Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

Společnost Microsoft vydala aktualizaci systému Windows, která řeší ohrožení zabezpečení útoku na přehrání tokenů v Active Directory Federation Services (AD FS) (AD FS), jak je popsáno v CVE-2023-35348. Tato aktualizace je nainstalovaná aktualizacemi Windows vydanými 11. července 2023 nebo později. Ve výchozím nastavení je tato aktualizace zakázaná. Pokud chcete aktualizaci povolit, musíte nakonfigurovat nastavení EnforceNonceInJWT .

Další informace

Tato aktualizace zavádí nové nastavení, které povolí ověření nonce z kontrolního výrazu JSON Web Token (JWT) během ověřování uživatele JWT.

Tento článek popisuje, jak povolit nastavení, a poskytuje podrobnosti o událostech protokolovaných na serverech SLUŽBY AD FS pro podporované hodnoty nastavení.

Nastavení EnforceNonceInJWT

EnforceNonceInJWT může správce nakonfigurovat na serveru AD FS tak, aby běžel v jednom z následujících režimů:

  • None (výchozí hodnota): Slouží ke sledování, jestli se někdy změnila hodnota nastavení EnforceNonceInJWT . Tuto hodnotu nemusí nastavit správce. Server AD FS ověří nonce pouze v případě, že je přítomen v kontrolním výrazu JWT, ale nevynucuje jeho přítomnost.

  • Zakázán: Tato hodnota může být nastavena za účelem zakázání opravy, pokud dojde k problémům s hodnotou Výchozí nebo po jejím povolení.

  • Povoleno: Povolí nastavení EnforceNonceInJWT . Server AD FS vynucuje, aby v kontrolním výrazu JWT byl přítomen nonce a že je platný také při splnění určitých podmínek.

Režimy EnforceNonceInJWT může správce na serveru AD FS změnit pomocí následujících příkazů PowerShellu:

  • Povolit EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Enabled

  • Zakázat EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT Disabled

  • Zkontrolujte stav nastavení EnforceNonceInJWT:

    Správce může spustit příkaz Get-AdfsProperties a zkontrolovat aktuální nastavení EnforceNonceInJWT . Vrácená hodnota EnforceNonceInJWT se bude shodovat s nakonfigurovaným režimem.

Protokolované události

Po instalaci aktualizací Windows vydaných 11. července 2023 nebo později můžou být na serveru služby AD FS zaznamenány následující události:

Poznámka Událost 187 se zaprotokoluje vždy, když server služby AD FS přijme požadavek, který v kontrolním výrazu JWT neobsahuje nonce , a hodnota EnforceNonceInJWT je nastavená na hodnotu None nebo Disabled.

Zdroj: AD FS  

Úrovni: Upozornění 

Identifikace: 187 

Zprávu: Server SLUŽBY AD FS přijal token JWT bez nonce v kontrolním výrazu a byl přijat na základě aktuálního nastavení konfigurace EnforceNonceInJWT. Značí ale potenciální opětovné přehrání tokenu JWT škodlivým klientem nebo možnost, že klient není opravený s nejnovějšími Aktualizace Windows. Po opravě klientů s nejnovějšími Aktualizace Windows nezapomeňte aktualizovat nastavení EnforceNonceInJWT tak, aby odmítlo všechny takové tokeny JWT. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2238156.

Poznámka Událost 188 se protokoluje se spuštěním každé služby AD FS, když je EnforceNonceInJWT nastavená na hodnotu None nebo Disabled.

Zdroj: AD FS  

Úrovni: Chyba 

Identifikace: 188 

Zprávu: Server služby AD FS není nakonfigurovaný tak, aby odmítal tokeny JWT, které v kontrolním výrazu neměly nonce. Odpovídající nastavení (EnforceNonceInJWT) by mělo být z bezpečnostních důvodů povolené po ověření, že všichni klienti jsou opraveni nejnovějšími Aktualizace Windows. Událost 187 označuje instance, kde služba AD FS tyto tokeny přijala a přijala kvůli aktuálnímu nastavení EnforceNonceInJWT. Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2238156.

Provedení akce

Nainstalujte aktualizace Windows vydané 11. července 2023 nebo později na všechny servery služby AD FS farmy. Pak nastavení povolte spuštěním následujícího příkazu PowerShellu na primárním serveru AD FS farmy:

Set-AdfsProperties -EnforceNonceInJWT Enabled

Důležité V určitých scénářích může dorazit k selhání ověřování, když existují klienti, kteří nejsou aktualizováni a odesílají žádosti o ověření JWT na server služby AD FS. V takových případech doporučujeme aktualizovat všechny klienty instalací aktualizace Windows vydané 11. července 2023 nebo později. Případně může správce zakázat nastavení EnforceNonceInJWT a monitorovat na serverech SLUŽBY AD FS protokolování události 187, aby identifikoval potenciální požadavky, které by mohly být odmítnuty, když je možnost EnforceNonceInJWTnastavená na Povoleno. Po potvrzení nepřítomnosti události 187 na serverech SLUŽBY AD FS po definovanou dobu musí být nastavení EnforceNonceInJWTaktualizováno na Povoleno.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×