狀況
套用 Windows 10 11 月更新到裝置後,您無法連線至使用伺服器端或相互驗證 (EAP TLS, PEAP, TTLS) 之憑證的 WPA 2 企業網路。
原因
在 [視窗 10 年 11 月更新,EAP 已經更新,以支援 TLS 1.2。這意味著,如果伺服器通告 TLS 1.2 的支援 TLS 交涉期間,TLS 1.2 將會使用。我們有某些 Radius 伺服器實作遇到錯誤,以與 TLS 1.2 的報表。在這個 bug 的案例中,EAP 驗證成功,但 MPPE 機碼計算會失敗,因為使用不正確的 PRF (虛擬隨機函數)。
已知受影響的 radius 伺服器
注意這項資訊根據研究和協力廠商報告上。我們會加入更多詳細資料,因為我們取得更多的資料。
|
伺服器 |
其他資訊 |
可用的修正程式 |
|
FreeRADIUS 2。x |
2.2.6 適用於所有基於 TLS 的方法, 2.2.8 到 2.2.6 適用於 TTLS |
是 |
|
FreeRADIUS 3。x |
3.0.7 所有的 TLS 的基礎悄悄的 3.0.7-3.0.9 的方法 |
是 |
|
散熱 |
當使用 Net::SSLeay 1.52 或更早版本的 4.14 |
是 |
|
阿路巴弗 ClearPass 原則管理員 |
6.5.1 |
是 |
|
脈衝原則安全 |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
受測試修正 |
|
Cisco 識別服務發動機 2。x |
2.0.0.306 補充程式 1 |
受測試修正 |
解決方案
建議的修正程式
使用您的 IT 管理員,以更新 Radius 伺服器,其包含的修正程式的適當版本。
已套用年 11 月更新的 windows 電腦暫時的解決方法
注意Microsoft 建議將 EAP 驗證 TLS 1.2,無論它受支援。雖然在 TLS 1.0 的所有已知的問題有可用的修補程式,我們會辨識 TLS 1.0 是早期標準,已證實這樣易受攻擊。若要設定預設會使用 EAP TLS 版本,您必須新增 DWORD 值,具有名為TlsVersion到下列登錄子機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13這個登錄機碼的值可以是 0xC0,0x300 或 0xC00。注意事項
-
這個登錄機碼是只適用於 EAP-TLS 和 PEAP;它不會影響悄悄行為。
-
如果 EAP 用戶端和 EAP 伺服器錯誤,以便有沒有通用設定 TLS 版本、 驗證將會失敗,而且使用者可能會失去網路連線。因此,我們建議 IT 系統管理員只會套用這些設定,並設定進行測試部署之前。不過,如果伺服器支援對應的 TLS 版本的使用者可以手動設定 TLS 的版本號碼。
重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:322756如何備份及還原 Windows 中的登錄若要新增這些登錄值,請依照下列步驟執行︰
-
按一下 [開始,按一下 [執行]、 [開啟] 方塊中輸入 regedit,然後按一下[確定]。
-
找出並按一下登錄中的下列子機碼︰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
-
在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
-
名稱的 DWORD 值中,輸入TlsVersion ,然後按 Enter 鍵。
-
以滑鼠右鍵按一下TlsVersion,,,然後按一下 [修改]。
-
在 [數值資料] 方塊中,使用 TLS,不同版本的下列值,然後按一下[確定]。
TLS 版本
DWORD 值
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
結束 「 登錄編輯程式,然後重新啟動電腦,或重新啟動 EapHost 服務。
更多的資訊
相關的文件︰Microsoft 安全性公告︰ 更新可讓使用 TLS 的 Microsoft EAP 實作:,到 2014 年 10 月 14https://support.microsoft.com/kb/2977292
