狀況
套用 Windows 10 11 月更新到裝置後,您無法連線至使用伺服器端或相互驗證 (EAP TLS, PEAP, TTLS) 之憑證的 WPA 2 企業網路。
原因
在 [視窗 10 年 11 月更新,EAP 已經更新,以支援 TLS 1.2。這意味著,如果伺服器通告 TLS 1.2 的支援 TLS 交涉期間,TLS 1.2 將會使用。
我們有某些 Radius 伺服器實作遇到錯誤,以與 TLS 1.2 的報表。在這個 bug 的案例中,EAP 驗證成功,但 MPPE 機碼計算會失敗,因為使用不正確的 PRF (虛擬隨機函數)。
已知受影響的 radius 伺服器
注意這項資訊根據研究和協力廠商報告上。我們會加入更多詳細資料,因為我們取得更多的資料。
|
伺服器 |
其他資訊 |
可用的修正程式 |
|
FreeRADIUS 2。x |
2.2.6 適用於所有基於 TLS 的方法, 2.2.8 到 2.2.6 適用於 TTLS |
是 |
|
FreeRADIUS 3。x |
3.0.7 所有的 TLS 的基礎悄悄的 3.0.7-3.0.9 的方法 |
是 |
|
散熱 |
當使用 Net::SSLeay 1.52 或更早版本的 4.14 |
是 |
|
阿路巴弗 ClearPass 原則管理員 |
6.5.1 |
是 |
|
脈衝原則安全 |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
受測試修正 |
|
Cisco 識別服務發動機 2。x |
2.0.0.306 補充程式 1 |
受測試修正 |
解決方案
建議的修正程式
使用您的 IT 管理員,以更新 Radius 伺服器,其包含的修正程式的適當版本。
已套用年 11 月更新的 windows 電腦暫時的解決方法
注意Microsoft 建議將 EAP 驗證 TLS 1.2,無論它受支援。雖然在 TLS 1.0 的所有已知的問題有可用的修補程式,我們會辨識 TLS 1.0 是早期標準,已證實這樣易受攻擊。
若要設定預設會使用 EAP TLS 版本,您必須新增 DWORD 值,具有名為TlsVersion到下列登錄子機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
這個登錄機碼的值可以是 0xC0,0x300 或 0xC00。
注意事項
-
這個登錄機碼是只適用於 EAP-TLS 和 PEAP;它不會影響悄悄行為。
-
如果 EAP 用戶端和 EAP 伺服器錯誤,以便有沒有通用設定 TLS 版本、 驗證將會失敗,而且使用者可能會失去網路連線。因此,我們建議 IT 系統管理員只會套用這些設定,並設定進行測試部署之前。不過,如果伺服器支援對應的 TLS 版本的使用者可以手動設定 TLS 的版本號碼。
重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756如何備份及還原 Windows 中的登錄
若要新增這些登錄值,請依照下列步驟執行︰
-
按一下 [開始,按一下 [執行]、 [開啟] 方塊中輸入 regedit,然後按一下[確定]。
-
找出並按一下登錄中的下列子機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
-
名稱的 DWORD 值中,輸入TlsVersion ,然後按 Enter 鍵。
-
以滑鼠右鍵按一下TlsVersion,,,然後按一下 [修改]。
-
在 [數值資料] 方塊中,使用 TLS,不同版本的下列值,然後按一下[確定]。
TLS 版本
DWORD 值
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
結束 「 登錄編輯程式,然後重新啟動電腦,或重新啟動 EapHost 服務。
更多的資訊
相關的文件︰
Microsoft 安全性公告︰ 更新可讓使用 TLS 的 Microsoft EAP 實作:,到 2014 年 10 月 14
https://support.microsoft.com/kb/2977292
