Windows 10 裝置無法連線到的 802.1 X 環境

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3121002
徵狀
套用之後到裝置的 Windows 10 年 11 月更新,,您無法連線到 WPA 2 企業的網路,使用伺服器端或相互驗證 (EAP TLS,PEAP,悄悄) 的憑證。
發生的原因
在 [視窗 10 年 11 月更新,EAP 已經更新,以支援 TLS 1.2。這意味著,如果伺服器通告 TLS 1.2 的支援 TLS 交涉期間,TLS 1.2 將會使用。

我們有某些 Radius 伺服器實作遇到錯誤,以與 TLS 1.2 的報表。在這個 bug 的案例中,EAP 驗證成功,但 MPPE 機碼計算會失敗,因為使用不正確的 PRF (虛擬隨機函數)。

已知受影響的 radius 伺服器
注意這項資訊根據研究和協力廠商報告上。我們會加入更多詳細資料,因為我們取得更多的資料。

伺服器其他資訊可用的修正程式
可用的 RADIUS 2。x2.2.6 所有的 TLS 的基礎悄悄的 2.2.8,2.2.6-方法
可用的 RADIUS 3。x3.0.7 所有的 TLS 的基礎悄悄的 3.0.7-3.0.9 的方法
散熱當使用 Net::SSLeay 1.52 或更早版本的 4.14
阿路巴弗 ClearPass 原則管理員6.5.1
脈衝原則安全https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089受測試修正
Cisco 識別服務發動機 2。x2.0.0.306 補充程式 1受測試修正

解決方案

建議的修正程式

使用您的 IT 管理員,以更新 Radius 伺服器,其包含的修正程式的適當版本。

已套用年 11 月更新的 windows 電腦暫時的解決方法

注意Microsoft 建議將 EAP 驗證 TLS 1.2,無論它受支援。雖然在 TLS 1.0 的所有已知的問題有可用的修補程式,我們會辨識 TLS 1.0 是早期標準,已證實這樣易受攻擊。

若要設定預設會使用 EAP TLS 版本,您必須新增 DWORD 值,具有名為TlsVersion到下列登錄子機碼:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

這個登錄機碼的值可以是 0xC0,0x300 或 0xC00。

注意事項
  • 這個登錄機碼是只適用於 EAP-TLS 和 PEAP;它不會影響悄悄行為。
  • 如果 EAP 用戶端和 EAP 伺服器錯誤,以便有沒有通用設定 TLS 版本、 驗證將會失敗,而且使用者可能會失去網路連線。因此,我們建議 IT 系統管理員只會套用這些設定,並設定進行測試部署之前。不過,如果伺服器支援對應的 TLS 版本的使用者可以手動設定 TLS 的版本號碼。

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

322756 如何備份及還原 Windows 中的登錄


若要新增這些登錄值,請依照下列步驟執行:
  1. 按一下 [開始,按一下 [執行]、 [開啟] 方塊中輸入 regedit,然後按一下[確定]
  2. 找出並按一下登錄中的下列子機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
  3. [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]
  4. 型別 TlsVersion 名稱的 DWORD 值],然後按 Enter 鍵。
  5. 以滑鼠右鍵按一下TlsVersion,,,然後按一下 [修改]
  6. 在 [數值資料] 方塊中,使用 TLS,不同版本的下列值,然後按一下[確定]

    TLS 版本DWORD 值
    TLS 1.00xC0
    TLS 1.10x300
    TLS 1.2 0xC00
  7. 結束 「 登錄編輯程式,然後重新啟動電腦,或重新啟動 EapHost 服務。
其他相關資訊
相關的文件:

Microsoft 安全性公告: 更新可讓使用 TLS 的 Microsoft EAP 實作:,到 2014 年 10 月 14
https://support.microsoft.com/en-us/kb/2977292

警告:本文為自動翻譯

內容

文章識別碼:3121002 - 最後檢閱時間:12/07/2015 19:29:00 - 修訂: 2.0

Windows 10

  • kbexpertiseadvanced kbtshoot kbsurveynew kbmt KB3121002 KbMtzh
意見反應