Zusammenfassung
Microsoft hat ein Windows-Update veröffentlicht, um ein Sicherheitsrisiko durch Tokenreplayangriffe in Active Directory-Verbunddienste (AD FS) (AD FS) zu beheben, wie in CVE-2023-35348 beschrieben. Dieses Update wird von Windows-Updates installiert, die am oder nach dem 11. Juli 2023 veröffentlicht wurden. Dieses Update ist standardmäßig deaktiviert. Um das Update zu aktivieren, müssen Sie die Einstellung EnforceNonceInJWT konfigurieren.
Weitere Informationen
Mit diesem Update wird eine neue Einstellung eingeführt, um die Überprüfung von Nonce aus der JSON Web Token(JWT)-Assertion während der JWT-Benutzerauthentifizierung zu aktivieren.
In diesem Artikel wird beschrieben, wie Sie die Einstellung aktivieren, und es werden Details zu den auf AD FS-Servern protokollierten Ereignissen für die unterstützten Werte der Einstellung bereitgestellt.
Einstellung "EnforceNonceInJWT"
EnforceNonceInJWT kann von einem Administrator auf einem AD FS-Server für die Ausführung in einem der folgenden Modi konfiguriert werden:
-
None (Standardwert): Dieser Wert wird verwendet, um nachzuverfolgen, ob der Einstellungswert EnforceNonceInJWT jemals geändert wurde. Dieser Wert darf nicht von einem Administrator festgelegt werden. Der AD FS-Server überprüft die Nonce nur, wenn sie in der JWT-Assertion vorhanden ist, erzwingt jedoch nicht das Vorhandensein.
-
Deaktiviert: Dieser Wert kann festgelegt werden, um die Korrektur zu deaktivieren, wenn Probleme mit dem Standardwert oder nach der Aktivierung auftreten.
-
Aktiviert: Aktiviert die Einstellung EnforceNonceInJWT . Der AD FS-Server erzwingt, dass Nonce in der JWT-Assertion vorhanden ist und auch gültig ist, wenn bestimmte Bedingungen erfüllt sind.
EnforceNonceInJWT-Modi können von einem Administrator auf einem AD FS-Server mithilfe der folgenden PowerShell-Befehle geändert werden:
-
Aktivieren Sie EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Enabled -
Deaktivieren Sie EnforceNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Deaktiviert -
Überprüfen Sie die status der Einstellung EnforceNonceInJWT:
Ein Administrator kann Get-AdfsProperties ausführen, um die aktuelle EnforceNonceInJWT-Einstellung zu überprüfen. Der zurückgegebene EnforceNonceInJWT-Wert entspricht dem konfigurierten Modus.
Protokollierte Ereignisse
Die folgenden Ereignisse können auf einem AD FS-Server protokolliert werden, nachdem die Am oder nach dem 11. Juli 2023 veröffentlichten Windows-Updates installiert wurden:
Hinweis Ereignis 187 wird protokolliert, wenn der AD FS-Server eine Anforderung empfängt, die in der JWT-Assertion keine Nonce enthält und EnforceNonceInJWT entweder auf None oder Disabled festgelegt ist.
Quelle: AD FS
Niveau: Warnung
ID: 187
Nachricht: Der AD FS-Server hat ein JWT-Token ohne Nonce in der Assertion empfangen und wurde basierend auf der aktuellen Konfigurationseinstellung von EnforceNonceInJWT akzeptiert. Es weist jedoch auf eine potenzielle Wiedergabe des JWT-Tokens durch einen böswilligen Client oder die Möglichkeit hin, dass der Client nicht mit der neuesten Windows-Updates gepatcht wird. Aktualisieren Sie unbedingt die Einstellung EnforceNonceInJWT, um alle solchen JWT-Token abzulehnen, nachdem Sie die Clients mit der neuesten Windows-Updates gepatcht haben. Weitere Informationen hierzu finden Sie unter https://go.microsoft.com/fwlink/?linkid=2238156.
Hinweis Ereignis 188 wird bei jedem Start des AD FS-Diensts protokolliert, wenn EnforceNonceInJWT entweder auf Keine oder Deaktiviert festgelegt ist.
Quelle: AD FS
Niveau: Fehler
ID: 188
Nachricht: Der AD FS-Server ist nicht für die Ablehnung von JWT-Token konfiguriert, die keine Nonce in der Assertion hatten. Die entsprechende Einstellung (EnforceNonceInJWT) sollte aus Sicherheitsgründen aktiviert werden, nachdem sichergestellt wurde, dass alle Clients mit dem neuesten Windows-Updates gepatcht wurden. Das Ereignis 187 gibt die Instanzen an, in denen AD FS solche Token empfangen und aufgrund der aktuellen Einstellung von EnforceNonceInJWT akzeptiert hat. Weitere Informationen hierzu finden Sie unter https://go.microsoft.com/fwlink/?linkid=2238156.
Handeln Sie
Installieren Sie Windows-Updates, die am oder nach dem 11. Juli 2023 auf allen AD FS-Servern der Farm veröffentlicht wurden. Aktivieren Sie dann die Einstellung, indem Sie den folgenden PowerShell-Befehl auf dem primären AD FS-Server der Farm ausführen:
Set-AdfsProperties -EnforceNonceInJWT Enabled
Wichtig In bestimmten Szenarien können Authentifizierungsfehler auftreten, wenn Clients vorhanden sind, die nicht aktualisiert werden und JWT-Authentifizierungsanforderungen an den AD FS-Server senden. In solchen Fällen wird empfohlen, alle Clients zu aktualisieren, indem sie das Windows-Update installieren, das am oder nach dem 11. Juli 2023 veröffentlicht wurde. Alternativ kann ein Administrator die Einstellung EnforceNonceInJWT deaktivieren und die AD FS-Server auf die Protokollierung von Ereignis 187 überwachen, um potenzielle Anforderungen zu identifizieren, die abgelehnt werden könnten, wenn EnforceNonceInJWT auf Aktiviert festgelegt ist. Nachdem das Fehlen von Ereignis 187 auf AD FS-Servern für einen definierten Zeitraum bestätigt wurde, muss die Einstellung EnforceNonceInJWT auf Aktiviert aktualisiert werden.
