Log på med Microsoft
Log på, eller opret en konto.
Hej
Markér en anden konto.
Du har flere konti
Vælg den konto, du vil logge på med.

Sammendrag

Microsoft har udgivet en Windows-opdatering for at afhjælpe en sårbarhed i forbindelse med genafspilning af token i Active Directory Federation Services (AD FS), som beskrevet i CVE-2023-35348. Denne opdatering installeres af Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter. Denne opdatering er som standard installeret deaktiveret. Hvis du vil aktivere opdateringen, skal du konfigurere indstillingen EnforceNonceInJWT .

Flere oplysninger

Denne opdatering introducerer en ny indstilling, der aktiverer validering af Nonce fra JSON Web Token-påstanden (JWT) under JWT-brugergodkendelse.

I denne artikel beskrives det, hvordan du aktiverer indstillingen og angiver oplysninger om hændelser, der er logget på AD FS-servere for de understøttede værdier for indstillingen.

Indstillingen EnforceNonceInJWT

EnforceNonceInJWT kan konfigureres af en administrator på en ADFS-server til at køre i en af følgende tilstande:

  • Ingen (standardværdi): Dette bruges til at registrere, om indstillingsværdien EnforceNonceInJWT er blevet ændret. Denne værdi kan ikke angives af en administrator. ADFS-serveren validerer kun nonce, når den er til stede i JWT-påstanden, men gennemtvinger ikke tilstedeværelsen af den.

  • Deaktiveret: Denne værdi kan angives for at deaktivere rettelsen, hvis der opstår problemer med standardværdien eller efter aktivering af den.

  • Aktiveret: Aktiverer indstillingen EnforceNonceInJWT . ADFS-serveren gennemtvinger, at Nonce er til stede i JWT-påstanden, og den er også gyldig, når visse betingelser er opfyldt.

EnforceNonceInJWT-tilstande kan ændres af en administrator på en AD FS-server ved hjælp af følgende PowerShell-kommandoer:

  • Aktivér EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT aktiveret

  • Deaktiver EnforceNonceInJWT:

    Set-AdfsProperties -EnforceNonceInJWT disabled

  • Kontrollér status for indstillingen EnforceNonceInJWT:

    En administrator kan køre Get-AdfsProperties for at kontrollere den aktuelle EnforceNonceInJWT-indstilling . Den returnerede EnforceNonceInJWT-værdi svarer til den konfigurerede tilstand.

Hændelser logført

Følgende hændelser logføres muligvis på en AD FS-server, når de Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter, er installeret:

Bemærk! Hændelse 187 logføres, når AD FS-serveren modtager en anmodning, der ikke indeholder Nonce i JWT-påstanden, og EnforceNonceInJWT er indstillet til enten Ingen eller Deaktiveret.

Kilde: AD FS  

Niveau: Advarsel 

ID: 187 

Besked: AD FS-serveren modtog et JWT-token uden nonce i påstanden, og det blev accepteret baseret på den aktuelle konfigurationsindstilling for EnforceNonceInJWT. Den indikerer dog en potentiel genafspilning af JWT-tokenet af en ondsindet klient eller risikoen for, at klienten ikke er rettet med den nyeste Windows-Opdateringer. Sørg for at opdatere indstillingen EnforceNonceInJWT for at afvise alle sådanne JWT-tokens, når du har rettet klienterne med de nyeste Windows-Opdateringer. Du kan få flere oplysninger om dette i https://go.microsoft.com/fwlink/?linkid=2238156.

Bemærk! Hændelse 188 logføres med hver AD FS-tjeneste starter, når EnforceNonceInJWT er indstillet til enten Ingen eller Deaktiveret.

Kilde: AD FS  

Niveau: Fejl 

ID: 188 

Besked: AD FS-serveren er ikke konfigureret til at afvise JWT-tokens, der ikke havde nonce i påstanden. Den tilsvarende indstilling (EnforceNonceInJWT) skal være aktiveret af sikkerhedsmæssige årsager, når du har sikret dig, at alle klienterne er opdateret med den nyeste Windows-Opdateringer. Hændelsen 187 angiver de forekomster, hvor AD FS har modtaget sådanne tokens og accepteret på grund af den aktuelle indstilling af EnforceNonceInJWT. Du kan få flere oplysninger om dette i https://go.microsoft.com/fwlink/?linkid=2238156.

Gør noget

Installér Windows-opdateringer, der er udgivet den 11. juli 2023 eller derefter, på alle AD FS-servere i farmen. Aktivér derefter indstillingen ved at køre følgende PowerShell-kommando på farmens primære AD FS-server:

Set-AdfsProperties -EnforceNonceInJWT aktiveret

Vigtigt! Du får muligvis vist godkendelsesfejl i visse scenarier, når der er klienter, der ikke opdateres, og sender JWT-godkendelsesanmodninger til AD FS-serveren. I sådanne tilfælde anbefaler vi, at du opdaterer alle klienter ved at installere Windows-opdateringen, der blev udgivet den 11. juli 2023 eller derefter. Alternativt kan en administrator deaktivere indstillingen EnforceNonceInJWT og overvåge AD FS-serverne for logføring af hændelse 187 for at identificere potentielle anmodninger, der kan afvises, når EnforceNonceInJWT er indstillet til Aktiveret. Når du har bekræftet fraværet af hændelse 187 på AD FS-servere i et defineret tidsrum, skal indstillingen EnforceNonceInJWT opdateres til Aktiveret.

Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Var disse oplysninger nyttige?

Hvor tilfreds er du med kvaliteten af sproget?
Hvad påvirkede din oplevelse?
Når du trykker på Send, bliver din feedback brugt til at forbedre Microsoft-produkter og -tjenester. Din it-administrator kan indsamle disse data. Erklæring om beskyttelse af personlige oplysninger.

Tak for din feedback!

×