Symptom
När du har installerat Windows 10 November uppdatering till en enhet, du kan inte ansluta till ett nätverk med WPA 2 företag som använder certifikat för autentisering på serversidan eller ömsesidigt (EAP TLS, PEAP, TTLS).
Orsak
I Windows 10 November uppdatering, EAP uppdaterades till stöd för TLS 1.2. Detta innebär att om servern meddelar stöd för TLS 1.2 under TLS-förhandling, TLS 1.2 ska användas.
Vi har rapporter att vissa RADIUS-serverimplementeringar uppstår ett programfel med TLS 1.2. I det här scenariot bugg, EAP-autentiseringen lyckas men beräkningen MPPE nyckel misslyckas på grund av en felaktig PRF (Pseudo-slumptalsfunktion) används.
RADIUS-servrar som har visat sig påverkas
Obs! Den här informationen baseras på forskning och partner. Vi kommer att lägga till mer information som vi kan få mer information.
Server |
Ytterligare information |
Korrigering är tillgänglig |
FreeRADIUS 2. x |
2.2.6 för alla TLS baserade metoder 2.2.6 - 2.2.8 för TTL-värden |
Ja |
FreeRADIUS 3. x |
3.0.7 för alla TLS baserade metoder, 3.0.7-3.0.9 för TTL-värden |
Ja |
Värmeelement |
4.14 när den används med Net::SSLeay 1.52 eller tidigare |
Ja |
Aruba principhanterare för ClearPass |
6.5.1 |
Ja |
Puls-Policy säker |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Åtgärda under provningen |
Cisco identifiera tjänster motor 2. x |
2.0.0.306 patch 1 |
Åtgärda under provningen |
Lösning
Rekommenderad lösning
Arbeta med IT-administratören uppdatera RADIUS-servern till rätt version som innehåller en korrigeringsfil.
Tillfällig lösning för Windows-baserade datorer som har installerat uppdateringen för November
Obs! Microsoft rekommenderar användning av TLS 1.2 för EAP-autentisering om det stöds. Även om alla kända problem i TLS 1.0 har tillgängliga korrigeringar, erkänna att TLS 1.0 är en äldre standard som har kunnat påvisas sårbar.
Om du vill konfigurera TLS-version som EAP används som standard måste du lägga till ett DWORD-värde som har namnet TlsVersion till följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Värdet för registernyckeln kan vara 0xC0, 0x300 eller 0xC00.
Kommentarer
-
Den här registernyckeln är tillämplig endast för EAP-TLS och PEAP; TTLS beteende påverkas inte.
-
Om EAP-klienten och servern EAP är felaktigt konfigurerat så att det finns inga gemensamma konfigurerats TLS-version, kommer autentiseringen att misslyckas och kan användaren förlora nätverksanslutningen. Därför rekommenderar vi att IT-administratörer tillämpa inställningarna och att inställningarna testas före distributionen. En användare kan manuellt konfigurera TLS versionsnummer om servern stöder motsvarande TLS-version.
Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Hur du säkerhetskopierar och återställer registret i Windows
Så här lägger du till dessa registervärden:
-
Klicka på Start, Kör, Skriv regedit i rutan Öppna och klicka sedan på OK.
-
Leta upp och klicka på följande undernyckel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Peka på Nyttpå Redigera-menyn och klicka sedan på DWORD-värde.
-
Skriv TlsVersion som namn på DWORD-värdet och tryck sedan på RETUR.
-
Högerklicka på TlsVersionoch klicka sedan på Ändra.
-
Använd följande värden för olika versioner av TLS i rutan data och klicka på OK.
TLS-version
DWORD-värde
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Avsluta Registereditorn och starta om datorn eller starta om tjänsten EapHost.
Mer Information
Relaterad dokumentation:
Microsoft-säkerhetsmeddelande: uppdatering för Microsoft EAP-implementeringen som gör det möjligt att använda TLS: 14 oktober 2014
https://support.microsoft.com/kb/2977292