Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Symptom

När du har installerat Windows 10 November uppdatering till en enhet, du kan inte ansluta till ett nätverk med WPA 2 företag som använder certifikat för autentisering på serversidan eller ömsesidigt (EAP TLS, PEAP, TTLS).

Orsak

I Windows 10 November uppdatering, EAP uppdaterades till stöd för TLS 1.2. Detta innebär att om servern meddelar stöd för TLS 1.2 under TLS-förhandling, TLS 1.2 ska användas.

Vi har rapporter att vissa RADIUS-serverimplementeringar uppstår ett programfel med TLS 1.2. I det här scenariot bugg, EAP-autentiseringen lyckas men beräkningen MPPE nyckel misslyckas på grund av en felaktig PRF (Pseudo-slumptalsfunktion) används.

RADIUS-servrar som har visat sig påverkas

Obs! Den här informationen baseras på forskning och partner. Vi kommer att lägga till mer information som vi kan få mer information.

Server

Ytterligare information

Korrigering är tillgänglig

FreeRADIUS 2. x

2.2.6 för alla TLS baserade metoder 2.2.6 - 2.2.8 för TTL-värden

Ja

FreeRADIUS 3. x

3.0.7 för alla TLS baserade metoder, 3.0.7-3.0.9 för TTL-värden

Ja

Värmeelement

4.14 när den används med Net::SSLeay 1.52 eller tidigare

Ja

Aruba principhanterare för ClearPass

6.5.1

Ja

Puls-Policy säker

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

Åtgärda under provningen

Cisco identifiera tjänster motor 2. x

2.0.0.306 patch 1

Åtgärda under provningen


Lösning

Rekommenderad lösning

Arbeta med IT-administratören uppdatera RADIUS-servern till rätt version som innehåller en korrigeringsfil.

Tillfällig lösning för Windows-baserade datorer som har installerat uppdateringen för November

Obs! Microsoft rekommenderar användning av TLS 1.2 för EAP-autentisering om det stöds. Även om alla kända problem i TLS 1.0 har tillgängliga korrigeringar, erkänna att TLS 1.0 är en äldre standard som har kunnat påvisas sårbar.

Om du vill konfigurera TLS-version som EAP används som standard måste du lägga till ett DWORD-värde som har namnet TlsVersion till följande registerundernyckel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Värdet för registernyckeln kan vara 0xC0, 0x300 eller 0xC00.

Kommentarer

  • Den här registernyckeln är tillämplig endast för EAP-TLS och PEAP; TTLS beteende påverkas inte.

  • Om EAP-klienten och servern EAP är felaktigt konfigurerat så att det finns inga gemensamma konfigurerats TLS-version, kommer autentiseringen att misslyckas och kan användaren förlora nätverksanslutningen. Därför rekommenderar vi att IT-administratörer tillämpa inställningarna och att inställningarna testas före distributionen. En användare kan manuellt konfigurera TLS versionsnummer om servern stöder motsvarande TLS-version.


Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

322756 Hur du säkerhetskopierar och återställer registret i Windows


Så här lägger du till dessa registervärden:

  1. Klicka på Start, Kör, Skriv regedit i rutan Öppna och klicka sedan på OK.

  2. Leta upp och klicka på följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. Peka på Nyttpå Redigera-menyn och klicka sedan på DWORD-värde.

  4. Skriv TlsVersion som namn på DWORD-värdet och tryck sedan på RETUR.

  5. Högerklicka på TlsVersionoch klicka sedan på Ändra.

  6. Använd följande värden för olika versioner av TLS i rutan data och klicka på OK.

    TLS-version

    DWORD-värde

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. Avsluta Registereditorn och starta om datorn eller starta om tjänsten EapHost.

Mer Information

Relaterad dokumentation:

Microsoft-säkerhetsmeddelande: uppdatering för Microsoft EAP-implementeringen som gör det möjligt att använda TLS: 14 oktober 2014
https://support.microsoft.com/kb/2977292

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×