Sammendrag
Microsoft har udgivet en Windows-opdatering for at afhjælpe en sårbarhed i forbindelse med genafspilning af token i Active Directory Federation Services (AD FS), som beskrevet i CVE-2023-35348. Denne opdatering installeres af Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter. Denne opdatering er som standard installeret deaktiveret. Hvis du vil aktivere opdateringen, skal du konfigurere indstillingen EnforceNonceInJWT .
Flere oplysninger
Denne opdatering introducerer en ny indstilling, der aktiverer validering af Nonce fra JSON Web Token-påstanden (JWT) under JWT-brugergodkendelse.
I denne artikel beskrives det, hvordan du aktiverer indstillingen og angiver oplysninger om hændelser, der er logget på AD FS-servere for de understøttede værdier for indstillingen.
Indstillingen EnforceNonceInJWT
EnforceNonceInJWT kan konfigureres af en administrator på en ADFS-server til at køre i en af følgende tilstande:
-
Ingen (standardværdi): Dette bruges til at registrere, om indstillingsværdien EnforceNonceInJWT er blevet ændret. Denne værdi kan ikke angives af en administrator. ADFS-serveren validerer kun nonce, når den er til stede i JWT-påstanden, men gennemtvinger ikke tilstedeværelsen af den.
-
Deaktiveret: Denne værdi kan angives for at deaktivere rettelsen, hvis der opstår problemer med standardværdien eller efter aktivering af den.
-
Aktiveret: Aktiverer indstillingen EnforceNonceInJWT . ADFS-serveren gennemtvinger, at Nonce er til stede i JWT-påstanden, og den er også gyldig, når visse betingelser er opfyldt.
EnforceNonceInJWT-tilstande kan ændres af en administrator på en AD FS-server ved hjælp af følgende PowerShell-kommandoer:
-
Aktivér EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT aktiveret -
Deaktiver EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT disabled -
Kontrollér status for indstillingen EnforceNonceInJWT:
En administrator kan køre Get-AdfsProperties for at kontrollere den aktuelle EnforceNonceInJWT-indstilling . Den returnerede EnforceNonceInJWT-værdi svarer til den konfigurerede tilstand.
Hændelser logført
Følgende hændelser logføres muligvis på en AD FS-server, når de Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter, er installeret:
Bemærk! Hændelse 187 logføres, når AD FS-serveren modtager en anmodning, der ikke indeholder Nonce i JWT-påstanden, og EnforceNonceInJWT er indstillet til enten Ingen eller Deaktiveret.
Kilde: AD FS
Niveau: Advarsel
ID: 187
Besked: AD FS-serveren modtog et JWT-token uden nonce i påstanden, og det blev accepteret baseret på den aktuelle konfigurationsindstilling for EnforceNonceInJWT. Den indikerer dog en potentiel genafspilning af JWT-tokenet af en ondsindet klient eller risikoen for, at klienten ikke er rettet med den nyeste Windows-Opdateringer. Sørg for at opdatere indstillingen EnforceNonceInJWT for at afvise alle sådanne JWT-tokens, når du har rettet klienterne med de nyeste Windows-Opdateringer. Du kan få flere oplysninger om dette i https://go.microsoft.com/fwlink/?linkid=2238156.
Bemærk! Hændelse 188 logføres med hver AD FS-tjeneste starter, når EnforceNonceInJWT er indstillet til enten Ingen eller Deaktiveret.
Kilde: AD FS
Niveau: Fejl
ID: 188
Besked: AD FS-serveren er ikke konfigureret til at afvise JWT-tokens, der ikke havde nonce i påstanden. Den tilsvarende indstilling (EnforceNonceInJWT) skal være aktiveret af sikkerhedsmæssige årsager, når du har sikret dig, at alle klienterne er opdateret med den nyeste Windows-Opdateringer. Hændelsen 187 angiver de forekomster, hvor AD FS har modtaget sådanne tokens og accepteret på grund af den aktuelle indstilling af EnforceNonceInJWT. Du kan få flere oplysninger om dette i https://go.microsoft.com/fwlink/?linkid=2238156.
Gør noget
Installér Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter, på alle AD FS-servere i farmen. Aktivér derefter indstillingen ved at køre følgende PowerShell-kommando på farmens primære AD FS-server:
Set-AdfsProperties -EnforceNonceInJWT aktiveret
Vigtigt! Du får muligvis vist godkendelsesfejl i visse scenarier, når der er klienter, der ikke opdateres, og sender JWT-godkendelsesanmodninger til AD FS-serveren. I sådanne tilfælde anbefaler vi, at du opdaterer alle klienter ved at installere Windows-opdateringen, der blev udgivet den 11. juli 2023 eller derefter. Alternativt kan en administrator deaktivere indstillingen EnforceNonceInJWT og overvåge AD FS-serverne for logføring af hændelse 187 for at identificere potentielle anmodninger, der kan afvises, når EnforceNonceInJWT er indstillet til Aktiveret. Når du har bekræftet fraværet af hændelse 187 på AD FS-servere i et defineret tidsrum, skal indstillingen EnforceNonceInJWT opdateres til Aktiveret.