A Zyxel tűzfal hitelesítési kompatibilitás a Windows Server 2025-tel

A Microsoft Windows Server 2025-ben bevezetett közelgő változásokkal az NTLM hitelesítési támogatás elavulttá vált a modernebb és biztonságosabb hitelesítési protokollok javára. Ennek eredményeképpen az MSCHAPv2-re támaszkodó hitelesítési módszerek - például az Active Directory (AD) és RADIUS környezetekben használtak - kompatibilitási problémákat tapasztalhatnak a jelenlegi firmware-verziókat futtató Zyxel tűzfalberendezésekkel való kapcsolat során.

Megjegyzés: 2025 áprilisától a Windows Server 2025 továbbra is támogatja az MS-CHAPv2 hitelesítést.
Fontos azonban megjegyezni, hogy a Windows Defender Credential Guard, amely a Windows Server 2025-ben alapértelmezés szerint engedélyezve van, zavarhatja az MS-CHAPv2-alapú hitelesítési módszereket, például a PEAP-MSCHAPv2-t és az EAP-MSCHAPv2-t.
Ez az interferencia hitelesítési hibákhoz vezethet olyan forgatókönyvekben, mint az Active Directory (AD) hitelesítés a Zyxel tűzfalon és a RADIUS-kiszolgáló hitelesítés.

Ha a Zyxel tűzfalat a Windows Server 2025 Active Directoryval szeretné integrálni LDAPS (TCP port 636) használatával a ZLD 5.40 vagy uOS 1.32 rendszereken, kérjük, olvassa el ezt a dedikált cikket:
👉 Zyxel tűzfal - Windows Server 2025 Active Directory és Zyxel tűzfal ZLD 5.40/uOS 1.32.

Megjegyzés: Ez a cikk a Windows Server 2025-tel kapcsolatos hitelesítési kompatibilitási problémákra (pl. MS-CHAPv2, NTLM elavulása) összpontosít. Ha az LDAPS-t használó AD-integrációs lépéseket keresi, kérjük, olvassa el a cikk alján található hivatkozott cikket.

Megfigyelt viselkedés

Amikor a Zyxel tűzfalak az AD-n vagy az NPS-en (Network Policy Server) keresztül MSCHAPv2 használatával próbálják hitelesíteni a felhasználókat, előfordulhat, hogy nem kapnak érvényes választ, ami sikertelen hitelesítési kísérleteket eredményez. Ez a viselkedés az NTLM-támogatás eltávolításának köszönhető a Windows Server 2025-ben, amely az MSCHAPv2 működéséhez szükséges összetevő.

A Zyxel ajánlott megoldása

A folyamatos és zavartalan felhasználói hitelesítés biztosítása érdekében a Zyxel a következő megoldást ajánlja a teljes kompatibilitás bevezetéséig:

• Hozzon létre helyi felhasználói fiókokat a Zyxel tűzfalon hitelesítési célokra.
• Ez megkerüli az NTLM-függőséget, így a felhasználók számára zökkenőmentes bejelentkezési élményt biztosít, miközben a hálózati biztonság is megmarad.

Megoldási megoldás (óvatosan)

Megkerülés 1: Az SSL (LDAPS) engedélyezése a Zyxel tűzfalon

Ennek a megoldásnak a lényege az LDAP SSL-en keresztüli használata, amely igazodik a Microsoft új biztonsági irányelveihez, és felváltja a hagyományos NTLM protokollt.

Konfigurációs lépések:

1. Jelentkezzen be a Zyxel tűzfal felületére, és navigáljon a következő címre:
   Hitelesítés > Kiszolgálói beállítások > Speciális beállítások
2. Kapcsolja be az SSL opciót.

Győződjön meg róla, hogy: - Az SSL protokollt a következő beállításokkal kell használni:

• A tartományvezérlő rendelkezik érvényes SSL-tanúsítvánnyal.
• Ez a tanúsítvány telepítve van a tűzfal Megbízható gyökértanúsító hatóságok tárolójába.

Kockázatok és korlátozások:

• Megfelelően telepített és megbízható tanúsítvány nélkül a tűzfal nem fog tudni csatlakozni az AD-kiszolgálóhoz az LDAPS-en keresztül.
• Kézi tanúsítványkezelésre van szükség: exportálás, importálás és a bizalmi lánc ellenőrzése.

2. megoldás: A biztonsági házirend enyhítése a Windows Server 2025 rendszeren

A második megközelítés a csoportházirend módosítása a tartományvezérlőn, hogy alapértelmezés szerint engedélyezze a nem biztonságos viselkedést. Ez lehetővé teszi a Zyxel tűzfal számára a szabványos (nem biztonságos) LDAP használatával történő csatlakozást.

Lépések:

1. Futtassa a gpedit.msc fájlt a Windows Server 2025 tartományvezérlőn.
2. Navigáljon a következő címre:
   Helyi csoportházirend szerkesztő → Számítógép konfigurációja → Windows beállítások →
   Biztonsági beállítások → Helyi házirendek → Biztonsági beállítások →
   Tartományvezérlő: LDAP-kiszolgáló aláírási követelményei
3. Módosítsa a "Végrehajtás" beállítást "Kikapcsolva" értékre.

Mit tesz ez:

• Lehetővé teszi a tartományvezérlő számára, hogy válaszoljon az egyszerű (nem titkosított) LDAP-kérelmekre, amelyeket az ügyfelek, például a Zyxel tűzfal küld.
• Megkerüli az LDAPS használatára vonatkozó követelményt.

Kockázatok:

• A jelszavak és más érzékeny adatok titkosítatlanul kerülnek továbbításra, ami különösen veszélyes a nem biztonságos vagy nyilvános hálózatokban.
• Lehetséges sebezhetőséget nyit a man-in-the-middle támadásoknak.
• Megsérti a Microsoft ajánlott biztonsági irányelveit, és riasztásokat válthat ki a felügyeleti rendszerekben.

Következtetés:

Ez egy gyors megoldás, de jelentősen csökkenti a biztonságot. Csak korlátozott, elszigetelt környezetben használja, és amint hivatalos megoldás áll rendelkezésre, állítsa vissza.

Előre tekintve

A Zyxelnél aktívan dolgozunk azon, hogy megoldásaink az iparági változásokkal együtt fejlődjenek. Csapataink szorosan figyelemmel kísérik a Microsoft Windows Server 2025-tel kapcsolatos fejlesztéseit, és már vizsgáljuk az integrációs lehetőségeket az általa bevezetett, továbbfejlesztett biztonsági protokollok támogatására.

Bár a jelenlegi firmware-verziók még nem támogatják a frissített hitelesítési módszereket, megnyugodhat, hogy ez kiemelt prioritást élvez a fejlesztési ütemtervünkben. Mérnökeink elkötelezettek amellett, hogy zökkenőmentes élményt nyújtsanak ügyfeleinknek, és a Windows Server 2025 hitelesítés támogatása aktívan vizsgálódik.

Köszönjük a Zyxelbe vetett folyamatos bizalmát. Együtt egy biztonságosabb és rugalmasabb jövőt építünk.

Nagyra értékeljük megértését, és javasoljuk, hogy maradjon kapcsolatban a Zyxel közösségi és támogatási portálon a legfrissebb hírek és útmutatásokért.