Shrnutí
Společnost Microsoft vydala aktualizaci systému Windows, která řeší ohrožení zabezpečení útoku na přehrání tokenů v Active Directory Federation Services (AD FS) (AD FS), jak je popsáno v CVE-2023-35348. Tato aktualizace je nainstalovaná aktualizacemi Windows vydanými 11. července 2023 nebo později. Ve výchozím nastavení je tato aktualizace zakázaná. Pokud chcete aktualizaci povolit, musíte nakonfigurovat nastavení EnforceNonceInJWT .
Další informace
Tato aktualizace zavádí nové nastavení, které povolí ověření nonce z kontrolního výrazu JSON Web Token (JWT) během ověřování uživatele JWT.
Tento článek popisuje, jak povolit nastavení, a poskytuje podrobnosti o událostech protokolovaných na serverech SLUŽBY AD FS pro podporované hodnoty nastavení.
Nastavení EnforceNonceInJWT
EnforceNonceInJWT může správce nakonfigurovat na serveru AD FS tak, aby běžel v jednom z následujících režimů:
-
None (výchozí hodnota): Slouží ke sledování, jestli se někdy změnila hodnota nastavení EnforceNonceInJWT . Tuto hodnotu nemusí nastavit správce. Server AD FS ověří nonce pouze v případě, že je přítomen v kontrolním výrazu JWT, ale nevynucuje jeho přítomnost.
-
Zakázán: Tato hodnota může být nastavena za účelem zakázání opravy, pokud dojde k problémům s hodnotou Výchozí nebo po jejím povolení.
-
Povoleno: Povolí nastavení EnforceNonceInJWT . Server AD FS vynucuje, aby v kontrolním výrazu JWT byl přítomen nonce a že je platný také při splnění určitých podmínek.
Režimy EnforceNonceInJWT může správce na serveru AD FS změnit pomocí následujících příkazů PowerShellu:
-
Povolit EnforceNonceInJWT: Set-AdfsProperties -EnforceNonceInJWT Enabled
-
Zakázat EnforceNonceInJWT: Set-AdfsProperties -EnforceNonceInJWT Disabled
-
Zkontrolujte stav nastavení EnforceNonceInJWT: Správce může spustit příkaz Get-AdfsProperties a zkontrolovat aktuální nastavení EnforceNonceInJWT . Vrácená hodnota EnforceNonceInJWT se bude shodovat s nakonfigurovaným režimem.
Protokolované události
Po instalaci aktualizací Windows vydaných 11. července 2023 nebo později můžou být na serveru služby AD FS zaznamenány následující události:
Poznámka Událost 187 se zaprotokoluje vždy, když server služby AD FS přijme požadavek, který v kontrolním výrazu JWT neobsahuje nonce , a hodnota EnforceNonceInJWT je nastavená na hodnotu None nebo Disabled.
Zdroj: AD FS
Úrovni: Upozornění
Identifikace: 187
Zprávu: Server SLUŽBY AD FS přijal token JWT bez nonce v kontrolním výrazu a byl přijat na základě aktuálního nastavení konfigurace EnforceNonceInJWT. Značí ale potenciální opětovné přehrání tokenu JWT škodlivým klientem nebo možnost, že klient není opravený s nejnovějšími Aktualizace Windows. Po opravě klientů s nejnovějšími Aktualizace Windows nezapomeňte aktualizovat nastavení EnforceNonceInJWT tak, aby odmítlo všechny takové tokeny JWT. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2238156.
Poznámka Událost 188 se protokoluje se spuštěním každé služby AD FS, když je EnforceNonceInJWT nastavená na hodnotu None nebo Disabled.
Zdroj: AD FS
Úrovni: Chyba
Identifikace: 188
Zprávu: Server služby AD FS není nakonfigurovaný tak, aby odmítal tokeny JWT, které v kontrolním výrazu neměly nonce. Odpovídající nastavení (EnforceNonceInJWT) by mělo být z bezpečnostních důvodů povolené po ověření, že všichni klienti jsou opraveni nejnovějšími Aktualizace Windows. Událost 187 označuje instance, kde služba AD FS tyto tokeny přijala a přijala kvůli aktuálnímu nastavení EnforceNonceInJWT. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2238156.
Provedení akce
Nainstalujte aktualizace Windows vydané 11. července 2023 nebo později na všechny servery služby AD FS farmy. Pak nastavení povolte spuštěním následujícího příkazu PowerShellu na primárním serveru AD FS farmy:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Důležité V určitých scénářích může dorazit k selhání ověřování, když existují klienti, kteří nejsou aktualizováni a odesílají žádosti o ověření JWT na server služby AD FS. V takových případech doporučujeme aktualizovat všechny klienty instalací aktualizace Windows vydané 11. července 2023 nebo později. Případně může správce zakázat nastavení EnforceNonceInJWT a monitorovat na serverech SLUŽBY AD FS protokolování události 187, aby identifikoval potenciální požadavky, které by mohly být odmítnuty, když je možnost EnforceNonceInJWTnastavená na Povoleno. Po potvrzení nepřítomnosti události 187 na serverech SLUŽBY AD FS po definovanou dobu musí být nastavení EnforceNonceInJWTaktualizováno na Povoleno.
