Съвместимост на удостоверяването на Zyxel Firewall с Windows Server 2025

С предстоящите промени, въведени в Microsoft Windows Server 2025, поддръжката на NTLM удостоверяване е преустановена в полза на по-модерни и сигурни протоколи за удостоверяване. В резултат на това методите за удостоверяване, разчитащи на MSCHAPv2 - като например тези, използвани в средите на Active Directory (AD) и RADIUS - може да срещнат проблеми със съвместимостта при взаимодействие с устройствата за защитна стена Zyxel, работещи с текущите версии на фърмуера.

Забележка: От април 2025 г. Windows Server 2025 продължава да поддържа MS-CHAPv2 за удостоверяване.
Важно е обаче да се отбележи, че Windows Defender Credential Guard, включен по подразбиране в Windows Server 2025, може да попречи на методите за удостоверяване, базирани на MS-CHAPv2, като PEAP-MSCHAPv2 и EAP-MSCHAPv2.
Тази намеса може да доведе до неуспехи при удостоверяването в сценарии като удостоверяване в Active Directory (AD) на вашата защитна стена Zyxel и удостоверяване в RADIUS сървър.

Ако искате да интегрирате защитната стена Zyxel с Windows Server 2025 Active Directory, като използвате LDAPS (TCP порт 636) на ZLD 5.40 или uOS 1.32, моля, вижте тази специална статия:
👉 Zyxel Firewall - Windows Server 2025 Active Directory и Zyxel Firewall ZLD 5.40/uOS 1.32

Забележка: Тази статия се фокусира върху проблемите със съвместимостта на удостоверяването (напр. MS-CHAPv2, NTLM deprecation) с Windows Server 2025. Ако търсите стъпки за интегриране на AD с помощта на LDAPS, моля, вижте свързаната статия в долната част.

Наблюдавано поведение

При опит за удостоверяване на потребители чрез AD или NPS (Network Policy Server) с използване на MSCHAPv2 защитните стени Zyxel може да не получат валиден отговор, което води до неуспешни опити за удостоверяване. Това поведение се дължи на премахването на поддръжката на NTLM в Windows Server 2025, която е необходим компонент за функционирането на MSCHAPv2.

Препоръчително решение на Zyxel

За да се осигури продължително и непрекъснато удостоверяване на потребителите, Zyxel препоръчва следното обходно решение, докато бъде въведена пълна съвместимост:

• Създайте локални потребителски акаунти в защитната стена Zyxel за целите на удостоверяването.
• По този начин се заобикаля зависимостта от NTLM, като се осигурява безпроблемно влизане на потребителите и същевременно се запазва сигурността на мрежата.

Решение за заобикаляне (с повишено внимание)

Обходно решение 1: Активиране на SSL (LDAPS) на защитната стена Zyxel

Същността на това обходно решение е да се използва LDAP през SSL, което съответства на новите политики за сигурност на Microsoft и замества наследения протокол NTLM.

Стъпки за конфигуриране:

1. Влезте в интерфейса на Zyxel Firewall и отидете до:
   Удостоверяване > Настройки на сървъра > Разширени настройки
2. Активирайте опцията SSL.

Уверете се, че:

• контролерът на домейна има валиден SSL сертификат.
• Този сертификат е инсталиран в хранилището Trusted Root Certification Authorities (Доверени коренови удостоверителни органи) на защитната стена.

Рискове и ограничения:

• Без правилно инсталиран и доверен сертификат защитната стена няма да може да се свърже с AD сървъра чрез LDAPS.
• Необходима е ръчна обработка на сертификатите: експортиране, импортиране и проверка на веригата на доверие.

Обходно решение 2: Облекчаване на политиката за сигурност в Windows Server 2025

Вторият подход е да се модифицира груповата политика на контролера на домейна, за да се позволи несигурно поведение по подразбиране. Това дава възможност на Zyxel Firewall да се свързва, като използва стандартен (несигурен) LDAP.

Стъпки:

1. Стартирайте gpedit.msc на контролера на домейна Windows Server 2025.
2. Навигирайте до:
   Редактор на местната групова политика → Конфигурация на компютъра → Настройки на Windows →
   Security Settings → Local Policies → Security Options →
   Домейн контролер: Изисквания за подписване на LDAP сървъра
3. Променете настройката "Enforcement" (Изпълнение) на "Disabled" (Изключено).

Какво прави това:

• Позволява на контролера на домейна да отговаря на обикновени (некриптирани) LDAP заявки от клиенти като Zyxel Firewall.
• Заобикаля изискването за използване на LDAPS.

Рискове:

• Паролите и други чувствителни данни се предават некриптирано, което е особено опасно в незащитени или публични мрежи.
• Открива потенциална уязвимост към атаки тип "човек по средата".
• Нарушава препоръчаните от Microsoft политики за сигурност и може да предизвика сигнали в системите за наблюдение.

Заключение:

Това е бърз начин за заобикаляне на проблема, но значително намалява сигурността. Използвайте го само в ограничени, изолирани среди и го върнете веднага щом се появи официално решение.

В перспектива

В Zyxel работим активно, за да гарантираме, че нашите решения се развиват заедно с промените в индустрията. Нашите екипи следят отблизо развитието на Microsoft с Windows Server 2025 и вече проучваме възможности за интеграция, за да поддържаме подобрените протоколи за сигурност, които той въвежда.

Въпреки че настоящите версии на фърмуера все още не поддържат актуализираните методи за удостоверяване, бъдете сигурни, че това е висок приоритет в нашата пътна карта за развитие. Инженерите ни се стремят да осигурят безпроблемно изживяване за нашите клиенти и поддръжката на удостоверяването в Windows Server 2025 е в процес на активен преглед.

Благодарим ви за продължаващото доверие в Zyxel. Заедно изграждаме едно по-сигурно и по-устойчиво бъдеще.

Оценяваме вашето разбиране и препоръчваме да останете във връзка с нашата общност и портала за поддръжка на Zyxel за най-новите новини и насоки.