อาการ
หลังจากที่คุณใช้ Windows update 10 พฤศจิกายนกับอุปกรณ์ คุณไม่สามารถเชื่อมต่อกับเครือข่ายองค์กร WPA 2 ที่ใช้ใบรับรองสำหรับการตรวจสอบ ฝั่งเซิร์ฟเวอร์ หรือซึ่งกันและกัน (TLS EAP, PEAP, TTLS)
สาเหตุ
ในหน้าต่างการปรับปรุงเดือน 10 พฤศจิกายน EAP ที่มีการปรับปรุงเพื่อสนับสนุน TLS 1.2 บ่งชี้ว่า ถ้าเซิร์ฟเวอร์โฆษณาสนับสนุนสำหรับ TLS 1.2 ในระหว่างการเจรจา TLS, TLS 1.2 จะใช้
เรามีรายงานที่ใช้งานเซิร์ฟเวอร์บางรัศมีพบจุดบกพร่อง ด้วย TLS 1.2 ในสถานการณ์นี้ข้อบกพร่อง การพิสูจน์ตัวจริงของ EAP สำเร็จ แต่การคำนวณคีย์ MPPE ล้มเหลวเนื่องจากมีใช้ PRF ไม่ถูกต้อง (ฟังก์ชันสุ่มเทียม)
เซิร์ฟเวอร์ radius ที่ทราบว่าทำให้ได้รับผลกระทบ
หมายเหตุ ใช้ข้อมูลนี้ในรายงานการวิจัยและคู่ค้า เราจะเพิ่มรายละเอียดเพิ่มเติม ตามที่เราได้รับข้อมูลเพิ่มเติม
เซิร์ฟเวอร์ |
ข้อมูลเพิ่มเติม |
การแก้ไขที่พร้อมใช้งาน |
2 FreeRADIUS x |
2.2.6 สำหรับ TLS ทั้งหมดตามวิธีการ 2.2.6 - 2.2.8 สำหรับ TTLS |
ใช่ |
3 FreeRADIUS x |
3.0.7 สำหรับ TLS ทั้งหมดตามวิธีการ 3.0.7-3.0.9 สำหรับ TTLS |
ใช่ |
Radiator |
เมื่อใช้ กับ Net::SSLeay 1.52 หรือรุ่นก่อนหน้านี้ที่ 4.14 |
ใช่ |
จัดการนโยบาย ClearPass Aruba |
6.5.1 |
ใช่ |
หมุนนโยบายความปลอดภัย |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
แก้ไขภายใต้การทดสอบ |
Cisco ระบุกลไกจัดการบริการ 2 x |
มีโปรแกรมแก้ไข 2.0.0.306 1 |
แก้ไขภายใต้การทดสอบ |
การแก้ปัญหา
แก้ไขปัญหาที่แนะนำ
การทำงานกับผู้ดูแลระบบ IT ของคุณเพื่อปรับปรุงเซิร์ฟเวอร์ Radius เป็นรุ่นที่เหมาะสมที่รวมการแก้ไข
วิธีแก้ปัญหาชั่วคราวสำหรับคอมพิวเตอร์ที่ใช้ Windows ที่มีใช้การปรับปรุงเดือนพฤศจิกายน
หมายเหตุ Microsoft แนะนำให้ใช้สำหรับการรับรองความถูกต้องของ EAP TLS 1.2 ที่ใดก็ได้จะได้รับการสนับสนุน แม้ว่าปัญหาทั้งหมดใน TLS 1.0 มีโปรแกรมปรับปรุงที่พร้อมใช้งาน เรารับรู้ว่า TLS 1.0 เป็นมาตรฐานที่เก่ากว่าที่ไม่ได้รับรองแล้วว่ามีช่องโหว่
เมื่อต้องการตั้งค่าคอนฟิก TLS รุ่นที่ EAP ที่ใช้ตามค่าเริ่มต้น คุณต้องเพิ่มค่า DWORD ที่มีชื่อว่าTlsVersionกับคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
ค่าของคีย์รีจิสทรีนี้อาจเป็น 0xC0, 0x300 หรือ 0xC00 ได้
หมายเหตุ
-
รีจิสทรีคีย์นี้จะใช้ได้เฉพาะกับ EAP TLS และ PEAP จะไม่มีผลต่อลักษณะการทำงานของ TTLS
-
ถ้า EAP ไคลเอนต์และเซิร์ฟเวอร์ EAP จะ misconfigured ให้เป็น ทั่วไปไม่มีการกำหนดค่า TLS รุ่น รับรองความถูกต้องจะล้มเหลว และผู้ใช้อาจสูญเสียการเชื่อมต่อเครือข่าย ดังนั้น เราขอแนะนำให้ เฉพาะผู้ดูแลระบบใช้การตั้งค่าเหล่านี้ และการตั้งค่าจะได้รับการทดสอบก่อนที่จะปรับใช้ อย่างไรก็ตาม ผู้ใช้สามารถด้วยตนเองกำหนดค่าหมายเลขรุ่นของ TLS เซิร์ฟเวอร์สนับสนุนรุ่น TLS สอดคล้องกัน
สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows
เมื่อต้องการเพิ่มค่ารีจิสทรีเหล่านี้ ให้ทำตามขั้นตอนเหล่านี้:
-
คลิกเริ่มคลิกเรียกใช้พิมพ์ regedit ในกล่องเปิดแล้ว คลิ กตกลง
-
ค้นหา และคลิกคีย์ย่อยที่ต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
บนเมนูแก้ไขชี้ไปที่สร้างแล้ว คลิ กDWORD Value
-
พิมพ์TlsVersionสำหรับชื่อของค่า DWORD และจากนั้น กด Enter
-
คลิกขวาที่TlsVersionและจากนั้น คลิกปรับเปลี่ยน
-
ในกล่องValue dataใช้ค่าต่อไปนี้สำหรับรุ่นต่าง ๆ ของ TLS และจากนั้น คลิกตกลง
รุ่น TLS
ค่า DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
ออกจากตัวแก้ไขรีจิสทรี แล้วรีสตาร์ทเครื่องคอมพิวเตอร์ หรือเริ่มบริการ EapHost
ข้อมูลเพิ่มเติม
เอกสารที่เกี่ยวข้อง:
คำแนะนำด้านความปลอดภัย Microsoft: การปรับปรุงสำหรับการใช้งาน Microsoft EAP ที่ช่วยให้การใช้ TLS: 14 ตุลาคม 2014
https://support.microsoft.com/kb/2977292