Совместимость аутентификации брандмауэра Zyxel с Windows Server 2025

В связи с грядущими изменениями в Microsoft Windows Server 2025 поддержка аутентификации NTLM была упразднена в пользу более современных и безопасных протоколов аутентификации. В результате методы аутентификации, основанные на MSCHAPv2, например, используемые в средах Active Directory (AD) и RADIUS, могут испытывать проблемы с совместимостью при взаимодействии с устройствами межсетевого экрана Zyxel с текущими версиями прошивки.

Примечание: Начиная с апреля 2025 года, Windows Server 2025 продолжает поддерживать MS-CHAPv2 для аутентификации.
Однако важно отметить, что Windows Defender Credential Guard, включенный по умолчанию в Windows Server 2025, может вмешиваться в методы аутентификации на основе MS-CHAPv2, такие как PEAP-MSCHAPv2 и EAP-MSCHAPv2.
Это может привести к сбоям аутентификации в таких сценариях, как аутентификация Active Directory (AD) на брандмауэре Zyxel и аутентификация на сервере RADIUS.

Если вы хотите интегрировать брандмауэр Zyxel с Windows Server 2025 Active Directory с помощью LDAPS (порт TCP 636) на ZLD 5.40 или uOS 1.32, обратитесь к этой специальной статье:
👉 Zyxel Firewall - Windows Server 2025 Active Directory и Zyxel Firewall ZLD 5.40/uOS 1.32

Примечание: Эта статья посвящена проблемам совместимости аутентификации (например, MS-CHAPv2, устаревание NTLM) с Windows Server 2025. Если вы ищете шаги по интеграции AD с помощью LDAPS, обратитесь к статье по ссылке внизу.

Наблюдаемое поведение

При попытке аутентификации пользователей через AD или NPS (Network Policy Server) с помощью MSCHAPv2 брандмауэры Zyxel могут не получать корректный ответ, что приводит к неудачным попыткам аутентификации. Такое поведение связано с удалением поддержки NTLM в Windows Server 2025, которая является необходимым компонентом для работы MSCHAPv2.

Рекомендуемое решение Zyxel

Для обеспечения непрерывной и бесперебойной аутентификации пользователей компания Zyxel рекомендует использовать следующее обходное решение до появления полной совместимости:

• Создайте локальные учетные записи пользователей на брандмауэре Zyxel для целей аутентификации.
• Это позволяет обойти зависимость от NTLM, обеспечивая беспрепятственный вход пользователей в систему при сохранении сетевой безопасности.

Обходное решение (с осторожностью)

Обходное решение 1: Включение SSL (LDAPS) на брандмауэре Zyxel.

Суть этого решения заключается в использовании LDAP через SSL, который соответствует новым политикам безопасности Microsoft и заменяет устаревший протокол NTLM.

Этапы настройки:

1. Войдите в интерфейс Zyxel Firewall и перейдите к:
   Аутентификация > Параметры сервера > Дополнительные параметры.
2. Включите опцию SSL.

Убедитесь, что:

• Контроллер домена имеет действительный сертификат SSL.
• Этот сертификат установлен в хранилище Trusted Root Certification Authorities на брандмауэре.

Риски и ограничения:

• Без правильно установленного и доверенного сертификата брандмауэр не сможет подключиться к серверу AD через LDAPS.
• Требуется ручная работа с сертификатами: экспорт, импорт и проверка цепочки доверия.

Обходной путь 2: ослабление политики безопасности на Windows Server 2025

Второй подход заключается в изменении групповой политики на контроллере домена, чтобы разрешить небезопасное поведение по умолчанию. Это позволит брандмауэру Zyxel Firewall подключаться с помощью стандартного (небезопасного) LDAP.

Шаги:

1. Запустите gpedit.msc на контроллере домена Windows Server 2025.
2. Перейдите в:
   Редактор локальной групповой политики → Конфигурация компьютера → Параметры Windows →
   Параметры безопасности → Локальные политики → Параметры безопасности →
   Контроллер домена: Требования к подписанию сервера LDAP
3. Измените параметр "Enforcement" на "Disabled".

Что это дает:

• Позволяет контроллеру домена отвечать на обычные (незашифрованные) запросы LDAP от таких клиентов, как Zyxel Firewall.
• Обходит требование использовать LDAPS.

Риски:

• Пароли и другие конфиденциальные данные передаются в незашифрованном виде, что особенно опасно в незащищенных или публичных сетях.
• Открывает потенциальную уязвимость для атак типа "человек посередине".
• Нарушает рекомендованные Microsoft политики безопасности и может вызвать предупреждения в системах мониторинга.

Заключение:

Это быстрое решение, но оно значительно снижает уровень безопасности. Используйте его только в ограниченных, изолированных средах и верните его, как только появится официальное решение.

Заглядывая в будущее

Компания Zyxel активно работает над тем, чтобы наши решения развивались вместе с изменениями в отрасли. Наши специалисты внимательно следят за развитием событий в Windows Server 2025 от Microsoft, и мы уже изучаем возможности интеграции для поддержки расширенных протоколов безопасности.

Хотя текущие версии микропрограммного обеспечения пока не поддерживают обновленные методы аутентификации, будьте уверены, что эта задача является одним из приоритетных в нашей дорожной карте развития. Наши инженеры стремятся обеспечить бесперебойную работу для наших клиентов, и поддержка аутентификации Windows Server 2025 находится на стадии активного рассмотрения.

Спасибо за ваше неизменное доверие к Zyxel. Вместе мы строим более безопасное и устойчивое будущее.

Мы ценим ваше понимание и рекомендуем оставаться на портале сообщества и поддержки Zyxel для получения последних новостей и рекомендаций.