Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Резюме

Microsoft издаде актуализация на Windows, за да адресира уязвимост при повторение на маркер в услуги на Active Directory за улесняване на достъпа (AD FS), както е описано в CVE-2023-35348. Тази актуализация се инсталира от актуализации на Windows, издадени на или след 11 юли 2023 г. По подразбиране тази актуализация е инсталирана забранена. За да разрешите актуализацията, трябва да конфигурирате настройката EnforceNonceInJWT .

Още информация

Тази актуализация въвежда нова настройка за разрешаване на проверката на Nonce от потвърждаването на JSON web Token (JWT) по време на удостоверяване на потребител на JWT.

Тази статия описва как да разрешите настройката и предоставя подробности за събития, влезли в AD FS сървъри за поддържаните стойности на настройката.

Настройка enforceNonceInJWT

EnforceNonceInJWT може да бъде конфигуриран от администратор на ADFS сървър, за да се изпълнява в един от следните режими:

  • Няма (стойност по подразбиране): Използва се за проследяване дали стойността на настройката EnforceNonceInJWT някога е била променена. Тази стойност не може да бъде зададена от администратор. ADFS сървърът проверява nonce само когато присъства в потвърждаването на JWT, но не налага наличието му.

  • Забранено: Тази стойност може да бъде зададена, за да забраните корекцията, ако има някакви проблеми със стойността по подразбиране или публикуване разрешаването й.

  • Разрешено: Разрешава настройката EnforceNonceInJWT . ADFS сървърът изисква Nonce да присъства в потвърждаването на JWT и също така е валиден, когато са изпълнени определени условия.

EnforceNonceInJWT режимите могат да бъдат променени от администратор на AD FS сървър с помощта на следните команди на PowerShell:

  • Разрешаване на EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Разрешено

  • Забраняване на EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Проверете състоянието на настройката EnforceNonceInJWT:

    Администратор може да изпълни Get-AdfsProperties , за да провери текущата настройка на EnforceNonceInJWT . Върнатата стойност на EnforceNonceInJWT ще съответства на конфигурирания режим.

Регистрирани събития

Следните събития могат да бъдат регистрирани в AD FS сървър след инсталирането на актуализациите на Windows, издадени на или след 11 юли 2023 г.:

Забележка Събитие 187 се записва всеки път, когато СЪРВЪРът на AD FS получи искане, което не съдържа Nonce в потвърждаването на JWT, а EnforceNonceInJWT е зададено на Няма или Забранено.

Източник: AD FS  

Ниво: Предупреждение 

ИД: 187 

Съобщение: AD FS сървърът получи JWT маркер без nonce в потвърждаването и той беше приет въз основа на текущата конфигурационна настройка на EnforceNonceInJWT. Това обаче показва потенциално повторение на маркера JWT от злонамерен клиент или възможността клиентът да не бъде коригиран с най-новите Актуализации на Windows. Не забравяйте да актуализирате настройката EnforceNonceInJWT, за да отхвърлите всички тези маркери JWT, след като коригирате клиентите с най-новите Актуализации на Windows. За повече информация относно това вижте https://go.microsoft.com/fwlink/?linkid=2238156.

Забележка Събитие 188 се записва с всяко стартиране на услугата AD FS, когато EnforceNonceInJWT е зададено на Няма или Дезактивирано.

Източник: AD FS  

Ниво: Грешка 

ИД: 188 

Съобщение: AD FS сървърът не е конфигуриран да отхвърля маркери JWT, които нямаха никакъв напредък в потвърждаването. Съответната настройка (EnforceNonceInJWT) трябва да бъде разрешена от съображения за сигурност, след като се уверите, че всички клиенти са коригирани с най-новата Актуализации на Windows. Събитието 187 показва случаите, когато AD FS е получил тези маркери и е приет поради текущата настройка на EnforceNonceInJWT. За повече информация относно това вижте https://go.microsoft.com/fwlink/?linkid=2238156.

Предприемане на действие

Инсталирайте актуализациите на Windows, издадени на или след 11 юли 2023 г. на всички AD FS сървъри на групата. След това разрешете настройката, като изпълните следната команда на PowerShell на основния AD FS сървър на групата:

Set-AdfsProperties - Разрешено EnforceNonceInJWT

Важно Възможно е да видите неуспешни удостоверявания в определени сценарии, когато има клиенти, които не са актуализирани, и изпращане на заявки за удостоверяване на JWT към сървъра на AD FS. В такива случаи препоръчваме да актуализирате всички клиенти, като инсталирате актуализацията на Windows, издадена на или след 11 юли 2023 г. Друг вариант е администраторът да забрани настройката EnforceNonceInJWT и да наблюдава AD FS сървърите за регистриране на събитие 187, за да идентифицира потенциални искания, които могат да бъдат отхвърлени, когато EnforceNonceInJWT е зададено на Разрешено. След като се потвърди липсата на събитие 187 на AD FS сървъри за определен период от време, настройката EnforceNonceInJWT трябва да бъде актуализирана на Разрешено.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×