Logige sisse Microsofti kontoga
Logige sisse või looge konto.
Tere!
Valige mõni muu konto.
Teil on mitu kontot
Valige konto, millega soovite sisse logida.

Kokkuvõte

Microsoft on välja andnud Windowsi värskenduse, et lahendada Active Directory Federation Services (AD FS) tõendi taasesituse nõrkus, nagu on kirjeldatud versioonis CVE-2023-35348. Selle värskenduse installivad Windowsi värskendused, mis on välja antud 11. juulil 2023 või hiljem. Vaikimisi on see värskendus installitud keelatud. Värskenduse lubamiseks peate konfigureerima sätte EnforceNonceInJWT .

Täiendav teave

See värskendus sisaldab uut sätet, mis võimaldab valideerimise Nonce JSON Web Token (JWT) kinnituse JWT kasutaja autentimise ajal.

Selles artiklis kirjeldatakse, kuidas see säte lubada ja esitatakse AD FS-i serveritesse logitud sündmuste üksikasjad sätte toetatud väärtuste jaoks.

EnforceNonceInJWT säte

EnforceNonceInJWT võib ADFS-i serveri administraator konfigureerida töötama ühes järgmistest režiimidest:

  • Pole (vaikeväärtus): seda kasutatakse selleks, et jälgida, kas sätte EnforceNonceInJWT sätte väärtust on kunagi muudetud. Administraator ei saa seda väärtust määrata. ADFS-i server valideerib täiuse ainult siis, kui see on JWT-kinnituses olemas, kuid ei jõusta selle kohalolekut.

  • Keelatud: See väärtus võidakse määrata paranduse keelamiseks, kui vaikeväärtusega või selle lubamise järel esineb probleeme.

  • Lubatud: Lubab sätte EnforceNonceInJWT . ADFS-i server jõustab, et JWT-kinnituses on olemas nonce ja see kehtib ka teatud tingimuste täitmisel.

Administraator võib AD FS-i serveris muuta režiimi EnforceNonceInJWT järgmiste PowerShelli käskude abil.

  • Enable EnforceNonceInjWT:

    Set-AdfsProperties – EnforceNonceInJWT lubatud

  • Disable EnforceNonceInjWT:

    Set-AdfsProperties – EnforceNonceInJWT on keelatud

  • Kontrollige sätte EnforceNonceInJWT olekut:

    Administraator võib käivitada funktsiooni Get-AdfsProperties , et kontrollida praegust sätet EnforceNonceInJWT . Tagastatud väärtus EnforceNonceInJWT vastab konfigureeritud režiimile.

Logitud sündmused

Pärast Windowsi värskenduste väljaandmist 11. juulil 2023 või pärast seda võidakse järgmised sündmused AD FS-i serverisse sisse logida.

Märkus Sündmus 187 logitakse iga kord, kui AD FS-i server saab taotluse, mis ei sisalda JWT kinnitamise sätet Nonce ja EnforceNonceInJWT on seatud väärtuseks Pole või Keelatud.

Allikas: AD FS  

Tasandil: Hoiatus! 

ID: 187 

Sõnum: AD FS-i server sai JWT-tõendi ilma kinnituseta ja see aktsepteeriti vastavalt praegusele konfiguratsioonisättele EnforceNonceInJWT. Siiski näitab see JWT-tõendi võimalikku taasesitamist pahatahtliku kliendi poolt või võimalust, et klient ei ole paigatud koos uusima Windowsi Teabevärskendused. Värskendage kindlasti säte EnforceNonceInJWT, et lükata tagasi kõik sellised JWT-tõendid pärast seda, kui klientrakendused on paikanud uusima Windowsi Teabevärskendused. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2238156.

Märkus Sündmus 188 logitakse iga AD FS-i teenusega, kui EnforceNonceInJWT on seatud väärtuseks Pole või Keelatud.

Allikas: AD FS  

Tasandil: Tõrge 

ID: 188 

Sõnum: AD FS-i server pole konfigureeritud hülgama JWT-lubasid, millel polnud kinnituses mingit hoolt. Vastav säte (EnforceNonceInJWT) tuleks turbekaalutlustel lubada pärast seda, kui on kindlaks määratud, et kõik kliendid on installitud koos uusima Windowsi Teabevärskendused. Sündmus 187 näitab eksemplare, kus AD FS sai selliseid tõendeid ja aktsepteeriti praeguse sätte EnforceNonceInJWT tõttu. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2238156.

Tegutsemine

Installige Windowsi värskendused, mis on välja antud 11. juulil 2023 või hiljem, kõigisse pargi AD FS-i serveritesse. Seejärel lubage see säte, käivitades pargi esmases AD FS-i serveris järgmise PowerShelli käsu:

Set-AdfsProperties – EnforceNonceInjWT lubatud

Tähtis Kui kliente ei värskendata ja AD FS-i serverisse saadetakse JWT autentimistaotlused, võidakse teatud juhtudel kuvada autentimistõrkeid. Sellistel juhtudel soovitame värskendada kõiki kliente, installides 11. juulil 2023 või hiljem välja antud Windowsi värskenduse. Teise võimalusena võib administraator keelata sätte EnforceNonceInJWT ja jälgida sündmuse 187 logimise AD FS-servereid, et tuvastada võimalikud taotlused, mis võidakse tagasi lükata, kui EnforceNonceInJWT on lubatud. Pärast sündmuse 187 puudumise kinnitamist AD FS-i serverites määratud aja jooksul tuleb säte EnforceNonceInJWT värskendada väärtuseks Lubatud.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Tutvustus Kogukonnafoorum

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus

Kogukonnad aitavad teil küsimusi esitada ja neile vastuseid saada, anda tagasisidet ja saada nõu rikkalike teadmistega asjatundjatelt.

Nõu küsimine Microsofti kogukonnafoorumis

Microsofti spetsialistide kogukonnafoorum

Windows Insideri programmis osalejad

Microsoft 365 Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?
Kui klõpsate nuppu Edasta, kasutatakse teie tagasisidet Microsofti toodete ja teenuste täiustamiseks. IT-administraator saab neid andmeid koguda. Privaatsusavaldus.

Täname tagasiside eest!

×