Zyxel firewall authenticatie compatibiliteit met Windows Server 2025

Met de aankomende wijzigingen die worden geïntroduceerd in Microsoft Windows Server 2025, is de ondersteuning voor NTLM-verificatie afgeschreven ten gunste van modernere en veiligere verificatieprotocollen. Als gevolg hiervan kunnen verificatiemethoden die vertrouwen op MSCHAPv2, zoals die welke worden gebruikt in Active Directory (AD) en RADIUS-omgevingen, compatibiliteitsproblemen ondervinden wanneer ze worden gebruikt in combinatie met Zyxel firewall-apparaten met de huidige firmwareversies.

Opmerking: Vanaf april 2025 blijft Windows Server 2025 MS-CHAPv2 ondersteunen voor verificatie.
Het is echter belangrijk op te merken dat Windows Defender Credential Guard, standaard ingeschakeld in Windows Server 2025, kan interfereren met verificatiemethoden op basis van MS-CHAPv2, zoals PEAP-MSCHAPv2 en EAP-MSCHAPv2.
Deze interferentie kan leiden tot authenticatiefouten in scenario's zoals Active Directory (AD) authenticatie op uw Zyxel firewall en RADIUS server authenticatie.

Als u uw Zyxel Firewall wilt integreren met Windows Server 2025 Active Directory met LDAPS (TCP poort 636) op ZLD 5.40 of uOS 1.32, raadpleeg dan dit speciale artikel:
👉 Zyxel Firewall - Windows Server 2025 Active Directory en Zyxel Firewall ZLD 5.40/uOS 1.32

Opmerking: Dit artikel richt zich op compatibiliteitsproblemen met authenticatie (bijv. MS-CHAPv2, NTLM deprecatie) met Windows Server 2025. Als u op zoek bent naar AD-integratiestappen met LDAPS, raadpleeg dan het gekoppelde artikel onderaan.

Waargenomen gedrag

Wanneer wordt geprobeerd gebruikers te verifiëren via AD of NPS (Network Policy Server) met MSCHAPv2, ontvangen Zyxel firewalls mogelijk geen geldig antwoord, wat resulteert in mislukte verificatiepogingen. Dit gedrag is te wijten aan de verwijdering van NTLM-ondersteuning in Windows Server 2025, wat een vereist onderdeel is voor het functioneren van MSCHAPv2.

Aanbevolen oplossing van Zyxel

Om een continue en ononderbroken gebruikersauthenticatie te garanderen, raadt Zyxel de volgende workaround aan totdat volledige compatibiliteit wordt geïntroduceerd:

• Maak lokale gebruikersaccounts aan op de Zyxel firewall voor verificatiedoeleinden.
• Dit omzeilt de afhankelijkheid van NTLM en zorgt voor een soepele aanmeldervaring voor gebruikers terwijl de netwerkbeveiliging behouden blijft.

Oplossing voor workaround (met voorzichtigheid)

Workaround 1: SSL (LDAPS) inschakelen op Zyxel firewall

De essentie van deze workaround is het gebruik van LDAP over SSL, wat overeenkomt met het nieuwe beveiligingsbeleid van Microsoft en het oude NTLM-protocol vervangt.

Configuratiestappen:

1. Log in op de Zyxel Firewall interface en navigeer naar:
   Authenticatie > Serverinstellingen > Geavanceerde instellingen
2. Schakel de SSL optie in.

Zorg ervoor dat:

• De domeincontroller een geldig SSL-certificaat heeft.
• Dit certificaat is geïnstalleerd in de Trusted Root Certification Authorities store op de firewall.

Risico's en beperkingen:

• Zonder een goed geïnstalleerd en vertrouwd certificaat kan de firewall geen verbinding maken met de AD-server via LDAPS.
• Handmatig omgaan met certificaten is vereist: exporteren, importeren en verificatie van de vertrouwensketen.

Workaround 2: Beveiligingsbeleid versoepelen op Windows Server 2025

De tweede aanpak is om het groepsbeleid op de domeincontroller aan te passen zodat onveilig gedrag standaard is toegestaan. Hierdoor kan de Zyxel Firewall verbinding maken via standaard (niet-beveiligd) LDAP.

Stappen:

1. Voer gpedit.msc uit op de Windows Server 2025 domeincontroller.
2. Navigeer naar:
   Editor voor lokaal groepsbeleid → Computerconfiguratie → Windows-instellingen →.
   Beveiligingsinstellingen → Lokaal beleid → Beveiligingsopties →.
   Domeincontroller: Vereisten voor ondertekening LDAP-server
3. Wijzig de instelling "Handhaving" in "Uitgeschakeld".

Wat dit doet:

• Hiermee kan de domeincontroller reageren op gewone (niet-versleutelde) LDAP-verzoeken van clients zoals Zyxel Firewall.
• Omzeilt de vereiste om LDAPS te gebruiken.

Risico's:

• Wachtwoorden en andere gevoelige gegevens worden onversleuteld verzonden, wat vooral gevaarlijk is in onbeveiligde of openbare netwerken.
• Opent potentiële kwetsbaarheid voor man-in-the-middle aanvallen.
• Schendt het aanbevolen beveiligingsbeleid van Microsoft en kan waarschuwingen triggeren in monitoringsystemen.

Conclusie:

Dit is een snelle oplossing, maar vermindert de beveiliging aanzienlijk. Gebruik het alleen in beperkte, geïsoleerde omgevingen en draai het terug zodra er een officiële oplossing beschikbaar is.

Vooruitblik

Bij Zyxel werken we er actief aan om ervoor te zorgen dat onze oplossingen gelijke tred houden met veranderingen in de branche. Onze teams houden de ontwikkelingen van Microsoft met Windows Server 2025 nauwlettend in de gaten en we zijn al integratieopties aan het onderzoeken om de verbeterde beveiligingsprotocollen die hiermee worden geïntroduceerd te ondersteunen.

Hoewel de huidige firmwareversies de bijgewerkte verificatiemethoden nog niet ondersteunen, kunt u er zeker van zijn dat dit een hoge prioriteit heeft op onze ontwikkelingsagenda. Onze engineers zijn toegewijd aan het leveren van een naadloze ervaring voor onze klanten, en ondersteuning voor Windows Server 2025 verificatie wordt actief bekeken.

Bedankt voor uw blijvende vertrouwen in Zyxel. Samen bouwen we aan een veiligere en meer veerkrachtige toekomst.

Wij waarderen uw begrip en raden u aan in contact te blijven met onze Zyxel Community en Support Portal voor het laatste nieuws en advies.