Skip to main content
繁體中文

疑難排解 Windows 11 802.1X 驗證問題

本技術參考指南為 Windows 11 802.1X 驗證失敗提供了明確的診斷和補救路徑。它詳細說明了作業系統升級如何中斷憑證信任鏈和認證防護強制執行,並提供了可操作的 GPO 組態和適用於企業 IT 團隊的架構最佳實務。

📖 5 min read📝 1,107 words🔧 2 worked examples3 practice questions📚 8 key definitions

Listen to this guide

View podcast transcript
[介紹與背景] 您好,歡迎收聽來自 Purple 的技術簡報。我是主持人,今天我們要解決一個特定且影響深遠的問題,這個問題長期困擾著企業 IT 團隊:Windows 11 升級中斷 802.1X 無線驗證。 如果您正在管理企業網路——無論是廣闊的醫院園區、多據點的零售營運,還是大型公共場館——您依賴 802.1X 來保護您的無線基礎架構。這是黃金標準。但最近,我們看到支援工單數量激增,其中裝置升級到 Windows 11 後突然從安全的 Wi-Fi 中斷線。 今天,我們將詳細分析為什麼會發生這種情況、如何快速診斷,以及解決此問題並防止它在未來的推出階段再次發生所需採取的步驟。讓我們開始吧。 [技術深入探討] 那麼,當電腦更新到 Windows 11 時,實際上是什麼出了問題? 要了解失敗,我們必須查看驗證交握。大多數企業在其 802.1X 網路中使用 PEAP-MSCHAPv2 或 EAP-TLS。兩者都高度依賴憑證信任。當 Windows 用戶端嘗試連線時,RADIUS 伺服器(通常是網路原則伺服器或 NPS)會出示其憑證。然後,用戶端檢查它是否信任簽發 NPS 憑證的根憑證授權單位。 以下是 Windows 11 問題的關鍵所在:在某些升級路徑中,或者由於 Windows 11 中加強的安全性預設值,無線設定檔中受信任的根憑證繫結會被剝離或無法正確移轉。此外,Windows 11 在相容的硬體上預設啟用了認證防護,這改變了 NTLM 和 MS-CHAPv2 認證的儲存和存取方式,有時會破壞舊版 PEAP 組態。 當用戶端無法驗證伺服器的憑證時,連線會立即中斷。使用者只會看到「無法連線到此網路」,但在底層,這是 TLS 通道建立過程中的嚴重故障。 [實作建議與陷阱] 我們如何解決這個問題?立即的補救措施包括將更新的群組原則物件或 GPO 推送到您的端點。 首先,您必須確保您的根 CA 憑證已明確部署到所有用戶端電腦上的「受信任的根憑證授權單位」存放區。 其次,這是許多人忽略的步驟,您需要更新 GPO 中的無線網路 (IEEE 802.11) 原則。您必須在無線設定檔的 PEAP 或 EAP-TLS 內容中明確選取受信任的根 CA。如果未勾選該方塊,Windows 11 將拒絕連線。 我們看到的一個主要陷阱是 IT 團隊試圖透過完全停用伺服器憑證驗證來繞過問題。請不要這樣做。停用憑證驗證會使您的網路暴露於 Evil Twin 攻擊和認證收割。這違反了 PCI DSS 和 GDPR 合規要求。務必修復信任鏈;絕不繞過它。 對於長期解決方案,特別是如果您正在管理像 [零售業](/industries/retail) 或 [飯店業](/industries/hospitality) 這樣的大規模部署,請考慮完全脫離密碼型 PEAP。轉換到使用機器和使用者憑證的 EAP-TLS,對這些作業系統層級的認證變更更加穩健。您可以在我們關於 [實作 WPA3-Enterprise 以增強無線安全性](/guides/implementing-wpa3-enterprise-for-enhanced-wireless-security) 的指南中閱讀更多資訊。 [快問快答] 讓我們快速瀏覽幾個來自網路架構師的問題。 問題 1:「我們使用公開 CA 作為我們的 RADIUS 伺服器。我們仍需要透過 GPO 推送它嗎?」 答案:是的。即使 CA 預設在 Windows 受信任的根存放區中,特定的無線設定檔也必須設定為信任該特定 CA 以進行網路驗證。 問題 2:「我們可以使用 Purple 的平台來繞過這個問題嗎?」 答案:Purple 在 [Guest WiFi](/guest-wifi) 和透過 captive portals 的入職方面表現出色。對於使用 802.1X 的內部企業 SSID,您必須解決端點上底層的憑證信任問題。但是,對於 BYOD 或承包商存取,透過 Purple 的 captive portal 使用 OpenRoaming 進行路由,可以是一個非常有效的替代方案,無需管理本地憑證。 [摘要與後續步驟] 總結:Windows 11 升級因為憑證信任移轉失敗和認證防護強制執行而中斷 802.1X。 您的行動計劃:檢查事件檢視器中 WLAN-AutoConfig 記錄的錯誤 11 或 15。更新您的無線 GPO 以明確信任您的 RADIUS 伺服器的根 CA。並規劃移轉到 EAP-TLS 以獲得永久穩定性。 感謝您收聽本技術簡報。如需更多企業網路的深入探討,請參閱 Purple.ai 上的資源。

