Compatibilitatea autentificării firewall-ului Zyxel cu Windows Server 2025

Odată cu modificările viitoare introduse în Microsoft Windows Server 2025, suportul de autentificare NTLM a fost depreciat în favoarea unor protocoale de autentificare mai moderne și mai sigure. Ca urmare, metodele de autentificare care se bazează pe MSCHAPv2 - cum ar fi cele utilizate în mediile Active Directory (AD) și RADIUS - pot întâmpina probleme de compatibilitate atunci când se interfațează cu dispozitivele firewall Zyxel care rulează versiunile actuale de firmware.

Notă: Începând cu aprilie 2025, Windows Server 2025 continuă să suporte MS-CHAPv2 pentru autentificare.
Cu toate acestea, este important să rețineți că Windows Defender Credential Guard, activat implicit în Windows Server 2025, poate interfera cu metodele de autentificare bazate pe MS-CHAPv2, precum PEAP-MSCHAPv2 și EAP-MSCHAPv2.
Această interferență poate duce la eșecuri de autentificare în scenarii precum autentificarea Active Directory (AD) pe firewall-ul Zyxel și autentificarea serverului RADIUS.

Dacă doriți să vă integrați firewall-ul Zyxel cu Windows Server 2025 Active Directory utilizând LDAPS (port TCP 636) pe ZLD 5.40 sau uOS 1.32, consultați acest articol dedicat:
👉 Zyxel Firewall - Windows Server 2025 Active Directory și Zyxel Firewall ZLD 5.40/uOS 1.32

Notă: Acest articol se concentrează pe problemele de compatibilitate a autentificării (de exemplu, MS-CHAPv2, deprecierea NTLM) cu Windows Server 2025. Dacă sunteți în căutarea pașilor de integrare AD utilizând LDAPS, vă rugăm să consultați articolul legat în partea de jos.

Comportament observat

Atunci când se încearcă autentificarea utilizatorilor prin AD sau NPS (Network Policy Server) utilizând MSCHAPv2, este posibil ca firewall-urile Zyxel să nu primească un răspuns valid, rezultând încercări de autentificare eșuate. Acest comportament se datorează eliminării suportului NTLM în Windows Server 2025, care este o componentă necesară pentru ca MSCHAPv2 să funcționeze.

Soluția recomandată de Zyxel

Pentru a asigura autentificarea continuă și neîntreruptă a utilizatorilor, Zyxel recomandă următoarea soluție de avarie până la introducerea compatibilității complete:

• Creați conturi de utilizator locale pe firewall-ul Zyxel în scopul autentificării.
• Acest lucru ocolește dependența de NTLM, asigurând o experiență de conectare fără probleme pentru utilizatori, menținând în același timp securitatea rețelei.

Soluție de remediere (cu precauție)

Soluția alternativă 1: Activarea SSL (LDAPS) pe firewall-ul Zyxel

Esența acestei soluții este utilizarea LDAP prin SSL, care se aliniază noilor politici de securitate ale Microsoft și înlocuiește protocolul NTLM tradițional.

Pași de configurare:

1. Conectați-vă la interfața Zyxel Firewall și navigați la:
   Autentificare > Setări server > Setări avansate
2. Activați opțiunea SSL.

Asigurați-vă că:

• Controlerul de domeniu are un certificat SSL valid.
• Acest certificat este instalat în magazinul Trusted Root Certification Authorities de pe Firewall.

Riscuri și limitări:

• Fără un certificat corect instalat și de încredere, Firewall-ul nu va putea să se conecteze la serverul AD prin LDAPS.
• Este necesară gestionarea manuală a certificatelor: export, import și verificarea lanțului de încredere.

Soluția 2: Relaxarea politicii de securitate pe Windows Server 2025

A doua abordare este modificarea Politicii de grup pe controlerul de domeniu pentru a permite comportamentul nesigur în mod implicit. Acest lucru permite Firewall-ului Zyxel să se conecteze utilizând LDAP standard (nesecurizat).

Pași:

1. Rulați gpedit.msc pe controlerul de domeniu Windows Server 2025.
2. Navigați la:
   Local Group Policy Editor → Computer Configuration → Windows Settings →
   Setări de securitate → Politici locale → Opțiuni de securitate →
   Controler de domeniu: Cerințe de semnare a serverului LDAP
3. Modificați setarea "Enforcement" la "Disabled".

Ce face acest lucru:

• Permite controlerului de domeniu să răspundă la solicitările LDAP simple (necriptate) de la clienți precum Zyxel Firewall.
• Ocolește cerința de a utiliza LDAPS.

Riscuri:

• Parolele și alte date sensibile sunt transmise necriptat, ceea ce este deosebit de periculos în rețele nesecurizate sau publice.
• Deschide o vulnerabilitate potențială la atacurile man-in-the-middle.
• Încalcă politicile de securitate recomandate de Microsoft și poate declanșa alerte în sistemele de monitorizare.

Concluzie:

Aceasta este o soluție rapidă, dar reduce semnificativ securitatea. Folosiți-o numai în medii restrânse și izolate și reveniți la ea imediat ce este disponibilă o soluție oficială.

Privind în perspectivă

La Zyxel, lucrăm activ pentru a ne asigura că soluțiile noastre evoluează odată cu schimbările din industrie. Echipele noastre monitorizează îndeaproape evoluțiile Microsoft cu Windows Server 2025 și explorăm deja opțiuni de integrare pentru a susține protocoalele de securitate îmbunătățite pe care le introduce.

Deși versiunile actuale de firmware nu suportă încă metodele de autentificare actualizate, fiți siguri că aceasta este o prioritate majoră pe foaia noastră de parcurs pentru dezvoltare. Inginerii noștri se angajează să ofere o experiență fără probleme clienților noștri, iar suportul pentru autentificarea Windows Server 2025 este în curs de revizuire activă.

Vă mulțumim pentru încrederea dumneavoastră continuă în Zyxel. Împreună, construim un viitor mai sigur și mai rezilient.

Apreciem înțelegerea dvs. și vă recomandăm să rămâneți conectat la Comunitatea Zyxel și la Portalul de asistență pentru cele mai recente știri și îndrumări.