:

Советы по безопасности Майкрософт: обновление для Microsoft EAP реализацию, которая позволяет использовать TLS: 14 октября 2014 г.
https://support.microsoft.com/kb/2977292

Нужна дополнительная помощь?

Совершенствование навыков

Перейти к обучению >

Первоочередный доступ к новым возможностям

Присоединение к программе предварительной оценки Майкрософт >

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×