Príznaky
Po nainštalovaní systému Windows update 10 novembra zariadenia, sa nemôžete pripojiť k WPA 2 podnikovej sieti, ktorá používa certifikáty na strane servera alebo vzájomné overovanie (EAP TLS, PEAP, TTL).
Príčina
Windows update 10 November, EAP bol aktualizovaný na podporu TLS 1.2. To znamená, že ak server informuje o podpore pre TLS 1.2 počas vyjednávanie TLS, TLS 1.2 použije.
Máme správy, že niektoré implementácie servera Radius vyskytne chyba TLS 1.2. V takom prípade chyba EAP overovania úspešný, ale výpočet MPPE kľúč zlyhá, pretože sa používa nesprávne PRF (Pseudo náhodnej funkcie).
RADIUS servery známe ovplyvnená
Poznámka: Táto informácia je založený na zdroje a partnerov. Pridáme viac ako sme získať ďalšie údaje.
Server |
Ďalšie informácie |
Opravy, ktoré sú k dispozícii |
FreeRADIUS 2. x |
2.2.6 pre všetky TLS podľa postupov 2.2.6 - 2.2.8 pre TTL |
Áno |
FreeRADIUS 3. x |
3.0.7 pre všetky TLS podľa metódy 3.0.7-3.0.9 pre TTL |
Áno |
Radiátor |
4.14 pri Net::SSLeay 1.52 alebo staršia |
Áno |
Aruba ClearPass Policy Manager |
6.5.1 |
Áno |
Pulse politiky zabezpečené |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Oprava testovacie |
Cisco identifikovať Services Engine 2. x |
2.0.0.306 oprava 1 |
Oprava testovacie |
Riešenie
Odporúčaná oprava
Požiadať správcu IT aktualizovať Radius server príslušnú verziu, ktorá obsahuje.
Dočasné riešenie pre počítače so systémom Windows, požadované aktualizácie November
Poznámka: Spoločnosť Microsoft odporúča použitie TLS 1.2 EAP overovania, kde je podporovaná. Hoci všetkých známych problémov v TLS 1.0 opráv, ktoré sú k dispozícii, uvedomujeme si, že TLS 1.0 je starší štandard, ktorý je boli preukázateľne zabezpečené.
Konfigurácia TLS verzia predvolene používa protokol EAP, musíte pridať hodnotu DWORD s názvom TlsVersiona na nasledujúci podkľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Hodnota tohto kľúča databázy registry môže byť 0xC0, 0x300 alebo 0xC00.
Poznámky
-
Tento kľúč sa vzťahuje len na EAP TLS a PEAP; TTL správanie neovplyvňuje.
-
Ak EAP klientom a serverom EAP sú nesprávne nakonfigurovaný tak, že je nie nakonfigurovaný protokol TLS verzia, overovanie zlyhá a používateľ môže stratiť sieťové pripojenie. Preto odporúčame, len správcovia IT použiť tieto nastavenia a že nastavenia testovať pred nasadením. Však používateľa môžete manuálne konfigurovať TLS číslo verzie, ak ho server podporuje zodpovedajúca TLS verzia.
Dôležité upozornenie: Táto časť, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany zálohujte databázu Registry pred úpravou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756 Zálohovanie a obnovenie databázy Registry v systéme Windows
Pridajte nasledujúce hodnoty databázy registry, postupujte nasledovne:
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, do poľa Otvoriť zadajte reťazec regedit a kliknite na tlačidlo OK.
-
Vyhľadajte a potom kliknite na nasledujúci podkľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
V ponuke Úpravy ukážte na položku Nové a kliknite na položku Hodnota DWORD.
-
Názov hodnoty DWORD zadajte TlsVersiona a stlačte kláves Enter.
-
Kliknite pravým tlačidlom myši na TlsVersionaa kliknite na položku Upraviť.
-
Do poľa údaj hodnoty použiť nasledujúce hodnoty pre rôzne verzie TLS a kliknite na tlačidlo OK.
TLS verzia
Hodnota DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Zatvorte Editor databázy Registry a potom reštartujte počítač alebo reštartujte službu EapHost.
Ďalšie informácie
Súvisiaci dokumentácia:
Odporúčanie zabezpečenia: aktualizácie Microsoft EAP implementácie, ktoré umožňuje použiť protokol TLS: 14 októbra 2014
https://support.microsoft.com/kb/2977292