header_image.png

執行摘要

對於管理大規模部署的企業 IT 團隊,跨足 飯店業零售業 和企業園區,Windows 11 的推出對 802.1X 無線驗證造成了顯著的中斷。核心問題源自 Windows 11 如何處理舊版認證儲存(透過認證防護)以及無線設定檔中受信任根憑證的移轉。當裝置升級時,預先存在的 PEAP-MSCHAPv2 或 EAP-TLS 組態通常無法驗證網路原則伺服器 (NPS) 憑證,導致 TLS 通道立即靜默中斷。

技術深入探討

802.1X 驗證架構依賴於請求者(Windows 11 端點)、驗證者(無線存取點)和驗證伺服器(通常是 RADIUS/NPS 伺服器)之間複雜的信任鏈。Windows 11 中的失敗機制主要涉及請求者無法驗證驗證者的身分。

憑證信任分解

在標準的 PEAP(受保護的可擴展驗證協定)部署中,伺服器向用戶端出示憑證以建立加密的 TLS 通道。用戶端必須驗證此憑證是否由受信任的根憑證授權單位 (CA) 發行。

在 Windows 11 升級期間,通常會出現兩個關鍵變更:

  1. 設定檔移轉失敗: 無線設定檔中明確信任 RADIUS 伺服器根 CA 的特定設定經常被剝離或損壞。
  2. 認證防護強制執行: Windows 11 在相容的硬體上預設啟用 Windows Defender 認證防護。此基於虛擬化的安全性會隔離 NTLM 密碼雜湊和 Kerberos Ticket Granting Tickets。雖然在緩解傳遞雜湊攻擊方面非常出色,但它可能會干擾舊版 MS-CHAPv2 認證傳遞到 802.1X 請求者的方式,即使在信任憑證時也會導致靜默驗證失敗。

certificate_trust_architecture.png

記錄分析與錯誤碼

診斷問題需要檢查 Windows 事件檢視器中的 WLAN-AutoConfig 操作記錄。最常見的憑證信任失敗指標是:

  • 錯誤 11: 網路停止回應。
  • 錯誤 15: 憑證鏈由不受信任的授權單位發行。

這些錯誤確認在實際使用者或機器認證可以驗證之前,TLS 交握已失敗。

實作指南

解決 Windows 11 802.1X 問題需要對您的端點管理基準進行協調更新。以下步驟概述了透過 Active Directory 群組原則進行的必要補救措施。

步驟 1:驗證根 CA 部署

確保簽發您的 NPS 伺服器憑證的根 CA 憑證已部署到所有用戶端電腦的 受信任的根憑證授權單位 存放區。這通常透過 電腦設定 > 原則 > Windows 設定 > 安全性設定 > 公開金鑰原則 處理。

步驟 2:重新設定無線網路 (IEEE 802.11) 原則

關鍵的修復在於在無線設定檔中明確定義信任關係。

  1. 開啟相關的 GPO,並前往 電腦設定 > 原則 > Windows 設定 > 安全性設定 > 無線網路 (IEEE 802.11) 原則
  2. 編輯您的企業 SSID 設定檔的內容。
  3. 前往 安全性 索引標籤,然後為您選擇的網路驗證方法(例如 Microsoft: Protected EAP (PEAP))選取 內容
  4. 在 PEAP 內容視窗中,勾選 透過驗證憑證來驗證伺服器的身分識別 方塊。
  5. 至關重要的是,在 受信任的根憑證授權單位 清單中,您必須明確勾選簽發您 NPS 憑證的 CA 旁邊的方塊。
  6. 確保勾選 啟用快速重新連線 以最佳化漫遊效能。

diagnostic_flowchart.png

步驟 3:解決認證防護衝突

如果憑證信任已驗證,但 PEAP-MSCHAPv2 驗證仍失敗,則可能是認證防護干擾。長期的架構解決方案是完全脫離密碼型驗證。轉換到 EAP-TLS(針對機器和使用者的憑證型驗證)可完全繞過 MS-CHAPv2 認證儲存問題。如需現代化安全態勢的詳細指導,請參閱我們的指南 實作 WPA3-Enterprise 以增強無線安全性

