症状
应用后到设备的 Windows 10 11 月更新,您无法连接到的 WPA-2 企业网络,则使用证书进行服务器端或相互身份验证 (EAP-TLS,PEAP TTLS)。
原因
在 Windows 中 10 11 月更新,EAP 被更新到支持 TLS 1.2。这意味着,如果服务器将支持 TLS 1.2 公布在 TLS 协商过程中,则将使用 TLS 1.2。
我们有一些 Radius 服务器实现经验与 TLS 1.2 bug 报告。此 bug 方案中,EAP 身份验证成功,但 MPPE 键计算将失败,因为使用不正确的 PRF (伪随机函数)。
受影响的 radius 服务器
注意:此信息基于对研究和合作伙伴的报告。我们将添加为我们获取更多数据的更多详细信息。
|
服务器 |
其他信息 |
可用的修复 |
|
FreeRADIUS 2。x |
2.2.6 的所有 TLS 基于方法,2.2.6-为 TTLS 2.2.8 |
是 |
|
FreeRADIUS 3。x |
3.0.7 的所有 TLS 基于 TTL 的 3.0.7-3.0.9 的方法 |
是 |
|
暖气装置 |
当使用与 Net::SSLeay 1.52 或更早版本的 4.14 |
是 |
|
阿鲁巴岛 ClearPass 策略管理器 |
6.5.1 |
是 |
|
脉冲策略安全 |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
在测试下修复 |
|
Cisco Identify Services Engine 2。x |
2.0.0.306 修补程序 1 |
在测试下修复 |
解决方案
建议的修复
使用您的 IT 管理员来更新为包含修补程序的适当版本的 Radius 服务器。
对于应用了 11 月更新的基于 Windows 的计算机的临时解决办法
注意:Microsoft 建议使用 EAP 身份验证的 TLS 1.2,它支持的任何地方。尽管在 TLS 1.0 的所有已知的问题有可用的修补程序,但我们认为 TLS 1.0 是旧标准,已被证实很容易。
若要配置默认 EAP 使用 TLS 版本,必须添加一个 DWORD 值,提名TlsVersion到下面的注册表子项︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
此注册表项的值可以是 0xC0,0x300 或 0xC00。
备注:
-
此注册表项将仅适用于 EAP-TLS 和 PEAP;它不影响 TTLS 行为。
-
如果 EAP 端和 EAP 服务器配置不正确,以便有无常见配置 TLS 版本、 身份验证将失败,和用户可能会丢失网络连接。因此,我们建议只有 IT 管理员应用这些设置并在部署之前测试这些设置。但是,用户可以手动配置 TLS 版本编号,如果服务器支持相应的 TLS 版本。
重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何在 Windows 中备份和还原注册表
若要添加这些注册表值,请执行以下步骤︰
-
单击开始,单击运行,在打开框中,键入注册表编辑器,然后单击确定。
-
找到并单击以下注册表子项中︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
在编辑菜单上,指向新建,然后单击 DWORD 值。
-
名称的 DWORD 值,键入TlsVersion ,然后按 enter 键。
-
TlsVersion,用鼠标右键单击,然后单击修改。
-
在数值数据框中,TLS,各种版本使用以下值,然后单击确定。
TLS 版本
双字节值
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
退出注册表编辑器,然后重新启动计算机或重新启动 EapHost 服务。
详细信息
相关的文档︰
Microsoft 安全通报︰ 更新为允许使用 TLS 的 Microsoft EAP 实施︰ 2014,10 月 14
https://support.microsoft.com/kb/2977292
