Applies ToWindows 10

症状

应用后到设备的 Windows 10 11 月更新,您无法连接到的 WPA-2 企业网络,则使用证书进行服务器端或相互身份验证 (EAP-TLS,PEAP TTLS)。

原因

在 Windows 中 10 11 月更新,EAP 被更新到支持 TLS 1.2。这意味着,如果服务器将支持 TLS 1.2 公布在 TLS 协商过程中,则将使用 TLS 1.2。我们有一些 Radius 服务器实现经验与 TLS 1.2 bug 报告。此 bug 方案中,EAP 身份验证成功,但 MPPE 键计算将失败,因为使用不正确的 PRF (伪随机函数)。

受影响的 radius 服务器

注意:此信息基于对研究和合作伙伴的报告。我们将添加为我们获取更多数据的更多详细信息。

服务器

其他信息

可用的修复

FreeRADIUS 2。x

2.2.6 的所有 TLS 基于方法,2.2.6-为 TTLS 2.2.8

FreeRADIUS 3。x

3.0.7 的所有 TLS 基于 TTL 的 3.0.7-3.0.9 的方法

暖气装置

当使用与 Net::SSLeay 1.52 或更早版本的 4.14

阿鲁巴岛 ClearPass 策略管理器

6.5.1

脉冲策略安全

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089

在测试下修复

Cisco Identify Services Engine 2。x

2.0.0.306 修补程序 1

在测试下修复

解决方案

建议的修复

使用您的 IT 管理员来更新为包含修补程序的适当版本的 Radius 服务器。

对于应用了 11 月更新的基于 Windows 的计算机的临时解决办法

注意:Microsoft 建议使用 EAP 身份验证的 TLS 1.2,它支持的任何地方。尽管在 TLS 1.0 的所有已知的问题有可用的修补程序,但我们认为 TLS 1.0 是旧标准,已被证实很容易。若要配置默认 EAP 使用 TLS 版本,必须添加一个 DWORD 值,提名TlsVersion到下面的注册表子项︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13此注册表项的值可以是 0xC0,0x300 或 0xC00。备注:

  • 此注册表项将仅适用于 EAP-TLS 和 PEAP;它不影响 TTLS 行为。

  • 如果 EAP 端和 EAP 服务器配置不正确,以便有无常见配置 TLS 版本、 身份验证将失败,和用户可能会丢失网络连接。因此,我们建议只有 IT 管理员应用这些设置并在部署之前测试这些设置。但是,用户可以手动配置 TLS 版本编号,如果服务器支持相应的 TLS 版本。

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:322756如何在 Windows 中备份和还原注册表若要添加这些注册表值,请执行以下步骤︰

  1. 单击开始,单击运行,在打开框中,键入注册表编辑器,然后单击确定。

  2. 找到并单击以下注册表子项中︰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

  3. 在编辑菜单上,指向新建,然后单击 DWORD 值。

  4. 名称的 DWORD 值,键入TlsVersion ,然后按 enter 键。

  5. TlsVersion,用鼠标右键单击,然后单击修改。

  6. 在数值数据框中,TLS,各种版本使用以下值,然后单击确定。

    TLS 版本

    双字节值

    TLS 1.0

    0xC0

    TLS 1.1

    0x300

    TLS 1.2

    0xC00

  7. 退出注册表编辑器,然后重新启动计算机或重新启动 EapHost 服务。

详细信息

相关的文档︰Microsoft 安全通报︰ 更新为允许使用 TLS 的 Microsoft EAP 实施︰ 2014,10 月 14https://support.microsoft.com/kb/2977292

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。