最佳實務

在管理企業無線基礎架構時,尤其是在高密度環境中,例如 醫療保健 或大規模 運輸 中心,遵守廠商中立標準對於降低風險至關重要。

  • 絕不停用憑證驗證: IT 團隊最常見且危險的因應措施是取消勾選「驗證伺服器的身分識別」方塊。這會使網路暴露於 Evil Twin 攻擊和認證收割,直接違反 PCI DSS 合規性。務必修復底層的信任鏈。
  • 實作機器驗證: 僅依賴使用者認證表示裝置無法在使用者登入之前連接到網路,導致 GPO 更新和遠端管理中斷。實作機器驗證(使用 EAP-TLS)以確保裝置始終保持連線並可管理。
  • 標準化 EAP-TLS: 密碼型 802.1X (PEAP) 對作業系統層級的安全性變更越來越脆弱。EAP-TLS 提供更強的安全性、無縫的使用者體驗(無需密碼提示),以及對認證防護衝突的免疫力。

疑難排解與風險降低

除了主要的憑證信任問題之外,網路架構師必須為 Windows 11 推出期間的次要失敗模式做好準備。

RADIUS 伺服器超載

當大量機器升級並且隨後驗證失敗時,它們將持續重試連線。這可能導致 RADIUS 風暴,壓垮 NPS 伺服器,並導致整個無線網路發生阻斷服務狀況。

緩解措施: 在無線區域網路控制器 (WLC) 上實作積極的 RADIUS 逾時和重試限制。錯開作業系統升級推出,以監控 NPS 伺服器的 CPU 和記憶體使用率。

Captive Portal 回退

對於絕對無法透過 GPO 補救的裝置(例如未受管理的 BYOD 或承包商裝置),請提供安全的回退機制。利用強大的 Guest WiFi 解決方案搭配 Captive Portal,可讓這些使用者獲得網際網路存取權,同時保持與內部公司網路的隔離。這可確保在 IT 團隊調查 802.1X 失敗時,生產力不會停擺。

ROI 與商業影響

解決 802.1X 驗證問題不僅是技術上的必要性,它也有直接的商業影響。

  • 降低服務台成本: 主動的 GPO 修復可防止數百張第一線支援工單,顯著降低 IT 營運支出。
  • 營運持續性: 在像是 零售業 的產業中,行動銷售點 (mPOS) 裝置依賴安全的 Wi-Fi,驗證失敗直接影響收益產生。
  • 合規態勢: 維持嚴格的憑證驗證可確保持續符合法規架構,避免潛在的罰款和與資料外洩相關的聲譽損害。

透過解決 Windows 11 驗證失敗的根本原因並轉向穩健的 EAP-TLS 架構,IT 領導者可以確保其無線基礎架構仍然是一項安全、高效能的資產。

Key Definitions

802.1X

一項 IEEE 標準,用於基於連接埠的網路存取控制,為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

企業無線網路的基礎安全協定,確保只有授權的裝置和使用者才能存取企業資源。

PEAP(受保護的可擴展驗證協定)

一種驗證協定,將 EAP 封裝在加密且經過驗證的 TLS 通道中。

最常見的舊版 802.1X 部署,依賴伺服器端憑證和用戶端密碼 (MS-CHAPv2)。它極易受到 Windows 11 升級問題的影響。

EAP-TLS(可擴展驗證協定-傳輸層安全性)

一種依賴用戶端和伺服器憑證來建立安全連線的 EAP 方法。

推薦用於現代企業無線的架構標準,提供最高等級的安全性以及對密碼相關作業系統衝突的免疫力。

RADIUS(遠端驗證撥入使用者服務)

一種提供集中式驗證、授權和帳戶處理 (AAA) 管理的網路協定。

處理來自無線存取點的 802.1X 驗證請求的伺服器元件(通常是 Microsoft NPS)。

請求者 (Supplicant)

嘗試存取網路的用戶端裝置(例如 Windows 11 筆記型電腦)。

必須透過 GPO 正確設定以信任 RADIUS 伺服器憑證的端點。

驗證者 (Authenticator)

促進請求者和 RADIUS 伺服器之間驗證過程的網路裝置(例如無線存取點或交換器)。

強制執行 802.1X 原則的基礎架構元件,在驗證成功之前封鎖存取。

認證防護 (Credential Guard)

一項 Windows 安全性功能,使用基於虛擬化的安全性來隔離秘密,以便只有特權系統軟體可以存取它們。

Windows 11 中 PEAP-MSCHAPv2 失敗的常見原因,因為它改變了驗證過程中處理舊版密碼的方式。

群組原則物件 (GPO)

一組設定,定義系統的外觀以及它在 Active Directory 中針對已定義使用者或電腦群組的行為方式。

部署所需憑證信任和無線設定檔組態以在大規模上解決 Windows 11 802.1X 問題的主要機制。

Worked Examples

一家擁有 500 個據點的大型零售連鎖店正在為所有店長筆記型電腦推出 Windows 11。在首批 50 次升級後,店長反映無法連接到 'Corp-Secure' SSID。服務台確認裝置正在接收正確的 GPO,但連線會靜默中斷。網路架構師應該如何解決這個問題?

