الملخص
أصدرت Microsoft تحديث Windows لمعالجة ثغرة أمنية في هجوم إعادة تشغيل الرمز المميز في خدمات الأمان المشترك لـ Active Directory (AD FS) كما هو موضح في CVE-2023-35348. يتم تثبيت هذا التحديث بواسطة تحديثات Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك. بشكل افتراضي، يتم تثبيت هذا التحديث معطل. لتمكين التحديث، يجب تكوين إعداد EnforceNonceInJWT .
مزيد من المعلومات
يقدم هذا التحديث إعدادا جديدا لتمكين التحقق من صحة Nonce من تأكيد JSON Web Token (JWT) أثناء مصادقة مستخدم JWT.
توضح هذه المقالة كيفية تمكين الإعداد وتوفر تفاصيل الأحداث المسجلة على خوادم AD FS للقيم المدعومة للإعداد.
إعداد EnforceNonceInJWT
يمكن تكوين EnforceNonceInJWT بواسطة مسؤول على خادم ADFS للتشغيل في أحد الأوضاع التالية:
-
None (القيمة الافتراضية): يتم استخدام هذا لتعقب ما إذا تم تغيير قيمة إعداد EnforceNonceInJWT من أي وقت مضى. قد لا يتم تعيين هذه القيمة من قبل مسؤول. يتحقق خادم ADFS من صحة nonce فقط عندما يكون موجودا في تأكيد JWT ولكنه لا يفرض وجوده.
-
ذوي الاحتياجات الخاصه: قد يتم تعيين هذه القيمة لتعطيل الإصلاح، إذا كانت هناك أي مشكلات تمت مواجهتها مع القيمة الافتراضية أو بعد تمكينها.
-
تمكين: تمكين إعداد EnforceNonceInJWT . يفرض خادم ADFS وجود Nonce في تأكيد JWT وأنه صالح أيضا عند استيفاء شروط معينة.
قد يتم تغيير أوضاع EnforceNonceInJWT بواسطة مسؤول على خادم AD FS باستخدام أوامر PowerShell التالية:
-
تمكين EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
تعطيل EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
تحقق من حالة إعداد EnforceNonceInJWT:
قد يقوم المسؤول بتشغيل Get-AdfsProperties للتحقق من إعداد EnforceNonceInJWT الحالي. ستتطابق قيمة EnforceNonceInJWT التي تم إرجاعها مع الوضع الذي تم تكوينه.
الأحداث المسجلة
قد يتم تسجيل الأحداث التالية على خادم AD FS بعد تثبيت تحديثات Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك:
ملاحظة يتم تسجيل الحدث 187 عندما يتلقى خادم AD FS طلبا لا يحتوي على Nonce في تأكيد JWT ويتم تعيين EnforceNonceInJWT إلى None أو Disabled.
مصدر: AD FS
مستوي: تحذير
المعرف: 187
رساله: تلقى خادم AD FS رمز JWT المميز دون nonce في التأكيد وتم قبوله استنادا إلى إعداد التكوين الحالي ل EnforceNonceInJWT. ومع ذلك، يشير إلى إعادة تشغيل محتملة للرمز المميز JWT من قبل عميل ضار أو احتمال عدم تصحيح العميل بأحدث التحديثات Windows. يرجى التأكد من تحديث إعداد EnforceNonceInJWT لرفض جميع رموز JWT المميزة هذه بعد تصحيح العملاء بأحدث التحديثات Windows. لمزيد من المعلومات حول ذلك، يرجى الاطلاع على https://go.microsoft.com/fwlink/?linkid=2238156.
ملاحظة يتم تسجيل الحدث 188 مع كل خدمة AD FS تبدأ عند تعيين EnforceNonceInJWT إما على None أو Disabled.
مصدر: AD FS
مستوي: الخطأ
المعرف: 188
رساله: لم يتم تكوين خادم AD FS لرفض رموز JWT المميزة التي لم يكن لها nonce في التأكيد. يجب تمكين الإعداد المقابل (EnforceNonceInJWT) لأسباب أمنية بعد التأكد من تصحيح جميع العملاء بأحدث التحديثات Windows. يشير الحدث 187 إلى المثيلات التي تلقى فيها AD FS مثل هذه الرموز المميزة وتم قبولها بسبب الإعداد الحالي ل EnforceNonceInJWT. لمزيد من المعلومات حول ذلك، يرجى الاطلاع على https://go.microsoft.com/fwlink/?linkid=2238156.
اتخاذ إجراء
تثبيت تحديثات Windows التي تم إصدارها في 11 يوليو 2023 أو بعد ذلك على جميع خوادم AD FS في المزرعة. بعد ذلك، قم بتمكين الإعداد عن طريق تشغيل أمر PowerShell التالي على خادم AD FS الأساسي للمزرعة:
Set-AdfsProperties -EnforceNonceInJWT Enabled
هام قد ترى فشل المصادقة في سيناريوهات معينة عندما يكون هناك عملاء لم يتم تحديثهم وإرسال طلبات مصادقة JWT إلى خادم AD FS. في مثل هذه الحالات، نوصي بتحديث جميع العملاء عن طريق تثبيت تحديث Windows الذي تم إصداره في 11 يوليو 2023 أو بعده. بدلا من ذلك، يمكن للمسؤول تعطيل إعداد EnforceNonceInJWT ومراقبة خوادم AD FS لتسجيل الحدث 187 لتحديد الطلبات المحتملة التي يمكن رفضها عند تعيين EnforceNonceInJWT إلى ممكن. بعد تأكيد عدم وجود الحدث 187 على خوادم AD FS لفترة زمنية محددة، يجب تحديث إعداد EnforceNonceInJWT إلى ممكن.
