Windows 11 versione 22H2

Avvertimento

Il contenuto delle sezioni seguenti è in costante aggiornamento sulla base delle informazioni condivise da Géant e dalla Federazione eduroam.

Géant è in contatto costante con Microsoft al fine di sollecitare una rapida risoluzione delle problematiche riscontrate.

Ultimo aggiornamento: 12 ott 2022.

Windows Defender Credential Guard

A partire da Windows 11 Enterprise, versione 22H2 and Windows 11 Education, version 22H2 il Windows Defender Credential Guard viene abilitato di default.

Quando abilitato, il Windows Defender Credential Guard, non consente l'utilizzo dell'autenticazione classica NTLM per il Single Sign-On ma richiede l'immissione delle credenziali per usare tale protocollo ed inibisce il salvataggio delle credenziali per un uso futuro.

Ciò comporta che le autenticazioni NTLM/MSCHAPv2 siano disabilitate con enormi ripercussioni nell'autenticazione ad eduroam tramite EAP-PEAP.

Il Windows Defender Credential Guard può essere disabilitato manualmente come di seguito indicato:

  • I dispositivi che vedono attivato il Windows Defender Credential Guard dopo l'aggiornamento alla versione 22H2 e sui quali non era in precedenza attivo, possono procedere alla disabilitazione tramite il Group Policy:

    • Computer Configuration > Administrative Templates > System > Device Guard > Turn On Virtualization Based Security

    • Nella sezione Credential Guard Configuration, selezionare Disabled

  • In alternativa può essere disabilitato tramite la modifica delle chiavi di registro:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags impostando il valore a 0

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags impostando il valore a 0

    Nota

    La sola cancellazione delle suddette chiavi non disabilita Windows Defender Credential Guard. Esse devono essere impostate a 0

  • Riavviare il sistema

Per ulteriori informazioni è possibile far riferimento alla documentazione ufficiale di Microsoft.

TLS v1.3

Ove il Windows Defender Credential Guard sia disattivato e si riscontrino problemi di autenticazione ad eduroam da parte di dispositivi con sistema operativo Windows 11 versione 22H2, il problema potrebbe essere legato all'abilitazione automatica di TLS v1.3 da parte di Windows.

L'utilizzo di TLS v1.3 in EAP-TTLS e PEAP richiede alcuni cambiamenti nell'implementazione della derivazione delle chiavi crittografiche dalla sessione TLS, sia lato supplicant (client) che lato server RADIUS dell'Identity Provider 1; senza questi cambiamenti, se TLS v1.3 viene negoziato comunque, la derivazione delle chiavi viene effettuata in modo non corretto oppure fallisce. L'effetto finale è che il client non riesce più ad autenticarsi e a connettersi alla rete.

Ad oggi non c'e' ancora uno standard definitivo (RFC) per TLS v1.3 in EAP-TTLS e PEAP; si tratta di una Internet-Draft, e solamente alcune versioni molto recenti di alcuni supplicant e server RADIUS la implementano già in maniera corretta.

All'utente non viene mostrato alcun messaggio di errore se non la richiesta di inserire nuovamente le credenziali. Oppure, dopo alcuni tentativi, viene mostrato un generico messaggio del tipo Non e' possibile connettersi a questa rete o simile. Anche il Registro eventi non contiene nulla di utile.

Il problema si sta diffondendo velocemente man mano che l'aggiornamento di Windows viene installato sulle macchine degli utenti in quanto Windows 11 22H2 attiva di TLS v1.3 di default anche per EAP-TTLS e PEAP.

Il problema ove si verifichi può essere risolto sostanzialmente nei seguenti modi:

  • aggiornare il server RADIUS dell'Identity Provider 1 ad una versione che supporti correttamente TLS v1.3.

    • FreeRADIUS: dalla versione 3.0.26 supporta TLS v1.3 correttamente.

  • disabilitare TLS v1.3 sui server RADIUS dell'Identity Provider 1

    • FreeRADIUS: Modificare la configurazione del modulo eap inserendo:

      tls_min_version = "1.0"
tls_max_version = "1.2"

  • disabilitare TLS v1.3 nel supplicant modificando il registro di sistema:

    • Individuare la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13

    • Creare una chiave di tipo DWORD chiamata TLSVersion con valore FC0 2.

    • Effettuare il logout e i login. Ora dovrebbe essere possibile autenticarsi nuovamente alla rete eduroam.

      Nota

      Questa impostazione su Windows è globale per tutta la macchina, quindi richiede privilegi di Administrator per essere applicata.

Note

1(1,2,3)

Si noti che le informazioni indicate riguardano solo gli Identity Provider con cui i supplicant (client) instaurano un tunnel cifrato nel quale sono veicolate le credenziali di autenticazione. Non riguardando i Resource Provider il cui ruolo è quello di inoltrare le richieste di autenticazione ai Top Level Radius della Federazione eduroam.

2

Si tratta di una bitmask che abilita soltanto TLS v1.0, v1.1 e v1.2 disabilitando tutte le altre versioni (compresa quindi la v1.3).

Procedura aggiornamento Certification Authority certificati radius server