架構師必須先驗證故障裝置上 WLAN-AutoConfig 記錄中的特定錯誤。如果出現錯誤 11 或 15,問題就是憑證信任。架構師必須編輯 '無線網路 (IEEE 802.11) 原則' GPO。在 'Corp-Secure' 設定檔的 PEAP 內容中,他們必須明確勾選簽發 RADIUS 伺服器憑證的特定根 CA 旁邊的方塊。一旦 GPO 更新並透過 gpupdate /force 推送後,筆記型電腦將成功驗證伺服器並連接。

Examiner's Commentary: 這種方法正確地識別了根本原因(設定檔移轉失敗)並套用必要的 GPO 修復。它避免了停用憑證驗證的危險因應措施,確保零售連鎖店為其企業網路維持 PCI DSS 合規性。

一家醫院的 IT 團隊已更新其 GPO,以明確信任 RADIUS 伺服器的根 CA,但使用 PEAP-MSCHAPv2 的 Windows 11 裝置仍然無法驗證。NPS 記錄顯示「由於使用者認證不符,驗證失敗」。可能的原因是什麼?以及建議的長期解決方案是什麼?

可能的原因是 Windows Defender 認證防護,它在 Windows 11 中預設為啟用,並且可能干擾舊版 MS-CHAPv2 認證處理。立即的修復是透過 GPO 為這些特定裝置停用認證防護,但這會削弱端點安全態勢。建議的長期架構解決方案是將無線網路移轉到使用機器和使用者憑證的 EAP-TLS。這消除了對密碼的依賴,並完全繞過了認證防護衝突。

Examiner's Commentary: 此解決方案展示了對 Windows 11 安全架構的深入理解。它正確地將認證防護識別為衝突元件,並提供了一項策略性、以安全為重點的建議 (EAP-TLS),而不是依賴永久降低端點保護。

Practice Questions

Q1. 一位 CTO 要求您立即解決廣泛的 802.1X 失敗,方法是取消勾選 GPO 中的「驗證伺服器的身分識別」,以便讓銷售團隊重新上線。您如何回應?

Hint: 考慮停用憑證驗證的合規性和安全性影響。

View model answer

我會建議不要採取這種方法。停用憑證驗證會使網路暴露於 Evil Twin 攻擊和認證收割,這直接違反了 PCI DSS 和 GDPR 合規性。正確的方法是識別缺少的根 CA,並在 GPO 中明確信任它。如果需要立即存取,我們可以將受影響的使用者路由到安全的 Guest WiFi Captive Portal 作為暫時回退,同時讓 GPO 傳播。

Q2. 您正在為一個新的企業園區設計無線架構,必須在 PEAP-MSCHAPv2 和 EAP-TLS 之間做出選擇。考慮到最近的 Windows 11 升級問題,您推薦哪一個?為什麼?

Hint: 評估作業系統層級安全功能(如認證防護)對舊版驗證方法的影響。

View model answer

我強烈推薦 EAP-TLS。雖然 PEAP-MSCHAPv2 初始部署較容易(依賴 AD 密碼),但它極易受到如認證防護和設定檔移轉失敗的作業系統層級變更影響。EAP-TLS 使用機器和使用者憑證,消除了與密碼相關的漏洞,提供無縫的使用者體驗,並確保長期架構穩定性,對抗未來的作業系統更新。

Q3. 在部署了正確的 GPO 以明確信任根 CA 之後,仍有幾台電腦無法連接。您注意到這些電腦已經幾週沒有連接到網路了。可能的問題是什麼,以及如何解決?

Hint: 考慮群組原則更新是如何傳遞到端點的。

View model answer

可能的問題是這些電腦尚未收到更新的 GPO,因為它們無法連接到網路來提取原則。這是一個經典的「雞生蛋,蛋生雞」問題。要解決此問題,必須透過有線乙太網路連線或安全的 VPN 暫時連接這些電腦,以便對網域進行驗證並執行 gpupdate /force 以接收新的無線設定檔組態。