Yhteenveto
Microsoft on julkaissut Windows-päivityksen, joka korjaa Active Directory -liittoutumispalvelut (AD FS) -haavoittuvuutta tunnuksen toistohyökkäyksen haavoittuvuuden CVE-2023-35348 kuvatulla tavalla. Tämän päivityksen asentavat 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset. Tämä päivitys on oletusarvoisesti poistettu käytöstä. Jos haluat ottaa päivityksen käyttöön, sinun on määritettävä EnforceNonceInJWT-asetus .
Lisätietoja
Tämä päivitys sisältää uuden asetuksen, joka mahdollistaa Noncen kelpoisuuden tarkistamisen JSON Web Token (JWT) - todennuksen avulla JWT-käyttäjän todennuksen aikana.
Tässä artikkelissa kerrotaan, miten asetus otetaan käyttöön, ja annetaan AD FS -palvelimiin kirjautuneiden tapahtumien tiedot asetuksen tuetuista arvoista.
PakotaNonceInJWT-asetus
ADFS-palvelimen järjestelmänvalvoja voi määrittää EnforceNonceInJWT:n toimimaan jossakin seuraavista tiluksista:
-
Ei mitään (oletusarvo): Tätä käytetään seuraamaan , onko EnforceNonceInJWT-asetusarvoa koskaan muutettu. Järjestelmänvalvoja ei ehkä määritä tätä arvoa. ADFS-palvelin tarkistaa noncen vain silloin, kun se on JWT-väitteessä, mutta ei pakota sen läsnäoloa.
-
Poistettu käytöstä: Tämä arvo voidaan määrittää, jotta korjaus voidaan poistaa käytöstä, jos oletusarvon tai julkaisun käyttöönotossa ilmenee ongelmia.
-
Käytössä: Ottaa käyttöön PakotaNonceInJWT-asetuksen . ADFS-palvelin pakottaa, että Nonce on JWT-väitteessä ja että se on kelvollinen myös tiettyjen ehtojen täyttyessä.
AD FS -palvelimen järjestelmänvalvoja voi muuttaa EnforceNonceInJWT-tiloja seuraavien PowerShell-komentojen avulla:
-
Ota käyttöön PakotaNonceInJWT:
Set-AdfsProperties -EnforceNonceInJWT Käytössä -
Poista PakotaNonceInJWT käytöstä:
Set-AdfsProperties -EnforceNonceInJWT Disabled -
Tarkista PakotaNonceInJWT-asetuksen tila:
Järjestelmänvalvoja voi suorittaa Get-AdfsProperties-toiminnon tarkistaakseen nykyisen EnforceNonceInJWT-asetuksen . Palautettu EnforceNonceInJWT-arvo vastaa määritettyä tilaa.
Kirjatut tapahtumat
Seuraavat tapahtumat voidaan kirjata AD FS -palvelimeen sen jälkeen, kun 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset on asennettu:
Huomautus Tapahtuma 187 kirjataan lokiin aina, kun AD FS -palvelin vastaanottaa pyynnön, joka ei sisällä Noncea JWT-väitteessä, ja EnforceNonceInJWT-asetuksena on Ei mitään tai Ei käytössä.
Lähde: AD FS
Tasolla: Varoitus
Tunnus: 187
Viesti: AD FS -palvelin sai JWT-tunnuksen ilman noncea väitteessä, ja se hyväksyttiin EnforceNonceInJWT:n nykyisen määritysasetuksen perusteella. Se kuitenkin ilmaisee haitallisen asiakkaan JWT-tunnuksen mahdollisen toiston tai mahdollisuuden, että asiakasta ei ole korjattu uusimmilla Windows-Päivitykset. Päivitä PakotaNonceInJWT-asetus hylkäämään kaikki tällaiset JWT-tunnukset, kun olet korjannut asiakkaat uusimmilla Windows-Päivitykset. Lisätietoja on ohjeaiheessa https://go.microsoft.com/fwlink/?linkid=2238156.
Huomautus Tapahtuma 188 kirjataan jokaisen AD FS -palvelun käynnistyksen yhteydessä, kun EnforceNonceInJWT-asetuksena on Ei mitään tai Ei käytössä.
Lähde: AD FS
Tasolla: Virhe
TUNNUS: 188
Viesti: AD FS -palvelinta ei ole määritetty hylkäämään JWT-tunnuksia, joilla ei ollut noncea väitteessä. Vastaava asetus (EnforceNonceInJWT) tulee ottaa käyttöön tietoturvasyistä sen jälkeen, kun se on varmistanut, että kaikkiin asiakkaisiin on asennettu uusin Windows-Päivitykset. Tapahtuma 187 ilmaisee esiintymät, joissa AD FS on vastaanottanut tällaiset tunnukset ja hyväksynyt ne EnforceNonceInJWT-asetuksen nykyisen asetuksen vuoksi. Lisätietoja on ohjeaiheessa https://go.microsoft.com/fwlink/?linkid=2238156.
Toimi
Asenna 11. heinäkuuta 2023 tai sen jälkeen julkaistut Windows-päivitykset kaikkiin klusterin AD FS -palvelimiin. Ota sitten asetus käyttöön suorittamalla seuraava PowerShell-komento klusterin ensisijaisessa AD FS -palvelimessa:
Set-AdfsProperties -EnforceNonceInJWT käytössä
Tärkeää Todennusvirheitä voi ilmetä tietyissä tilanteissa, kun on asiakkaita, joita ei päivitetä, ja voit lähettää JWT-todennuspyyntöjä AD FS -palvelimeen. Tällaisissa tapauksissa suosittelemme päivittämään kaikki asiakkaat asentamalla 11. heinäkuuta 2023 tai sen jälkeen julkaistun Windows-päivityksen. Järjestelmänvalvoja voi myös poistaa EnforceNonceInJWT-asetuksen käytöstä ja valvoa AD FS -palvelimia tapahtuman 187 kirjaamista varten tunnistaakseen mahdolliset pyynnöt, jotka voidaan hylätä , kun EnforceNonceInJWT-asetuksena on Käytössä. Kun olet vahvistanut, että tapahtuma 187 ei ole ollut AD FS -palvelimissa määritetyn ajanjakson ajan, EnforceNonceInJWT-asetus on päivitettävä käyttöön.