Triệu chứng
Sau khi bạn áp dụng Windows 10 tháng Cập Nhật thiết bị, bạn không thể kết nối mạng WPA-2 doanh nghiệp đang sử dụng chứng chỉ xác thực phía máy chủ hoặc chung (EAP TLS, PEAP, TTLS).
Nguyên nhân
Trong cửa sổ Cập Nhật tháng 10, EAP được Cập Nhật để hỗ trợ TLS 1.2. Điều này có nghĩa là, nếu máy chủ quảng cáo hỗ trợ TLS 1.2 trong thoả thuận TLS, TLS 1.2 sẽ được sử dụng.
Chúng tôi đã báo cáo rằng một số Radius triển khai máy chủ gặp lỗi với TLS 1.2. Trong trường hợp lỗi này, EAP xác thực thành công nhưng tính MPPE phím không thành công do một sai PRF (giả ngẫu nhiên năng) được sử dụng.
Radius chủ động bị ảnh hưởng
Lưu ý Thông tin này dựa trên nghiên cứu và đối tác. Chúng tôi sẽ thêm chi tiết khi chúng tôi nhận được dữ liệu.
|
Máy chủ |
Thông tin bổ sung |
Sửa chữa có sẵn |
|
FreeRADIUS 2. x |
2.2.6 cho tất cả TLS dựa trên phương pháp 2.2.6 - 2.2.8 cho TTLS |
Có |
|
FreeRADIUS 3. x |
3.0.7 cho tất cả TLS dựa trên phương pháp 3.0.7-3.0.9 cho TTLS |
Có |
|
Radiator |
4,14 khi sử dụng Net::SSLeay 1.52 hoặc trước đó |
Có |
|
Quản lý chính sách ClearPass Aruba |
6.5.1 |
Có |
|
Mạch chính sách bảo mật |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Khắc phục sự cố trong kiểm tra |
|
Cisco xác định chương trình dịch vụ 2. x |
2.0.0.306 vá 1 |
Khắc phục sự cố trong kiểm tra |
Giải pháp
Khắc phục sự cố được khuyến nghị
Làm việc với người quản trị CNTT Cập Nhật máy chủ Radius phù hợp với phiên bản bao gồm các bản vá.
Các giải pháp tạm thời để máy tính chạy trên Windows có áp dụng bản Cập Nhật tháng
Lưu ý Microsoft khuyến cáo sử dụng TLS 1.2 EAP xác thực bất cứ nơi nào được hỗ trợ. Mặc dù tất cả các vấn đề trong TLS 1.0 có bản vá lỗi có sẵn, chúng tôi nhận thấy rằng TLS 1.0 là một tiêu chuẩn cũ hơn được chứng minh bị.
Để đặt cấu hình bản TLS EAP sử dụng theo mặc định, bạn phải thêm một giá trị DWORD có tên TlsVersion vào khoá con đăng ký sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Giá trị của khoá đăng ký này có thể là 0xC0, 0x300 hoặc 0xC00.
Lưu ý:
-
Khoá đăng ký này được áp dụng chỉ đến EAP TLS PEAP; nó không ảnh hưởng đến hành vi TTLS.
-
Nếu EAP khách và máy chủ EAP sai để có phổ biến không cấu hình Phiên bản TLS, xác thực sẽ thất bại và người dùng có thể mất kết nối mạng. Do đó, chúng tôi khuyên người quản trị CNTT chỉ áp dụng các thiết đặt và cài đặt được kiểm tra trước khi triển khai. Tuy nhiên, người dùng có thể cấu hình số phiên bản TLS nếu máy chủ hỗ trợ bản TLS tương ứng.
Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows
Để thêm các giá trị đăng ký, hãy làm theo các bước sau:
-
Bấm bắt đầu, bấm chạy, gõ regedit trong ô mở , và sau đó bấm OK.
-
Định vị và sau đó bấm vào khoá sau trong sổ đăng ký:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
Trên menu Chỉnh sửa, trỏ chuột vào Mới, sau đó bấm Giá trị DWORD.
-
Gõ TlsVersion cho tên giá trị, và sau đó nhấn Enter.
-
Bấm chuột phải vào TlsVersion, và sau đó bấm sửa đổi.
-
Trong ô dữ liệu giá trị , sử dụng các giá trị sau cho các phiên bản khác nhau của TLS, và sau đó bấm OK.
Phiên bản TLS
GIÁ trị
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Thoát khỏi Registry Editor, và sau đó khởi động lại máy hoặc khởi động lại dịch vụ EapHost.
Thông tin
Tài liệu liên quan:
Microsoft ậ: Cập Nhật cho Microsoft EAP triển khai cho phép sử dụng TLS: ngày 14 tháng 4 năm 2014
https://support.microsoft.com/kb/2977292
