top of page
Search

TEHNILINE NÕU: Võrguprobleemid pärast Windows 11-le üleminekut? Loe seda!

ree

Mõistame, et nii meie kui meie kliendid tahaksid näha oma infotehnoloogia lahenduste hulgas rohkem Euroopas arendatud, toodetud ja meie privaatsusregulatsioonidele vastavat tehnoloogiat. Aga see muutus ei toimu üleöö. Mõnel juhul ei ole meil täna häid alternatiive. Microsofti operatsioonisüsteem Windows jääb meiega ärikasutuses veel pikaks ajaks. Windows 10 tugi lõppeb aga sel kuul (oktoobris 2025) ja tuleb minna üle uuele Windows 11-le (kui just ei ole isu ette võtta kasutajate Linuxi peale migreerimist).

 

Replicant IT turustab ainult Euroopa tehnoloogiat, kuid toetab oma kliente teenustega, sõltumata tehnoloogia päritolust. Meie tehniline meeskond on kohanud Windows 11-le üleminekul üht tehnilist tõrget, mille lahenduskäiku teiega jagame.

 

Artikkel on küllalt tehniline. Kui sisu jääb arusaamatuks, aga olete parasjagu uuendamas oma organisatsiooni arvuteid uuele Windows 11 operatsioonisüsteemile, võtke meiega ühendust, aitame.

 

 

Probleemi kirjeldus

 

Turvaline LAN kasutades RADIUS serverit lakkas töötamast peale tööjaama uuendamist Windows 10 pealt Windows 11 peale.

 

Selle tulemusena ei saanud Windows 11 arvutid enam turvalisse sisevõrku ja switch ühendas seadme pordile seadistatud fallback võrku.

 

Fallback võrguks on tavaliselt külaliste võrk või muu võrk mille kaudu pole võimalik ettevõtte sisevõrku siseneda.

 

Juurpõhjus

 

Olukord tekkis seetõttu, et Windows 11 turvalisuse vaikimisi lävend (security baseline) on kõrgem Windows 10'st ja grupipoliitikaga rakenduvad võrguprofiilid on mõjutatud. Credential Guard on Windows 10-es küll võimalik seadistada, kuid Windows 11 puhul on see vaikimisi sisse lülitatud.

 

Lahenduskäik

 

Olukorra lahendamiseks loodi eraldi OU (Organizational Unit) Active Directory-s, kuhu lisati Windows 11 tööjaamad ja nende jaoks loodi ka eraldi grupipoliitika.

 

Uues grupipoliitikas tehti järgnevad muudatusi võrreldes olemasoleva Windows 10 masinate GPO-ga:

Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Wired Network (IEEE 802.3) Policies

 

  • Protected EAP Properties valiku all valiti linnukesega Verify the server’s identity by validating the certificate

  • Trusted Root Certification Authorities all kontrollitud ja valitud, et oleks valitud konkreetse CA root sertifikaat, mis väljastas sertifikaadi ka NPS serveri(te)le.

  • Valitud linnukesega Connect to these servers ja NPS serverite FQDN-id kirjutatud suure/väikse tähe tundlikusega.

  • Select Authentication Method all on valitud Smart Card or other certificate kuna EAP-MSCHAP v2 ei ole Windows 11 puhul enam töökindel ja võib tekitada probleeme.


Kuvatõmmis
Kuvatõmmis

Ajutiselt saab autentimisprotokolli probleemi lahendada ka Credential Guard grupipoliitika välja lülitamisega, kuid see saab olla ainult ajutine, kuni olete MSCHAP v2 pealt liikunud EAP-TLS’i peale. 


Selle seadistuse välja lülitamine jätab teie süsteemid haavatavaks tundmatute rakenduste ja operatsioonisüsteemide vastu.


Kuvatõmmis
Kuvatõmmis

Peamised erinevused kahe autentimisprotokolli vahel:


  • EAP-TLS kasutab digitaalseid sertifikaate ja pakub kõrgemat turvalisust kui PEAP-MSCHAPv2, mis tugineb kasutajatunnustele (kasutajanimi/parool).

  • PEAP-MSCHAPv2 on vastuvõtlik vahendaja-ründe (Man-in-the-Middle) käigus toimuvale tunnuste vargusele ja pass-the-hash rünnakutele.

  • EAP-TLS lihtsustab kasutaja jaoks autentimist, sest parooli meeldejätmine ja sage uuendamine ei ole vajalik.

 

Tööjaamas tegime taaskäivituse ja/või Command Promptis gpupdate /force. Peale seda õnnestus ühenduda ettevõtte turvalise võrguga. Sama lahendus kehtib ka Turvalise WIFI võrgu mittetoimimise puhul.

 

Muud esilekerkinud probleemid


Erinevaid põhjuseid turvalise LAN/WIFI võrgu mittetoimimise puhul on veel, loetleme siin osad, mis võivad ette tulla ja mis meie probleemi lahendamisel kõik ette tulid:

 

  • GPO võistlus – sama SSID/profiili määravad mitu GPO-d; “Winning GPO” võidab ja teine jääb varju.

  • PEAP/EAP seaded kliendil – Verify server’s identity on peal, kuid Root/Issuing CA pole usaldatud või Connect to these servers ei ühti NPS-i serdi SAN DNS-nimedega.

  • NPS-i sertifikaat – EKU/SAN ei vasta ootusele (nt SANist puudub NPS FQDN, mida klient ootab).

  • Klientseadmes puudub sertifikaat - Computer auto-enrollment seadistamata GPO-s

  • Windows 11 turvabaas – Credential Guard / LSA Protection jms võivad PEAP-MSCHAPv2 töökindlust vähendada. Microsofti soovitus on eelistada EAP-TLS-i.

  • VLAN atribuudid – VLAN suunamine on määratud ainult mõnes poliitikas või tingimused ei rakendu.

  • Draiverid – vanad Wi-Fi/Wired NIC draiverid põhjustavad autentimis- või krüptovigu.

 

 

 

Soovitame Windows 11 peale minekut planeerida ja alustada väiksema tööjaamade hulgaga. Soovid abi? Võta meiega ühendust!

 


 
 

Replicant IT

Replicant IT OÜ
Reg nr: 17209017

info@replicant.ee

Vana-Tartu mnt 79a
75312 Peetri, Rae vald

Eesti

Privaatsuspoliitika

Tahad suveräänset, turvalist ja õlitatud IT-d?
Otsid IT-partnerit, kes on päriselt proaktiivne?
Võta ühendust!

© 2025 Replicant IT OÜ

bottom of page