Zgodność uwierzytelniania Zyxel Firewall z Windows Server 2025

Wraz z nadchodzącymi zmianami wprowadzonymi w Microsoft Windows Server 2025, obsługa uwierzytelniania NTLM została wycofana na rzecz bardziej nowoczesnych i bezpiecznych protokołów uwierzytelniania. W rezultacie metody uwierzytelniania oparte na MSCHAPv2 - takie jak te używane w środowiskach Active Directory (AD) i RADIUS - mogą napotkać problemy ze zgodnością podczas łączenia się z urządzeniami Zyxel Firewall z aktualnymi wersjami oprogramowania układowego.

Uwaga: Od kwietnia 2025 r. system Windows Server 2025 nadal obsługuje uwierzytelnianie MS-CHAPv2.
Należy jednak pamiętać, że Windows Defender Credential Guard, domyślnie włączony w systemie Windows Server 2025, może zakłócać metody uwierzytelniania oparte na MS-CHAPv2, takie jak PEAP-MSCHAPv2 i EAP-MSCHAPv2.
Zakłócenia te mogą prowadzić do niepowodzeń uwierzytelniania w scenariuszach takich jak uwierzytelnianie Active Directory (AD) na zaporze Zyxel i uwierzytelnianie serwera RADIUS.

Jeśli chcesz zintegrować zaporę Zyxel z usługą Active Directory Windows Server 2025 przy użyciu LDAPS (port TCP 636) w ZLD 5.40 lub uOS 1.32, zapoznaj się z tym dedykowanym artykułem:
Zyxel Firewall - Windows Server 2025 Active Directory i Zyxel Firewall ZLD 5.40/uOS 1.32.

Uwaga: Ten artykuł koncentruje się na kwestiach zgodności uwierzytelniania (np. MS-CHAPv2, deprecjacja NTLM) z Windows Server 2025. Jeśli szukasz kroków integracji AD przy użyciu LDAPS, zapoznaj się z połączonym artykułem na dole.

Obserwowane zachowanie

Podczas próby uwierzytelnienia użytkowników za pośrednictwem AD lub NPS (Network Policy Server) przy użyciu MSCHAPv2, zapory Zyxel mogą nie otrzymać prawidłowej odpowiedzi, co skutkuje nieudanymi próbami uwierzytelnienia. Takie zachowanie jest spowodowane usunięciem obsługi NTLM w systemie Windows Server 2025, która jest wymaganym komponentem do działania MSCHAPv2.

Rozwiązanie zalecane przez firmę Zyxel

Aby zapewnić ciągłe i nieprzerwane uwierzytelnianie użytkowników, Zyxel zaleca następujące obejście do czasu wprowadzenia pełnej zgodności:

• Utworzenie lokalnych kont użytkowników na zaporze Zyxel do celów uwierzytelniania.
• Pozwala to ominąć zależność od NTLM, zapewniając użytkownikom płynne logowanie przy jednoczesnym zachowaniu bezpieczeństwa sieci.

Obejście Rozwiązanie (z zachowaniem ostrożności)

Obejście 1: Włączenie SSL (LDAPS) na zaporze Zyxel Firewall

Istotą tego obejścia jest użycie protokołu LDAP przez SSL, który jest zgodny z nowymi zasadami bezpieczeństwa firmy Microsoft i zastępuje starszy protokół NTLM.

Kroki konfiguracji:

1. Zaloguj się do interfejsu Zyxel Firewall i przejdź do:
   Authentication > Server Settings > Advanced Settings
2. Włącz opcję SSL.

Upewnij się, że:

• Kontroler domeny posiada ważny certyfikat SSL.
• Ten certyfikat jest zainstalowany w sklepie Trusted Root Certification Authorities w Firewall.

Ryzyko i ograniczenia:

• Bez prawidłowo zainstalowanego i zaufanego certyfikatu Firewall nie będzie w stanie połączyć się z serwerem AD przez LDAPS.
• Wymagana jest ręczna obsługa certyfikatów: eksport, import i weryfikacja łańcucha zaufania.

Obejście 2: Rozluźnienie zasad zabezpieczeń w systemie Windows Server 2025

Drugim podejściem jest zmodyfikowanie zasad grupy na kontrolerze domeny, aby domyślnie zezwalały na niezabezpieczone zachowanie. Umożliwia to zaporze Zyxel Firewall łączenie się przy użyciu standardowego (niezabezpieczonego) protokołu LDAP.

Kroki:

1. Uruchom gpedit.msc na kontrolerze domeny Windows Server 2025.
2. Przejdź do:
   Local Group Policy Editor → Computer Configuration → Windows Settings →
   Ustawienia zabezpieczeń → Zasady lokalne → Opcje zabezpieczeń →
   Kontroler domeny: Wymagania dotyczące podpisywania serwera LDAP
3. Zmień ustawienie "Egzekwowanie" na "Wyłączone".

Co to robi:

• Umożliwia kontrolerowi domeny odpowiadanie na zwykłe (nieszyfrowane) żądania LDAP od klientów takich jak Zyxel Firewall.
• Omija wymóg korzystania z LDAPS.

Zagrożenia:

• Hasła i inne wrażliwe dane są przesyłane bez szyfrowania, co jest szczególnie niebezpieczne w niezabezpieczonych lub publicznych sieciach.
• Otwiera potencjalną podatność na ataki typu man-in-the-middle.
• Narusza zalecane przez Microsoft zasady bezpieczeństwa i może wyzwalać alerty w systemach monitorowania.

Wnioski:

Jest to szybkie obejście, ale znacznie zmniejsza bezpieczeństwo. Używaj go tylko w ograniczonych, odizolowanych środowiskach i przywróć go, gdy tylko dostępne będzie oficjalne rozwiązanie.

Patrząc w przyszłość

W Zyxel aktywnie pracujemy nad tym, aby nasze rozwiązania ewoluowały wraz ze zmianami w branży. Nasze zespoły uważnie monitorują rozwój Microsoftu w zakresie Windows Server 2025 i już teraz badamy opcje integracji w celu obsługi ulepszonych protokołów bezpieczeństwa, które wprowadza.

Chociaż obecne wersje oprogramowania układowego nie obsługują jeszcze zaktualizowanych metod uwierzytelniania, zapewniamy, że jest to wysoki priorytet na naszej mapie rozwoju. Nasi inżynierowie dokładają wszelkich starań, aby zapewnić naszym klientom bezproblemową obsługę, a wsparcie dla uwierzytelniania Windows Server 2025 jest przedmiotem aktywnego przeglądu.

Dziękujemy za nieustające zaufanie do Zyxel. Razem budujemy bezpieczniejszą i bardziej odporną przyszłość.

Dziękujemy za zrozumienie i zalecamy pozostanie w kontakcie z naszą społecznością Zyxel i portalem pomocy technicznej w celu uzyskania najnowszych wiadomości i wskazówek.