Compatibilità dell'autenticazione del firewall Zyxel con Windows Server 2025

Con le imminenti modifiche introdotte in Microsoft Windows Server 2025, il supporto per l'autenticazione NTLM è stato deprecato a favore di protocolli di autenticazione più moderni e sicuri. Di conseguenza, i metodi di autenticazione che si basano su MSCHAPv2, come quelli utilizzati in ambienti Active Directory (AD) e RADIUS, potrebbero avere problemi di compatibilità quando si interfacciano con le appliance firewall Zyxel che eseguono le versioni attuali del firmware.

Nota: A partire da aprile 2025, Windows Server 2025 continua a supportare MS-CHAPv2 per l'autenticazione.
Tuttavia, è importante notare che Windows Defender Credential Guard, abilitato per impostazione predefinita in Windows Server 2025, può interferire con i metodi di autenticazione basati su MS-CHAPv2, quali PEAP-MSCHAPv2 ed EAP-MSCHAPv2.
Questa interferenza può causare errori di autenticazione in scenari come l'autenticazione Active Directory (AD) sul firewall Zyxel e l'autenticazione del server RADIUS.

Se volete integrare il vostro firewall Zyxel con Windows Server 2025 Active Directory utilizzando LDAPS (porta TCP 636) su ZLD 5.40 o uOS 1.32, fate riferimento a questo articolo dedicato:
👉 Zyxel Firewall - Windows Server 2025 Active Directory e Zyxel Firewall ZLD 5.40/uOS 1.32

Nota: questo articolo si concentra sui problemi di compatibilità dell'autenticazione (ad esempio, MS-CHAPv2, deprezzamento di NTLM) con Windows Server 2025. Se state cercando i passaggi per l 'integrazione di AD utilizzando LDAPS, fate riferimento all'articolo collegato in fondo.

Comportamento osservato

Quando si tenta di autenticare gli utenti tramite AD o NPS (Network Policy Server) utilizzando MSCHAPv2, i firewall Zyxel potrebbero non ricevere una risposta valida, con conseguente fallimento dei tentativi di autenticazione. Questo comportamento è dovuto alla rimozione del supporto NTLM in Windows Server 2025, che è un componente necessario per il funzionamento di MSCHAPv2.

Soluzione consigliata da Zyxel

Per garantire un'autenticazione continua e ininterrotta degli utenti, Zyxel consiglia il seguente workaround fino all'introduzione della piena compatibilità:

• Creare account utente locali sul firewall Zyxel a scopo di autenticazione.
• In questo modo si bypassa la dipendenza da NTLM, garantendo agli utenti un'esperienza di login senza problemi e mantenendo la sicurezza della rete.

Soluzione risolutiva (con cautela)

Soluzione 1: Abilitazione di SSL (LDAPS) sul firewall Zyxel

L'essenza di questo workaround consiste nell'utilizzare LDAP su SSL, che si allinea alle nuove politiche di sicurezza di Microsoft e sostituisce il protocollo legacy NTLM.

Fasi di configurazione:

1. Accedere all'interfaccia del Firewall Zyxel e navigare in:
   Autenticazione > Impostazioni server > Impostazioni avanzate
2. Abilitare l'opzione SSL.

Assicurarsi che:

• Il controller di dominio disponga di un certificato SSL valido.
• Questo certificato sia installato nell'archivio delle Autorità di certificazione radice attendibili del Firewall.

Rischi e limiti:

• Senza un certificato correttamente installato e attendibile, il Firewall non sarà in grado di connettersi al server AD tramite LDAPS.
• È necessaria una gestione manuale dei certificati: esportazione, importazione e verifica della catena di fiducia.

Soluzione 2: allentamento dei criteri di sicurezza su Windows Server 2025

Il secondo approccio consiste nel modificare i Criteri di gruppo sul controller di dominio per consentire un comportamento non sicuro per impostazione predefinita. Ciò consente al firewall Zyxel di connettersi utilizzando LDAP standard (non sicuro).

Passaggi:

1. Eseguire gpedit.msc sul controller di dominio Windows Server 2025.
2. Andare a:
   Editor Criteri di gruppo locali → Configurazione del computer → Impostazioni di Windows → Impostazioni di sicurezza → Impostazioni di sicurezza.
   Impostazioni di sicurezza → Criteri locali → Opzioni di sicurezza →
   Controllore di dominio: Requisiti di firma del server LDAP
3. Modificare l'impostazione "Applicazione" in "Disattivato".

Cosa fa:

• Consente al controller di dominio di rispondere alle richieste LDAP semplici (non crittografate) provenienti da client come Zyxel Firewall.
• Bypassa il requisito dell'uso di LDAPS.

Rischi:

• Le password e altri dati sensibili vengono trasmessi in chiaro, il che è particolarmente pericoloso nelle reti pubbliche o non protette.
• Apre una potenziale vulnerabilità agli attacchi man-in-the-middle.
• Viola i criteri di sicurezza raccomandati da Microsoft e può attivare avvisi nei sistemi di monitoraggio.

Conclusioni:

Si tratta di una soluzione rapida, ma che riduce significativamente la sicurezza. Utilizzatelo solo in ambienti ristretti e isolati e ripristinatelo non appena sarà disponibile una soluzione ufficiale.

Guardare avanti

Noi di Zyxel lavoriamo attivamente per garantire che le nostre soluzioni si evolvano insieme ai cambiamenti del settore. I nostri team stanno monitorando attentamente gli sviluppi di Microsoft con Windows Server 2025 e stiamo già esplorando le opzioni di integrazione per supportare i protocolli di sicurezza avanzati che introduce.

Sebbene le versioni attuali del firmware non supportino ancora i metodi di autenticazione aggiornati, vi assicuriamo che si tratta di una priorità assoluta nella nostra roadmap di sviluppo. I nostri ingegneri sono impegnati a fornire un'esperienza senza soluzione di continuità ai nostri clienti e il supporto per l'autenticazione Windows Server 2025 è in fase di revisione.

Grazie per la vostra continua fiducia in Zyxel. Insieme, stiamo costruendo un futuro più sicuro e resiliente.

Apprezziamo la vostra comprensione e vi consigliamo di rimanere in contatto con la nostra Community e il portale di supporto Zyxel per le ultime notizie e indicazioni.